HOME»情報処理安全確保支援士掲示板»CVEとCWEの違い
投稿する
»[1705] SCの参考になるかもしれないマンガ 投稿数:3
»[1704] 情報セキュリティ管理基準と監査基準の違い 投稿数:4
CVEとCWEの違い [1707]
Matsurikaさん(No.1)
CVE(共通脆弱性識別子)とCWE(共通脆弱性タイプ一覧)の違いについて
CVEは「CVE-西暦-番号」、CWEは「CWE-番号」といった形式の違いがあることは分かりましたが、それ以外の違いが分かりません。掲載されている脆弱性やその情報などに違いはあるのでしょうか。
どなたかご教授いただければ幸いです。
CVEは「CVE-西暦-番号」、CWEは「CWE-番号」といった形式の違いがあることは分かりましたが、それ以外の違いが分かりません。掲載されている脆弱性やその情報などに違いはあるのでしょうか。
どなたかご教授いただければ幸いです。
2024.09.10 01:04
たけしさん(No.2)
CVEはソフトウェア製品等で発生した脆弱性について
脆弱性の内容やCVSSの評価等、その製品で発生した脆弱性の詳細が記述されているもので
CWEは脆弱性の種類(XSSやCSRF等)に一意に番号が割り振られており
先ほど挙げたXSS(CWE-79)やCSRF(CWE-352)を例に、それらがどういう脆弱性なのかが記載されております。
用途として
CVEは自社で利用しているソフトウェア製品で脆弱性が発見された際に、その詳細の確認や
修正対応を行うために確認するもので
CWEは、先ほど挙げた二つの例で言うと
それらがどういう脆弱性なのかを確認する際に利用されるとのことです。
一度、何でもよいので適当な脆弱性についてご自身で検索して調べてみると
どういうものなのか、理解が早いと思います。
長文失礼しました。
脆弱性の内容やCVSSの評価等、その製品で発生した脆弱性の詳細が記述されているもので
CWEは脆弱性の種類(XSSやCSRF等)に一意に番号が割り振られており
先ほど挙げたXSS(CWE-79)やCSRF(CWE-352)を例に、それらがどういう脆弱性なのかが記載されております。
用途として
CVEは自社で利用しているソフトウェア製品で脆弱性が発見された際に、その詳細の確認や
修正対応を行うために確認するもので
CWEは、先ほど挙げた二つの例で言うと
それらがどういう脆弱性なのかを確認する際に利用されるとのことです。
一度、何でもよいので適当な脆弱性についてご自身で検索して調べてみると
どういうものなのか、理解が早いと思います。
長文失礼しました。
2024.09.10 01:55
momochanさん(No.3)
IPAのサイトになります。
参考にしてみてください。
共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html
共通脆弱性タイプ一覧CWE概説
https://www.ipa.go.jp/security/vuln/scap/cwe.html
参考にしてみてください。
共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html
共通脆弱性タイプ一覧CWE概説
https://www.ipa.go.jp/security/vuln/scap/cwe.html
2024.09.10 07:34
Matsurikaさん(No.4)
たけし様、momochan様
ご回答ありがとうございます。早速調べてみました。
CWEはサイバー攻撃の種類の一覧、CVEは各企業がそれぞれの製品で見つかった脆弱性の詳細のことなんですね。
ご回答ありがとうございます。早速調べてみました。
CWEはサイバー攻撃の種類の一覧、CVEは各企業がそれぞれの製品で見つかった脆弱性の詳細のことなんですね。
2024.09.10 11:20
その他のスレッド
»[1706] H31春 午後1 問3 設問3について 投稿数:5»[1705] SCの参考になるかもしれないマンガ 投稿数:3
»[1704] 情報セキュリティ管理基準と監査基準の違い 投稿数:4