信頼度#
FutureVuls のタスクの 信頼度
とは、脆弱性の検知方法の信頼度のことです。
FutureVuls では以下のように、 OSS Vuls によって決定される Confidence
を元に、信頼度を定義しています。
- OSS Vuls の処理内で、各検知方法 (
Detection Method
) ごとに 1~100 のConfidence
が割り当てられています。- 各
Detection Method
/Confidence
については、OSS Vuls のドキュメント をご確認ください。
- 各
- 脆弱性を検知する際、OSS Vuls は各脆弱性に対し
Detection Method
を付与します。 - FutureVuls では、付与された
Detection Method
に対応するConfidence
の値に応じて信頼度が決定されます。1 < Confidence <= 10
の場合:「信頼度: 低」10 < Confidence <= 100
の場合:「信頼度: 高」
信頼度の表示方法#
タスクタブの 信頼度
カラムでは、信頼度の高低に応じて以下のように表記されます。
- ✓:「信頼度: 高」
- !:「信頼度: 低」 また、タスク詳細表示には、以下の2点が掲載されます。
- 脆弱性に対し OSS Vuls によって付与された検知方法と、 検知方法に対応する
Confidence
の値 - 誤検知のアラート (信頼度が低いと判定された場合のみ)
信頼度が高い/低いと判定される具体的な検知方法#
OSS Vuls のドキュメント を元に、信頼度が低いと判定される検知方法と、高いと判定される検知方法について、それぞれ具体的に記します。
信頼度が低いとされる検知方法#
「信頼度が低い」と判定される具体的な検知方法は以下の3つで、いずれも CPE スキャンで用いられる検知方法です。
検知方法 | 説明 |
---|---|
NvdVendorProductMatch | ・CPEのバージョン情報がない状態で、NVD を元に脆弱性が検知された時の検知方法です。 ・ cpe:/a:microsoft:edge のように、バージョンを指定せずに登録した CPE に対して脆弱性が検知された場合に付与されます。 |
FortinetVendorProductMatch | CPE のバージョン情報がない状態で、Fortinet のデータソースを元に脆弱性が検知された時の検知方法です |
JvnVendorProductMatch | CPE の脆弱性が NVD および Fortinet のデータソースに存在せず、JVN のみで検知された時の検知方法です。JVNの検知処理はでバージョン情報のレンジ比較が出来ないため、定義されたCPEの Part , Vendor , Product に該当する全件が検知されます。このため、信頼度が低いと判定されます。 |
信頼度が高いとされる検知方法#
- CPE スキャン以外のスキャン方法の場合
- 「信頼度: 高」と判定されます。
- CPE スキャンの場合
信頼度が低いとされる検知方法
の項に記した検知方法以外の方法が付与された場合、「信頼度: 高」と判定されます。- 「信頼度: 高」となる CPE スキャンの検知方法として、例えば
NvdExactVersionMatch
が挙げられます。NvdExactVersionMatch
は、CPE がセマンティックバージョニング形式で一致、もしくは完全一致する場合に付与される検知方法です。 cpe:2.3:a:microsoft:edge_chromium:118.0.2088.88:*:*:*:*:*:*:*
(該当の NVD ページ) のように、バージョンが指定された CPE に対して脆弱性が検知された場合、NvdExactVersionMatch
が付与されます。
信頼度が低い脆弱性への対応方法#
信頼度が低い場合、誤検知の可能性が高いです。そのため、誤検知かどうかをご確認いただくことを推奨しています。 信頼度の低いタスクが誤検知かどうかを判断するためには、脆弱性詳細の一次情報やディストリビューションサポートページ、Referenceのリンクなどで詳細を確認してください。 もし影響ないことが確認できた場合は、タスクを非表示にしてステータスを「NOT_AFFECTED」に変更するなどで対応してください。