導入

NIST National Vulnerability Database (NVD) は、米国国立標準技術研究所 (NIST) によって維持されている脆弱性データベースです。しかし、NISTのNVDを利用することは、一部の組織にとって課題となっています。最近では、NIST NVDの新しい脆弱性の処理が遅れ、これを補うためにVulnCheckはコミュニティサービスを提供しています。

VulnCheckのNVD++とは？

NVD++は、セキュリティチームや実務者を支援するために、VulnCheckコミュニティリソースに加わった最新の追加機能です。2023年12月に、VulnCheckは最初のコミュニティリソースとして、NIST NVD 1.0のオフラインバックアップの永続的なサポートとメンテナンスを発表し、移行期限前に提供を開始しました。NVD++は、2.0 APIと以前リリースされた1.0 APIをバンドルし、各APIに対するダウンロード可能なJSONバックアップファイルを1つのリソースとして提供します。

2024年3月に、VulnCheckはNIST NVD 2.0データへのコミュニティサポートを拡大し、バックアップとAPIアクセスを提供しました。脆弱性分析の待機時間が増加している状況を支援するため、VulnCheckはNVD 1.0およびNVD 2.0にVulnCheckが生成したCPEデータを追加し、強化しています。

2024年5月には、CVE ProgramのMitre CVElistをVulnCheck NVD++に追加し、APIアクセスを提供する決定を下しました。これにより、コミュニティはNVDとCVElistの両方に中央のAPIを介してアクセスできるようになります。

なぜVulnCheckはNVD++をVulnCheckコミュニティにリリースしたのか？

多くの組織が最初にNIST NVDを利用したのは、NIST NVD 1.0のオフラインバックアップ（バルクデータのダウンロード）を通じてでした。これらのデータダウンロードを利用して統合を構築した多くの組織がいましたが、その後NISTによって提供が停止されました。

NISTがNVD 1.0のオフラインバックアップの提供を終了した後、NISTは人々にNVD 1.0 APIへの移行を求めました。しかし、2023年12月15日、NVD 1.0 API自体も廃止されました。

NISTのNVD 2.0では、オフラインバックアップは復活せず、NISTのNVD 2.0 APIは頻繁にタイムアウトや503 Service Unavailableエラーが発生します。2024年初頭、NISTはそのウェブサイトhttps://nvd.nist.gov に不安を感じさせるメッセージを投稿し、サイバーセキュリティコミュニティの一部の人々がNISTのNVDへの継続的な関与について懸念を抱きました。VulnCheckもその一つであり、私たちはコミュニティの支援を開始する準備ができていると感じました。