[B! cvss] ishideoのブックマーク

ishideo id:ishideo

cvssに関するishideoのブックマーク (30)

VulnCheck KEV - VulnCheck
ishideo 2024/08/27
vulncheck-kev

kev

vulncheck

cve

vulnerability

dashboard

cvss
リンク
Vulsまつり#10 | 「残業？来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ | Vuls Blog
2024年8月20日に開催された「Vuls祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜」のセッション「「残業？来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ」の要点を書き起こた記事です。 YouTubeアーカイブはこちらです。会場への質問先日IPAの中核人材育成プログラム卒業プロジェクトから、「脆弱性対応におけるリスク評価手法のまとめ」という資料が公開されました。この資料は本日紹介するSSVCやEPSS, KEVなどが日本語でわかりやすく説明されており、またトリアージについていくつかの方法が記載されているので一読をおすすめしますが、この中でこの図の通り60社への企業にアンケートを取っています。意外におもったのが、CVSSの環境評価基準を60社中15社も使っている点です。私は2016年にVulsを開発して以降脆弱性管理をテーマに活動
ishideo 2024/08/27
vuls

ssvc

cvss

epss

comparison

vulnerability

threat

kev

youtube
リンク
GitHub - vuls-saas/SSVC
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ishideo 2024/08/20
ssvc

cvss

epss

vulnerability

threat

vpr

vprioritizer

github
リンク
Prioritizing vulnerability response: A stakeholder-specific vulnerability categorization (version 2.0)
ishideo 2024/08/20
ssvc

cvss

epss

vulnerability

threat

vpr

vprioritizer

pdf
リンク
脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人情報処理推進機構
背景本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS（Common Vulnerability Scoring System）基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS（Exploit Prediction Scoring System）などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
ishideo 2024/08/04
ipa

vulnerability

accessment

management

cvss

epss

ssvc

pdf
リンク
SSVC DeepDive | 「ジョーシストーーク脆弱性祭り～脆弱性の全体像と付き合い方～」 | Vuls Blog
2024年7月8日に開催された「ジョーシストーーク脆弱性祭り～脆弱性の全体像と付き合い方～」のセッション「SSVC DeepDive」の内容です。パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。 Xでのジョーシスな誰かのつぶやき（抜粋）ランサムウェアのニュースで騒がれている中、X（旧Twitter）にてこんな発言を目にしました。今回参加されているジョーシスの皆さんもお内情な悩みを抱えていると思いご紹介します。 Xでのジョーシスな誰かのつぶやきまとめると、こんな内容になると思います。（会場の情シスの方、頷く方多数）公開される
ishideo 2024/07/22
vuls

vulnerability

ssvc

cvss

vulerability

threat

decision-makiing

priority
リンク
SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法 | Vuls Blog
2024年7月12日に開催された「製造業における脆弱性管理の課題と対応方法@大阪」セミナーの「SSVC Supplier Treeの概要と自動化」セッションのスライドです。米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC（Stakeholder-Specific Vulnerability Categorization）の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各De
ishideo 2024/07/18
ssvc

cvss

comparison

vulnrichment

use-case

regresshion

severity

vulnerability
リンク
CVE database: A complete inventory of known vulnerabilities
ishideo 2024/07/15
cve

cvss

vulnerability

threat

search

database

trends
リンク
GitHub - cisagov/vulnrichment: A repo to conduct vulnerability enrichment.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ishideo 2024/05/14
cisa

gov

vulnerability

threat

enrichment

cve

cvss

cwe

cpe

github
リンク
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC | Vuls Blog
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない当該プロジェクトはシステム固
ishideo 2024/03/01
cve_prioritizer

