📡Cweのapi

/cwe - OpenCVE Documentation

OpenCVEは、CVEのリストをローカルにインポートし、（ベンダー別、製品別、CVSS別、CWE別...）検索を実行するために使用されるプラットフォームです。
ユーザはベンダーや製品を購読し、OpenCVEは新しいCVEが作成された時や既存のCVEにアップデートが行われた時にアラートを出します。
OpenCVEは手動でインストールすることもできますし、dockerを使うこともできます。自分でホスティングしたくない場合は、https://www.opencve.io 上で動作するインスタンスも提供しています。

CVE（Common Vulnerabilities and Exposures）のデータベースは、MITRE Corporationによって管理されています。MITREは、アメリカ合衆国の非営利組織で、情報技術、組織、およびシステムエンジニアリングの専門知識を提供します。
CVEの情報は、公にアクセス可能で、MITREのウェブサイトやNVD（National Vulnerability Database）、さらには他のセキュリティ関連のウェブサイトやツールで参照することができます。
NVDは、アメリカ合衆国の国家標準技術研究所（NIST）によって運営されており、CVEの情報に加えて、各脆弱性に対する追加の情報や分析を提供しています。

CVE - CVE

ステップアップ脆弱性診断　ツールを比較しながら初級者から中級者に！ 技術の泉シリーズ

https://nvd.nist.gov/

CVSS（Common Vulnerability Scoring System、共通脆弱性評価システム）は、ソフトウェアの脆弱性の重大度を評価するための標準的な手法です。CVSSは、脆弱性が悪用された場合の影響を数値化し、評価するために設計されています。この評価システムは、以下の3つのメトリックグループで構成されています：

1. 基本メトリック（Base Metrics）：脆弱性自体の特性に基づいて評価します。このメトリックには、攻撃の難易度、攻撃の影響、攻撃者が必要とするアクセス権限などが含まれます。

2. 一時的メトリック（Temporal Metrics）：脆弱性の現在の状態や外部要因に基づいて評価します。このメトリックには、脆弱性の修正の可用性、悪用コードの公開状況などが含まれます。

3. 環境メトリック（Environmental Metrics）：脆弱性が存在する特定の環境に基づいて評価します。このメトリックには、組織固有の設定や影響範囲などが含まれます。

CVSSのスコアは0から10までの範囲で表され、10が最も重大な脆弱性を示します。このスコアリングシステムにより、セキュリティチームは脆弱性の優先順位を付け、効果的な対策を講じることができます。