Nist Nvd

FAQ

VulnCheckのNVD++に関するよくある質問。

以下は、NIST NVDをVulnCheckから取得する際によく寄せられる質問です。

よくある質問

VulnCheckのNVD++とは何ですか?

NIST National Vulnerability Database (NVD)は、National Institute of Standards (NIST)によって維持されている脆弱性データベースです。しかし、NISTからNVDを利用することが一部の組織にとって困難となっています。

NVD++は、VulnCheck Communityのリソースの最新追加機能であり、セキュリティチームや実務者を支援するために提供されています。2023年12月、VulnCheckは、NIST NVD 1.0オフラインバックアップの永続的なサポートとメンテナンスを発表しました。このNVD++は、2.0 APIと、以前リリースされた1.0 APIに加え、各バージョンのJSONバックアップファイルを1つのリソースにまとめています。

VulnCheckはなぜNVD++をVulnCheck Communityに追加したのですか?

多くの組織が最初にNIST NVDに触れたのは、NIST NVD 1.0オフラインバックアップ(データの一括ダウンロード)を通じてでした。多くの組織がこれに基づいた統合を行いましたが、その後NISTはこれらのバックアップを停止しました。

NISTがNVD 1.0オフラインバックアップの提供を停止した後、NISTは人々にNVD 1.0 APIへの移行を要求しました。しかし、2023年12月15日、このNVD 1.0 API自体が廃止されました。

NISTから提供されたNVD 2.0では、オフラインバックアップは復活せず、NISTのNVD 2.0 APIは頻繁にタイムアウトや503 Service Unavailableエラーが発生していました。2024年初めにNISTは、公式ウェブサイトに不安を感じさせるメッセージを掲載し、NVDに関するNISTの継続的な関与についてサイバーセキュリティコミュニティの一部で懸念が生じました。VulnCheckはこの問題に対して支援を開始する準備ができたと感じ、コミュニティに対するサポートを開始しました。

VulnCheckのNVD++にアクセスするにはどうすればいいですか?

https://vulncheck.comで無料のVulnCheck Communityアカウントにサインアップしてください。

NVD++の費用はどのくらいですか?

無料です!唯一の条件は、VulnCheckへの明示的な帰属を求めることです。

NVD++にはどのバージョンのNVDが含まれていますか?

VulnCheck Exploit & Vulnerability Intelligenceには、4つのNVDバージョンが含まれています:

インデックスソース説明
vulncheck-nvd2VulnCheckVulnCheck拡張付きNVD 2.0(追加フィールドおよび早期データを含む)
vulncheck-nvdVulnCheckVulnCheck拡張付きNVD 1.0(追加フィールドおよび早期データを含む)
nist-nvd2NISTSLA付きNVD 2.0
nist-nvdNISTNVD 2.0から生成されたSLA付きNVD 1.0;NISTと異なり無期限サポート

VulnCheck Communityには、2つのNVDバージョンが含まれています:

インデックスソース説明
nist-nvd2NISTNISTバックログの大部分に自動生成されたCPEを含むNVD 2.0
nist-nvdNISTNVD 2.0から生成されたNVD 1.0;NISTと異なり無期限サポート;また、NISTバックログの大部分に自動生成されたCPEを含む

VulnCheckのNVD++はVulnCheckのExploit & Vulnerability Intelligence製品とどう違うのですか?

VulnCheckのNVD++は、商業利用可能なExploit & Vulnerability Intelligence製品の1%未満に相当します。

以下は、VulnCheckのExploit & Vulnerability Intelligenceに含まれている機能で、VulnCheckのNVD++には含まれていないものです:

  • Exploit Intelligence
    • Exploitation timeline
    • Exploit maturity
    • Exploit availability
    • Commercial exploit PoC tracking
    • Exploit type
    • Git clone URLs
    • Git history
    • Cached exploit PoCs
    • Exploited by Threat Actors / APT
    • Exploited by Ransomware groups
    • Exploited by Botnets
    • Threat Actors / APT <-> CVE mapping
    • Ransomware groups <-> CVE mapping
    • Botnets <-> CVE mapping
    • Threat Actors / APT <-> Cybersecurity Vendor naming scheme
    • Offline backups of all Exploit Intelligence data
    • SLA: Uptime guarantees
  • Vulnerability Intelligence
    • Average of 10x as many references
    • Vulnerability Status
    • Vulnerability Alias
    • CVSS v2 Temporal Scores
    • CVSS v3 Temporal Scores
    • MITRE ATT&CK mapping
    • MITRE CAPEC mapping
    • Additional CWE mapping
    • Additional CWE data
    • Vulnerability categorization
    • Foreign vulnerability data sources
    • Package URL lookup support
    • Operating System (OS) package manager coverage
    • Open Source Software (OSS) library package manager coverage
    • End-of-Life (EOL) coverage for Operating Systems (OS)
    • Offline backups of all Vulnerability Intelligence data
    • SLA: Uptime guarantees