Association CVE

9.2.13 Disponible à partir de la version 9.2.13. Utilisez l'association cve pour extraire des informations sur les CVE (Common Vulnerabilities and Exposures) qui ont été mises en correspondance avec un composant spécifique via sa version détaillée dans le cadre d'autres requêtes d'API REST.

Association

cve

API REST applicables

Vous pouvez utiliser l'association cve avec les API REST suivantes :

Syntaxe

<URL>?columns[]=cve.<column>&token=<token>

Description de schéma

Pour extraire la liste de toutes les colonnes renvoyées par cette association, ainsi que leurs descriptions, utilisez la demande suivante : 
GET api/sam/schemas/associations/cve.json?token=<token>

Colonnes disponibles

Tableau 1. Colonnes avec des informations sur les CVE
Property Description Type
name Identificateur unique de la vulnérabilité tel qu'il est affecté dans la base de données de vulnérabilité nationale. Chaîne
base_severity Gravité de la CVE. Valeurs possibles :
  • 0 - Néant
  • 1 = Faible
  • 2 = Moyenne
  • 3 = élevée
  • 4 - Critique
 éntier
base_score Score de base de la CVE qui représente les caractéristiques innées de la vulnérabilité. Il correspond à la gravité de la CVE. Par exemple, le score de base situé dans la plage entre 0,1 et 3,9 équivaut à une gravité faible dans CVSS v 3.0. Pour plus d'informations, voir : Métriques de vulnérabilités. Flottant
vector_string Chaîne vectorielle de la CVE dans le système CVSS. Il s'agit d'une représentation textuelle des valeurs métriques utilisées pour évaluer la vulnérabilité. Chaîne
exploitability_score Sous-score d'exploitation de la CVE qui représente la facilité et les moyens techniques par lesquels la vulnérabilité peut être exploitée. Flottant
impact_score Sous-score d'impact de la CVE indiquant le degré d'importance des conséquences si la vulnérabilité est exploitée. Flottant
source_version version de CVSS utilisée comme source d'informations sur la gravité et les métriques de la CVE. Valeurs possibles :
  • 2 - CVSS v2.0
  • 3 - CVSS v3.0
 éntier
publish_date Date et heure auxquelles la CVE a été publiée dans la base de données de vulnérabilité nationale. Chaîne
modified_date Date et heure auxquelles la CVE a été modifiée pour la dernière fois dans la base de données de vulnérabilité nationale. Chaîne
description Description des détails de la CVE Chaîne

Tri et filtrage

Remarque : Il n'est pas recommandé de filtrer les informations de plus de deux propriétés de CVE propriétés à la fois en raison de la haute consommation des ressources de base de données.
  • Lorsque vous filtrez des réponses d'API REST en fonction d'une propriété CVE, le filtre affiche tous les composants répondant aux critères spécifiés en effectuant une recherche dans la liste complète des CVE de chaque composant signalé.
  • Les CVE renvoyées pour un composant unique sont triées en fonction de la valeur base_score.
  • Les réponses d'API REST ne peuvent pas être triées par colonnes depuis l'association cve car l'association renvoie plusieurs CVE pour chaque composant.