Security Information / Debian と CVE の互換性

Debian と CVE の互換性

Debian 開発者は Debian の正確な最新のセキュリティ情報の必要性を認識しており、 新しいセキュリティによる脆弱性のリスクをユーザが管理できるようにしています。 Common Vulnerabilities and Exposures プロジェクト (CVE) が、標準化したセキュリティ情報を提供できるようにし、 これにより CVE を活用したセキュリティ管理プロセスが構築できます。CVE は脆弱性やセキュリティ暴露のリストを標準化した名前で提供します。

Debian プロジェクトでは、Debian に影響するセキュリティ問題に関連する追加情報をユーザに提供することが極めて重要だと考えます。 勧告に CVE 名を含めることはユーザが一般の脆弱性を Debian の特定の更新と関連づけるのに役立ちます。これは、 ユーザに影響のある脆弱性の処理にとられる時間を少なくすることにつながります。

共通のセキュリティ情報が利用できることで CVE を活用したネットワークやホストの侵入検知システムといったセキュリティツールや、 Debian ベースに限らず、 既に配置されている脆弱性評価ツールではセキュリティの管理が楽になります。

Debian プロジェクトは 1998 年 9 月からレビュープロセスが開始された 2002 年 8 月までに公開された全セキュリティ勧告 (DSA) に CVE 名を追加しました。勧告はすべて Debian のウェブサイトおよび 新しい脆弱性に関連する発表の形で、その公開時に利用可能であれば CVE 名も含めて、取得することができます。

Debian Security Tracker は、CVE 名、関係する Debian パッケージ、Debian セキュリティ勧告、バグ番号の 標準のリストを保有しています。 パッケージ名または DSA/CVE 名に基づいて検索することができ、 Debian Woody のリリース以降のデータを格納しています。

CVE の状態に関する共通の質問

1. CVE プロセスにおける Debian の現状は ?
2. 入力した CVE 名が見つからないのは何故?
3. さらなる情報はどこで入手できますか?

質問: CVE プロセスにおける Debian の現状は ?

Debian セキュリティ勧告 (DSA) は 2004 年 2 月 24 日、CVE 互換だと認定されました。さらなる情報は CVE サイトにあります。よく聞かれる質問もあります。

質問: 入力した CVE 名が見つからないのは何故?

セキュリティトラッカーはすべての CVE 名を保有しているはずです。その他のリストでは、以下の理由により公開された CVE 名を入力しても該当しないことがあります:

• その脆弱性が Debian に影響しない。
• その脆弱性を対象とした勧告がまだ出ていない。
• その脆弱性に CVE 名が割り当てられる前に勧告が公開された。

質問: さらなる情報はどこで入手できますか?

さらなる情報については、CVE ウェブサイトをご覧ください。

Debian プロジェクトホームページに戻る。