花屋V5
CE
注 2024-09-17 CVE リポジトリ履歴レコードの修正: 2023 年より前に元々公開され、予約/公開/更新日が間違っていた CVE レコードが修正されました。このアクションにより、JSON 5.0 CVE レコード採用の一環として、誤った予約日、公開日、または更新日が割り当てられていた約 27,000 のレコードが修正されました。
注 2024-07-31 CVE レコードには、 CVE プログラム コンテナと呼ばれる新しいコンテナが含まれる場合があります。この新しいコンテナは、プログラムが追加した参照を含めるために CVE プログラムによって追加された追加情報を提供します。このリポジトリのユーザーは、2 つのコンテナを処理する必要がある場合があります。詳細については、以下を参照してください。
注 2024 年 5 月 8 日午後 5 時 30 分: CVE REST サービスは、2024 年 5 月 8 日午後 5 時 30 分 (東部夏時間) に CVE レコード形式スキーマ 5.1 に更新されました。今回の更新により、このリポジトリ内の CVE レコードは 5.0 または 5.1 形式のレコードになる可能性があります。形式は「dataversion」フィールドに反映されます。 CVE レコードを「検証」するこのリポジトリのユーザーは、このフィールドに反映されている適切なバージョンのスキーマ (つまり、5.0 または 5.1) を使用してレコードを検証することをお勧めします。公開/更新日の値には不一致があるため、ユーザーは新しい形式の展開日 (つまり、2024 年 5 月 8 日午後 5 時 30分 EDT) に基づいて使用するスキーマを決定しないでください。
このリポジトリは公式 CVE リストです。これは、CVE プログラムによって識別された、または CVE プログラムに報告されたすべての CVE レコードのカタログです。
このリポジトリは、CVE レコード形式の CVE レコードのダウンロード可能なファイルをホストします (スキーマを表示)。これらは、公式 CVE サービス API を使用して定期的に (約 7 分ごと) 更新されます。 CVE プログラムの利用規約に従って、このリポジトリでホストされているコンテンツを検索、ダウンロード、および使用できます。
レガシー形式のダウンロードはサポートされなくなりました - レガシー CVE コンテンツ ダウンロード形式 (CSV、HTML、XML、CVRF) のサポートはすべて 2024 年 6 月 30 日に終了しました。これらのレガシー ダウンロード形式は更新されず、段階的に廃止されました。 2024 年の最初の 6 か月間で、CVE レコードのダウンロードでサポートされる唯一の方法として、このリポジトリに置き換えられました。詳細については、こちらをご覧ください。
CVE レコードは複数のコンテナで構成できるようになりました。
2024 年 7 月 31 日以降に CVE レコードに追加されたすべての CVE プログラム参照は、そのレコードの CVE プログラム コンテナに保存されます。 CNA が提供する参照は、引き続き CNA コンテナに保存されます。
CVE プログラム コンテナは、CVE レコード内の ADP コンテナ形式で実装されます。
CVE プログラム コンテナーに含まれる特定の JSON/CVE レコード フィールドは次のとおりです。
CVE プログラム コンテナ内の参照は、CNA コンテナ内の参照と同じ形式を維持します。
CVE プログラム コンテナには、 x_transferredタグを持つ参照が含まれる場合があります。このタグが付いている参照は、2024 年 7 月 31 日に CNA コンテナから読み取られました。これは、2024 年 7 月 31 日時点の CNA 参照リストの「状態」を維持するための「1 回限り」のコピーです。この日付以降に CVE プログラムによって追加された参照には、*x_transfered" タグが付きません。
2024 年 7 月 31 日以降に作成された新しい CVE レコードの場合、プログラム提供の強化されたデータが追加されない場合、CVE レコードに関連付けられた CVE ポーグラム コンテナーは存在しません。
必要なコンテナ処理: 2024 年 7 月 31 日以降、CVE リポジトリで報告された脆弱性に関するすべての情報を取得するには、ツール ベンダーとコミュニティ ユーザーは CVE レコード CNA コンテナと CVE プログラム コンテナ (存在する場合) を調べる必要があります。これら 2 つのコンテナは、プログラムに必要なコア情報を取得するために最小限必要です。他のすべての ADP コンテナは、プログラムの観点からはオプションのままです。
