NVDは多くの脆弱性をカバーしています。あなたが持っているものの他に:
- セキュリティフォーカス (bugtraq)
- [〜#〜] osvdb [〜#〜]
多くの場合、NVDCVEにリンクされています。従うべきもう1つの興味深いプロジェクトは、ベンダーとCVEの脆弱性の間のクロスリンクを提供する vFeed です。
これは開示された脆弱性を対象としていることに注意してください。公開されない可能性のある脆弱性はまだたくさんあります。
@Kurtの回答を補足するために:米国政府のリポジトリ脆弱性データベースである[NIST] NVD(National Vulnerability Database)についてコメントしたように、MITRECorp自体が提供するもう1つの脆弱性データベースは「CVEDetails.com」です。
MITER Corporationやその他の政府のリソース以外にも、すべてを知っているわけではないものがいくつかありますが、私が知っている最高のものをリストします。
1つ目はIBM XForce Exchange1。これは、MITRECVEに公開される前に脆弱性を追跡できる場所の1つです。一部をリークすることはそれほど珍しくない他のソースは、脆弱性がSecListであるという情報を受け取ります2 ソフトウェアの欠陥を発見した一部の人々は、cve.mitre.orgで発表する前にSeclistに電子メールを送信することを選択するため、電子メールでアラートを受け取るにはサブスクリプションが必要でした。
もう1つはCXSecurityです およびSeebug.org4、exploit-db.comよりも前に公開されたエクスプロイトまたはその記述を見つけることができる場所5
その他の情報源は次のとおりです。
- SecurityFocus 6
- SecurityTracker7
- PacketStorm8
- CERT脆弱性ノートデータベース9
- 日本脆弱性ノート1
- WordPress脆弱性データベース11
- Skybox Vulnerability Center12
注意:上記のこれらの脆弱性データベースの情報を利用したい場合は、トラブルを避けるために、使用する前に利用規約を読むことをお勧めします。
現在、NVDはMitre CVEデータベースからのみプルします。これは変更されますが、現時点では、Mitreにエントリが書き込まれていない場合、NVDデータベースには含まれません。 Mitreに関しては、私たち(Red Hat)がMitreデータベースにない1,000を超えるCVEを割り当てており、Mitreが割り当てたCVEの一部(たとえば、oss-security @メーリングリスト)でさえ、その後データベースにないことを知っています。数週間/数か月、膨大なバックログがあります。
良いニュースは、オープンソースの場合、少なくともDWFプロジェクト(Distributed Weakness Filing Project https://distributedweaknessfiling.org )がこれ以上に対処することです。