サマリー
jsonで記述する
1-ドキュメントの中に以下が含まれる
1-製品
N-脆弱性
N-SBOM
1-深刻度サマリー
つまり、1つのCSAFドキュメントで「ある1つの製品に関する」脆弱性情報を提供する🐰
どういう脆弱性があるかを網羅している
それらを総括して結局深刻度はどうなのよ?も言う(aggregate_severity)
脆弱性情報については、動的に更新することが意図されている
製品情報はかなり細かい
SBOMは、URIをn個持っている
sku, cpe, package url, hashなども持てるようになっている
read
https://github.com/oasis-tcs/csaf/blob/master/csaf_2.0/json_schema/csaf_json_schema.json
感想🐰
プロダクトツリーはよくわからん
製品にタグをつけて性質を列挙したいのか
製品とそのファミリーを体系的に記述できるようにしたいのか
「1つの製品に」「nの脆弱性情報」を関連付ける、というアイデアなのだな
で、この作業は製品サプライヤーでなくてもできる
第三者がつくるとか
製品情報に関する体系がまだないのだな
ないがゆえに、独自にスキーマとして定義してやらないといけないということ
プロダクトツリーとかその辺がやたらごちゃごちゃしている🐰
---