エンジニアなら脆弱性情報を読めるようになろう | Tech Blog

こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 １，脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され

[bohemian916]

き、脆弱性…

[s_nagano]

“CVSSが高いからといって慌てず、Vectorも確認しながら対象システムに合った対応していきましょう。”

[rjge]

“脆弱性情報の提供サイトの１つに「 https://vulners.com/ 」というものがあります。” ”API：　https://vulners.com/api/v3/”

[masutaka26]

CVE と CVSS 自体の解説

[en30]

なるほどー

[Dai_Kamijo]

このあたり、最近の情報処理安全確保支援士試験によく出てきます。 / “エンジニアなら脆弱性情報を読めるようになろう | Tech Blog” — 瀬戸　美月 (@mizukix7) January 31, 2018 from Twitter https://twitter.com/Dai_Kamijo February 06, 2018 at 11:31

[tmatsuu]

いいね

[efcl]

CVEの読み方

[side_tana]

完全にいいまとめだった

[jorira]

ぜいじゃくせい

[wiz7]

綺麗に整理されてる記事

[braitom]

CVE、CVSSの番号や記号の意味について解説されている。vulners.comのAPIを使った脆弱性情報のキャッチ方法も紹介されている。

[mizukix7]

このあたり、最近の情報処理安全確保支援士試験によく出てきます。

[koogawa]

大人数の前で脆弱性を「ぼうじゃくせい」と読み上げた上司を忘れない

[kjtec]

読めるようになりたい

[stray346]

脆弱性の読み方

[fan-tail]

NVDでプロトコル名いれるとWiresharkがならんでぐったりするやつー

[smbd]

"脆弱性情報の提供サイトの１つに「　https://vulners.com/　」というものがあります。こちらのサイトがAPIを提供しており" へぇー

[bps_tomoya]

も、脆弱性…

[suquiya0]

ふむ。

[punychan]

SpectreとかMeltdownとかの原理を理解してPoC読もうって記事かと思ったら違った。

[ya--mada]

いろんなとこの セキュリティリポート読むのにも技術いるなぁって思った。

[otihateten3510]

ぼ・・脆弱性

[pavlichenko]

圧倒的知見だ…

[okumuraa1]

システムを勉強し始めたときは、セキュリティは難しそうで、壁を感じてしまうんだよな