アプリケーションの依存ライブラリのCPE登録は可能です。
ただし、以下の理由による誤検知や管理上の工数増が想定されるため、利用は推奨しておりません。
CPEスキャンではなく、Lockfileを用いたスキャンを推奨します。
以下の表にLockfileを用いたスキャンとCPEスキャンの比較を記載します。
Lockfileを用いたスキャン | CPEスキャン | |||
---|---|---|---|---|
データソース | 各種言語のデータソース | NVD, JVN | ||
データソースの品質 | ✅ |
各種プログラミング言語の一次情報利用する為、新規脆弱性の掲載がNVDに比べて早い。またCVEが割り当てられない脆弱性も検知できるので網羅性が高い。 |
❌ |
NVDやJVNは、影響を受けるプロダクト欄に記載されたCPEのカバー率の低さや表記ゆれ等が原因で精度が悪い。また新規脆弱性の掲載の速度が一般的に遅い。またCVEが割り当てられた脆弱性のみ検知されるため網羅性が低い。 |
スキャンの正確さ | ✅ | Lockfileやバイナリから構成情報を自動で抽出し、FutureVulsに自動登録するため正確。 内部で依存する内包するライブラリを再帰的に自動特定するため正確。 |
❌ |
手動で構成情報を調査して手動でCPEを登録するためミスの可能性がある。 登録したCPEの内部で依存する内包するライブラリは個別に登録しなければならないが列挙は困難であり列挙は難しい。 |
FutureVulsへの登録・更新 | ✅ | LockfileやJarなどから自動で構成情報を抽出して一括で登録できる。ライブラリアップデート時はスキャナ経由であれば自動でFutureVulsに反映できるので楽。 | ❌ | CPEを個別に一つ一つ登録するため手間。ライブラリアップデートのたびにFutureVulsに登録したCPEを更新する必要がるので手間がかかる。 |
コメント
0件のコメント
サインインしてコメントを残してください。