sploitscan

kev

vulnerability

epss

cvss

ssvc

vuls
リンク
バグハント入門 (OSS編) - blog of morioka12
1. 始めにこんにちは、morioka12 です。本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに免責事項想定読者筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞るバグバウンティの OSS 4. 脆弱性の検証方法アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ注意点 8. バグハント前のスキル準備過去の CVE ID やレポート Web Security の場合 9. その他その後のチャレンジバグバウンティ入門セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに免責事項
ishideo 2023/09/26
oss

osint

vulnerability

threat

cve

cvss

cwe

jvn

php

unserialize
リンク
NVD - Search and Statistics
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock () or https:// means you've safely connected to the .gov website. Share sensitive information only on official, secure websites.
ishideo 2023/09/19
nvd

search

cve

cvss

vulnerability

product

cwe

advanced

vendor
リンク
CVE Database - Security Vulnerabilities and Exploits | Vulners.com
Prioritize remediation efforts with rich context beyond the CVSS. Drive offensive and defensive efforts with the latest updates on exploits. Integrate vulnerability intelligence delivered in normalized and correlated machine-readable format.
ishideo 2023/09/19
vulners

vulnerability

database

cvss

epss

score

severity

search

cve

ai
リンク
Navigating the Cyber Threat Landscape with SOCRadar's Vulnerability Intelligence and CVERadar - SOCRadar® Cyber Intelligence Inc.
ishideo 2023/09/19
socradar

cveradar

cve

cvss

severity

svrs

score

vulnerability

poc

github
リンク
CVE Radar - SOCRadar LABS
ishideo 2023/09/19
socradar

cveradar

cve

cvss

severity

svrs

score

vulnerability

poc

github
リンク
脆弱性対応に有用なSSVCと、適用について | Vuls Blog
こんにちは。井上です。 FutureVulsは「日々更新される脆弱性情報を補足し、より効果的な運用・管理をサポートする」サービスですが。 2022/9/13リリースにて運用部分で有用なSSVC(Stakeholder-Specific Vulnerability Categorization)をサポートしました。本稿では、脆弱性対応の現状からSSVCの説明、SSVCの適用例を説明します。目次脆弱性対応の現状問題点どうしたらよいのか SSVCとは概要どのような利点があるのか SSVCを適用する従来の判断 SSVCでの判断まとめ脆弱性対応の現状脆弱性を検知した後にどのように判断/対応するのか、は悩みどころの多い問題です。一般的には以下を考慮して対応を検討しています。脆弱性自体の危険度自システムへの影響度対策難易度未対策でのリスクその為、上記を判断する基準を組織で
ishideo 2023/09/18
vuls

ssvc

vulnerability

sbom

triage

cvss

poc

expolit
リンク
CVSSとその限界 | ドクセル
長谷川陽介(はせがわようすけ)  セキュリティ・キャンプ協議会代表理事  （株）セキュアスカイ・テクノロジー取締役CTO  千葉大学非常勤講師  OWASP Kansai ボードメンバー  OWASP Japan ボードメンバー  CODE BLUEカンファレンスレビューボードメンバー Webブラウザー、Webアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ Vuls祭り#8 #vulsjp https://utf-8.jp/
ishideo 2023/09/17
csv

epss

vulnerability

api

slide

json

github

first.org

score

cvss
リンク
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Internet Week 2018「Internet Week 流 Security Bootcamp」での講演資料です。 https://www.nic.ad.jp/iw2018/2018/d1/Read less
ishideo 2023/09/15
vulnerability

cvss

cve

threat

slide

slideshare
リンク
GitHub - r3volved/CVEAggregate: Build a CVE library with aggregated CISA, EPSS and CVSS data
ishideo 2023/09/13
cve

cveaggregate

javascript

cvss

epss

github

vulnerability

kev

search
リンク
GitHub - TURROKS/CVE_Prioritizer: Streamline vulnerability patching with CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. Prioritize actions based on real-time threat information, gain a competitive advantage, and stay informed about the latest tre
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ishideo 2023/09/13
cve

streamline

python

cvss

epss

priority

github

vulnerability

kev
リンク
1 2 次のページ

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx