アプリケーション脆弱性対応 参照
アプリケーション脆弱性対応 では次の用語が使用されます。
- アプリケーション脆弱性一致アイテム (AVI)
- 脆弱性エントリーと自社環境における潜在的な脆弱性アプリケーションのペアリング。
- アサインルール
- 定義された基準に基づいて AVI をアサインするために使用されるルール。
- 共通プラットフォーム一覧 (CPE)
- 情報技術システム、ソフトウェア、およびパッケージのための NIST NVD 構造化命名スキーム。
- 一般的な脆弱性とエクスポージャー (CVE)
- 情報セキュリティの脆弱性とエクスポージャーに関する公知の辞書。
- 共通脆弱性タイプ一覧 (CWE)
- コミュニティで開発されたソフトウェアの脆弱性タイプのリスト。
- 統合
- CWE またはサードパーティシステム (Veracode など) からレポートデータをプルして、脆弱性データを取得するスケジュール済みジョブ。 注:脆弱性対応 の NIST National Vulnerability Database 統合がアクティブ化されて設定されている場合、CVE 拡張は CWE で使用できますが、必須ではありません。NIST National Vulnerability Database 統合の詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。
- 脆弱性情報データベース (NVD)
- セキュリティ設定共通化手順 (SCAP) を使用して表される、標準ベースの脆弱性管理データの米国政府リポジトリ。
- 修復ターゲットルール
- 定義された基準に基づいて、AVI に修復の目標期日をアサインするために使用されるルール。
- 脆弱性算出
- 定義された基準に基づいて、アプリケーションの脆弱性に優先順位を付けて分類するために使用される算出。