CVEとCWEの違い

Matsurikaさん  
(No.1)
CVE(共通脆弱性識別子)とCWE(共通脆弱性タイプ一覧)の違いについて

CVEは「CVE-西暦-番号」、CWEは「CWE-番号」といった形式の違いがあることは分かりましたが、それ以外の違いが分かりません。掲載されている脆弱性やその情報などに違いはあるのでしょうか。

どなたかご教授いただければ幸いです。
2024.09.10 01:04
たけしさん 
(No.2)
CVEはソフトウェア製品等で発生した脆弱性について
脆弱性の内容やCVSSの評価等、その製品で発生した脆弱性の詳細が記述されているもので
CWEは脆弱性の種類(XSSやCSRF等)に一意に番号が割り振られており
先ほど挙げたXSS(CWE-79)やCSRF(CWE-352)を例に、それらがどういう脆弱性なのかが記載されております。
用途として
CVEは自社で利用しているソフトウェア製品で脆弱性が発見された際に、その詳細の確認や
修正対応を行うために確認するもので
CWEは、先ほど挙げた二つの例で言うと
それらがどういう脆弱性なのかを確認する際に利用されるとのことです。
一度、何でもよいので適当な脆弱性についてご自身で検索して調べてみると
どういうものなのか、理解が早いと思います。
長文失礼しました。
2024.09.10 01:55
momochanさん 
(No.3)
IPAのサイトになります。
参考にしてみてください。

共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html

共通脆弱性タイプ一覧CWE概説
https://www.ipa.go.jp/security/vuln/scap/cwe.html
2024.09.10 07:34
Matsurikaさん  
(No.4)
たけし様、momochan様

ご回答ありがとうございます。早速調べてみました。

CWEはサイバー攻撃の種類の一覧、CVEは各企業がそれぞれの製品で見つかった脆弱性の詳細のことなんですね。
2024.09.10 11:20

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop