포함 기준

VulnCheck KEV는 취약점을 포함하기 위한 기준을 단순하고 이해하기 쉽게 유지하는 것을 목표로 합니다.

VulnCheck KEV에 포함되는 항목은 무엇입니까?

VulnCheck Canary Intelligence에서 감지되거나 야생에서 악용된 것으로 공개적으로 보고된 모든 취약점은 VulnCheck KEV에 포함됩니다.

때때로 다음과 같은 추가적인 질문이 제기되기도 합니다:

• 벤더에서 패치를 제공하지 않은 취약점은 어떻게 합니까?
• 수명 종료(EOL)된 시스템은 어떻게 합니까?
• CVE가 할당되지 않은 취약점은 어떻게 합니까?
• CVE가 할당되었지만 NIST(또는 MITRE)에서 아직 공개하지 않은 취약점은 어떻게 합니까?

결론적으로, 이러한 요인 중 어느 것도 VulnCheck KEV에 취약점이 추가되는 것을 제한하지 않습니다. VulnCheck KEV에 취약점을 추가하기 위한 유일한 전제 조건은 해당 취약점이 실제로 악용된 것으로 공개적으로 보고되었다는 점입니다.

다만, CVE 할당과 관련해서는 VulnCheck KEV의 모든 취약점에 CVE가 할당되어 있습니다. 그러나 때로는 실제로 악용된 것으로 보고되었음에도 CVE가 아직 할당되지 않은 경우가 있습니다. 이런 경우 VulnCheck는 CVE 번호 부여 기관(CNA)으로서 CVE 할당을 담당하는 벤더에 연락하거나 직접 CVE를 할당합니다.