VRDAフィードのコンテンツであるVRDAデータについての仕様を以下に示します。
VRDA データの識別子について
VRDA フィードのソースとなる脆弱性の脅威分析情報を作成した組織の識別子と、脆弱性関連情報の識別子の組み合わせを利用します。また、更新履歴を特定するために、更新版数を示すリビジョン番号を加えた、3つの情報の組み合わせが利用されます。
識別子の構成要素 | 説 明 |
---|---|
分析情報提供元組織の識別子 | VRDA フィードのソースとなる脆弱性の脅威分析情報を作成した組織を識別するための情報です。 |
脆弱性関連情報の識別子 | CVE番号など情報の識別子が記載されます。 |
リビジョン番号 | 特定の脆弱性に関する分析情報の更新履歴番号を示します。 |
分析対象脆弱性情報の分類について
VRDA フィードでは、脆弱性関連情報の分類として「公開されたアドバイザリ・注意喚起に基づく脅威分析情報」、「その他の一般記事、報道記事に基づく脅威分析情報」の大きく2つに分類しています。
なお、2010年6月現在「公開されたアドバイザリ・注意喚起に基づく脅威分析情報」のみを配信しています。
識別子の構成要素 | 説 明 |
---|---|
公開されたアドバイザリ・注意喚起に基づく脅威分析情報(アドバイザリ・注意喚起) | 製品開発ベンダや情報セキュリティ専門機関などから公開されるアドバイザリや注意喚起の脅威分析を行った情報がソースであることを示します。2010年6月現在「公開されたアドバイザリ・注意喚起に基づく脅威分析情報」のみを配信しています。 |
その他の一般記事、報道記事に基づく脅威分析情報(その他) | その他の情報 (一般記事・報道記事など) が情報ソースであることを示します。 |
分析基準項目と分析値について
2010年6月より各分析基準項目と対応する分析値は、共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) における、脆弱性評価基準の基本評価基準に基づいています。
分析値の詳細については、こちらのページを参照ください。
脆弱性の影響を受ける製品の識別子について
VRDA フィードでは、脆弱性についての分析情報と共に、脆弱性の影響を受ける製品を示しています。 表記方法は CPE に基づきます。