ITmedia NEWS >

オープンソース脆弱性データベース公開

» 2004年04月03日 09時41分 公開
[ITmedia]

 コミュニティー主体の脆弱性データベース構築を目指して2002年に立ち上がったプロジェクト、Open Source Vulnerability Database(OSVDB)のWebサイト(www.osvdb.org)上で、データベースの公開が始まった。

 これは、情報セキュリティコミュニティーの個々人が利用できる独立系の脆弱性データベースを構築・運営していこうという試み。サイト上の説明によると、2002年8月のBlack Hat & DEFCONカンファレンスで構想が発表された後、一時、プロジェクトの推進機運が消滅しかけた時期もあったが、2003年8月のDEFCONで新メンバーを起用して取り組みを再開、2004年3月31日、データベース一般公開の運びとなった。

 OSVDBは、非営利の公平な立場で脆弱性情報を網羅し、脆弱性にかかわる各種ニーズに対応できる「集約地点」として機能することを目指している。第1段階として、脆弱性情報をデータベースに追加するためのオンラインコンテンツ管理システムを構築。同システムは、脆弱性についての初期調査とレコードの作成、評価プロセス、および最終レコードとしての公開データベース登録に対応しているという。公開前の事前テストを通じて、必要なタスクの合理化と、調査・相互参照をしやすくするための改良を図ったとしている。

 オンラインデータベース検索簡易化のためのツールも開発中。また高度な自動化を求める利用者のために、XML版データベースを開発するとしている。RSSに似た「プッシュ式」自動掲載にも取り組んでいる。

 OSVDBサービスのライセンスについては、既にフリーライセンスのワーキングドラフトが掲示されているが、現在さらなる検討が進められており、6月までに最終的なプロジェクトライセンスを作成するとしている。

Copyright © ITmedia, Inc. All Rights Reserved.