2021년 log4j 취약점이 발견되며 log4j를 사용하는 다양한 웹서비스와 오픈소스에서 취약점 대응을 진행했습니다.
이처럼 오픈소스를 많이 사용하면서 오픈소스 취약점 또한 대두되고 있어, 취약점 정보를 확인할 수 있고 더 나아가 REST API를 이용해 데이터를 받아 올 수 있는 NVD 사이트에 대해 소개하려고 합니다.
NVD ?
The NVD is the U.S. government repository of standards based vulnerability management data represented using the Security Content Automation Protocol (SCAP).
NVD는 SCAP(Security Content Automation Protocol)를 사용하여 표시되는 표준 기반 취약성 관리 데이터의 미국 정부의 레파지토리입니다. 번역투라 말이 어렵지만 어쨌든 NVD는 미국 정부의 Repository라고 하네요!
The NVD is a product of the NIST Computer Security Division, Information Technology Laboratory and is sponsored by the Cybersecurity & Infrastructure Security Agency.
NVD는 정보 기술 연구소의 NIST 컴퓨터 보안부서의 제품이며 사이버 보안 및 인프라 보안 기관에서 후원합니다.
The NVD performs analysis on CVEs that have been published to the CVE Dictionary. NVD staff are tasked with analysis of CVEs by aggregating data points from the description, references supplied and any supplemental data that can be found publicly at the time. This analysis results in association impact metrics (Common Vulnerability Scoring System - CVSS), vulnerability types (Common Weakness Enumeration - CWE), and applicability statements (Common Platform Enumeration - CPE), as well as other pertinent metadata. The NVD does not actively perform vulnerability testing, relying on vendors, third party security researchers and vulnerability coordinators to provide information that is then used to assign these attributes. As additional information becomes available CVSS scores, CWEs, and applicability statements are subject to change. The NVD endeavors to re-analyze CVEs that have been amended as time and resources allow to ensure that the information offered is up to date.
NVD는 CVE Dictionary에 published(등록)된 CVE에 대한 분석을 수행합니다. NVD 직원은 데이터를 집계하여 CVE를 분석하는 작업을 수행합니다. 이 분석을 통해 연관 영향 메트릭(Common Vulnerability Scoring System - CVSS), 취약점 유형(Common Weakness Enumeration - CWE), 적용 가능성 설명(Common Platform Enumeration - CPE) 및 기타 관련 메타데이터가 생성됩니다. NVD는 이러한 속성을 할당하는 데 사용되는 정보를 제공하는 공급업체, 타사 보안 연구원 및 취약성 조정자에 의존하여 취약성 테스트를 적극적으로 수행하지 않습니다. 추가 정보가 제공되면 CVSS 점수, CWE 및 적용 가능성 진술이 변경될 수 있습니다.
내용 출처 : https://nvd.nist.gov/general 번역