読者です 読者をやめる 読者になる 読者になる

隙あらば寝る

うぇぶのかいしゃではたらくえんじにあがかいています

末端エンジニアのセキュリティ対策とCVE/NVD

security

しばらくソフトウェア運用をやっているとセキュリティの問題に触れる機会が多くなり、結果的に脆弱性情報が気になるようになった。

体系的に学んだわけではないが、自分の理解をまとめておく。

脆弱性が見つかると、MITRE社によってCVEというIDが採番される。

採番されたCVE-IDは CVE - Common Vulnerabilities and Exposures (CVE) で情報を公開されている。

脆弱性情報データベース - Wikipedia

wikipedia で調べるだけでも他に脆弱性データベースはあるようだが、実質CVE-IDによって情報のやりとりが行われることが多いように思う。

JVNでは国内の情報も独自に収集されていたりするようだが、有名OSSを使っている限りはCVEで十分な情報になっている。

CVEの情報はNVDによって詳細に報告され、情報ソースやリスク判定もされ、多くの判断材料が提供される。

もちろん開発元による詳細情報を見るのが間違いないが、自分が利用しているソフトウェアすべての開発MLに目を通していくのは現実的でないと思う。

ということで、自分の使っているソフトウェア/バージョンがCVEに登録されていないかを意識するようにしておき、

IDが採番されたらNVDを見るなりして詳細を追い、最終的には開発元の情報を確認して対応する...という感じになると思う。

で、このあたりの情報収集を効率よくできないかなと最近考えている。

意識高いエンジニアがCVEを拾ってセキュリティ対策をするというのは継続可能ではないと思う。

情報自体はxml等で公開されているというのがわかったので、勉強がてら中身の理解を勧めながら

セキュリティ対策をするエンジニア(要するに自分自身)が楽できるようなシステムを考えていこうと思う。