cve 関連付け
9.2.13 から使用可能です。cve 関連付けを使用して、他の REST API 要求の一部として、特定のコンポーネントの詳細バージョンと一致した共通脆弱性と暴露 (CVE) に関する情報を取得します。
アソシエーション
cve
適用可能な REST API
cve 関連付けは、以下の REST API とともに使用できます:構文
<URL>?columns[]=cve.<column>&token=<token>スキーマの説明
この関連付けによって返されるすべての列のリストをその説明と一緒に取得するには、次の要求を使用します。
GET api/sam/schemas/associations/cve.json?token=<token>利用可能な列
| プロパティー | 説明 | タイプ |
|---|---|---|
| name | National Vulnerability Database で割り当てられている脆弱性の固有 ID。 | 文字列 |
| base_severity | CVE の重大度。使用可能な値:
|
整数 |
| base_score | 脆弱性の固有の特性を表す CVE の基本スコア。CVE の重大度にマップされます。例えば、0.1 から 3.9 までの範囲内の基本スコアは、CVSS v3.0 の重大度「低」と同等です。詳しくは、こちらを参照してください: 「Vulnerability Metrics」。 | 浮動小数 |
| vector_string | CVSS システム内の CVE のベクトル・ストリング。脆弱性のスコアを示すために使用されるメトリック値のテキスト表現です。 | 文字列 |
| exploitability_score | CVE の悪用の可能性サブスコア。脆弱性の悪用の容易性と、悪用される場合の技術的な手段を表します。 | 浮動小数 |
| impact_score | CVE の影響度サブスコア。脆弱性が悪用された場合にどれくらい重大な影響が生じるかを示します。 | 浮動小数 |
| source_version | CVSS のバージョン。CVE の重大度とメトリックについての情報源として使用されます。使用可能な値:
|
整数 |
| publish_date | CVE が National Vulnerability Database に公開された日時。 | 文字列 |
| modified_date | CVE が National Vulnerability Database で最後に変更された日時。 | 文字列 |
| description | CVE の詳細の説明 | 文字列 |
ソートおよびフィルター処理
注: データベース・リソースが大量に消費されるため、一度に 2 つ以上の CVE プロパティーで情報をフィルタリングすることは推奨されません。
- REST API 応答を CVE プロパティーでフィルタリングすると、フィルターは報告された各コンポーネントのすべての CVE リストを検索し、指定された基準を満たすすべてのコンポーネントを表示します。
- 単一のコンポーネントに対して返される CVE は、base_score 値によってソートされます。
cve関連付けは各コンポーネントに対して複数の CVE を返すため、この関連付けの列で REST API 応答をソートすることはできません。