NVDのAPIを叩いて脆弱性情報を自動収集してみる - Qiita
背景 私の勤めている会社では脆弱性の情報収集はメーリングリストベースのサービスを利用しているが、提供される形がテキストベースであり、自動化には即していない形となっていて効率化が難しい状態。脆弱性情報の収集自動化のための試みとして、NVDのAPIを叩いてCVE情報を自動取得する。 (もうやられている方いるのは知っていますが勉強のため自分でやる) NVDのデータを自動取得するための手段はNVD Data Feedsに記載されている。その中でAPIの情報はこちらにある。APIは主にCVEとCPEの2つが用意されている。共通プラットフォーム一覧CPE(Common Platform Enumeration)は脆弱性をさすものではないので、今回はCVEのAPIを利用する。 CVEのAPI CVEのAPIはhttps://nvd.nist.gov/developers/vulnerabilities
NVD公開のREST APIを用いて脆弱性情報を取得する - Qiita
背景 NVD (National Vulnerability Database) は、NISTが管理している脆弱性情報のデータベースであり、ソフトウェアやハードウェアの脆弱性情報を確認する際、NVDにお世話になることは非常に多いです。 そんなNVDですが、各CVEの脆弱性の情報が取得できればいいなあと思っていたところ、 NVDがREST APIを2019年9月に公開しているのを見つけました。 https://nvd.nist.gov/General/News/New-NVD-CVE-CPE-API-and-SOAP-Retirement 結構簡単に情報を取得できたので、情報共有も兼ねてプログラムを公開します。 実行環境 Ubuntu 18.04 LTS Python 3.9.1 ざっくりセキュリティ用語 厳密な意味はググれば出てくると思うので、ここではざっくりレベルで。 CVE (Comm
CVE情報調査 pip編 - Qiita
PIPの脆弱性管理 現在システム全体の残留脆弱性の一覧化の方法を整理しています。 その際の基礎調査として、pip編です。 Vulsなどでは利用しているOSの標準レポジトリから導入したpackage情報はきれいに引き抜いてくれるのですが、pipで導入したものや、非標準のレポジトリ(各ソフトウェアベンダが独自に用意しているレポジトリ)から導入したパッケージ分はサーチしてくれません(2023/4現在)。 ということで、pip用の調べ方を整理します。 PIPの脆弱性検索方針 pip freezeなどで得られる情報から、なんとかモジュール情報をCPEに変換して検索する、というのを考えていました。 一方、ググっていたら独自にPVEという脆弱性番号を裁判してガッツリ活動されているpyup社のSafetyというツールも見つけました。 この両者を比較しながら、今回の残留是弱製情報の一覧化に使う方法を整理して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - proshiba/vulnchecker: check vulnerability tool. info source is NVD.
GitHub - justakazh/sicat: The useful exploit finder
GitHub - riikunn1004/NVDAPI
Simple script to pull CVE info from NVD, parse the XML and import/update it to a mongodb