参照が重複する可能性参照が重複する可能性は、複数の組織が別々の場所で参照を提供していることによって発生します。ダウンストリーム ユーザーは、CNA コンテナと CVE プログラム コンテナの間で潜在的な参照の重複を解決する適切な方法を決定する必要があります。
CISA-ADP コンテナは、今後および遡って 2024 年 2 月までの CVE レコードに付加価値情報を提供するために、6 月 4 日に開始されました。
CISA ADP は、CVE レコードを強化するための 3 つのコンポーネントを提供しています。
提供される情報とその記録形式の詳細については、CISA ADP プロセスまたは CISA Vulnrichment github サイトを参照してください。
このリポジトリから CVE レコードをダウンロードするには、主に 2 つの方法があります。
gitクライアントを使用する — これは、ほとんどの開発者が使い慣れているツールを使用して CVE リストを最新の状態に保つ最も速い方法です。詳細については、以下のgitセクションを参照してください。 gitコマンド ライン ツールまたは任意の git UI クライアントを使用するのが、CVE リストを最新の状態に保つ最も簡単な方法です。まず、このリポジトリのクローンを作成します: git clone [email protected]:CVEProject/cvelistV5.git 。クローンを作成したら、他の GitHub リポジトリと同様に、最新の更新を取得する必要があるときにいつでもgit pull実行できます。
このリポジトリには、公式 CVE サービス API から生成された現在のすべての CVE レコードのリリース バージョンが含まれています。すべての時刻は協定世界時 (UTC) で表示されます。各リリースには、前回のリリース以降に追加または更新された CVE の説明と、ダウンロードが含まれる「アセット」セクションが含まれています。 zip ファイルは非常に大きいため、ダウンロードに時間がかかることに注意してください。
Year-Month-Day_all_CVEs_at_midnight.zip (例: 2024-04-04_all_CVEs_at_midnight.zip ) で資産の下に投稿されます。このファイルは 24 時間変更されません。 zip ファイルを使用して CVE リストを毎日 (またはそれほど頻繁ではなく) 更新している場合、これが最適です。Year-Month-Day _delta_CVEs_at_Hour 00Z.zip 」 (例: 2024-04-04_delta_CVEs_at_0100Z.zip ) を使用して「資産」の下に提供されます。これは、CVE リストを時間ごとに正確にする必要がある場合に役立ちます。このファイルには、ベースライン zip ファイル以降の差分のみが含まれることに注意してください。 CVE プログラムは現在、CVE リストのダウンロードに関して次の問題を認識しています。これらの問題は現在、CVE Automation Working Group (AWG) によって対処されています。更新または解決策が利用可能になった場合は、ここに記載されます。
2024 年 9 月 17 日更新: 2023 年より前に公開された一部の CVE レコードには、公開日、予約日、更新日が間違っていました。 2024 年 9 月 17 日の時点で、これは修正されました。
2024 年 9 月 17 日追加: 2024 年 5 月 8 日から 2024 年 6 月 7 日までの間に MITRE CNA-LR によって発行された CVE レコードには、発行日と更新日の不一致が存在します (約 515 件のレコードに影響します)。
CVE メトリクス (およびその他の公開/更新データに敏感な分析) 用のこのリポジトリのユーザーは、この問題に注意する必要があります。修正は近日中に行われる予定です。
次のいずれかを使用してください。
このリポジトリには、CVE プログラム パートナーによって公開された CVE レコードが含まれています。プルリクエストは受け付けません。
git clone を使用してリポジトリのクローンを作成できます。ただし、プルリクエストは受け付けられません。
CVE リクエスト Web フォームを使用し、ドロップダウンから「その他」を選択してください。
