[ main >> JVNRSS 1.0 ]

JVNRSS - JP Vendor Status Notes RDF Site Summary

要約

脆弱性対策情報の記述については、概要記述向け (JVNRSS, mod_sec) と詳細記述向け (VULDEF) という情報の記述粒度による使い分けを想定しています。 本仕様書では、概要記述向けの JVNRSS の仕様について記載しています。
The classification of JVNRSS and VULDEF

JVNRSSは、脆弱性対策情報の概要記述用XMLフォーマットで、サイトの概要をメタデータとして簡潔に記述するXMLフォーマットであるRSS (RDF Site Summary) 1.0 をベースとした仕様であり、他サイトに掲載可能な形式で発信する仕組み、脆弱性対策情報のグループ化や抽出した情報の再構成などの点から、脆弱性対策情報の利活用を促進することを目的としています。

mod_secは、JVNRSSの拡張仕様で、RSS 1.0, RSS 2.0, Atom での利用を想定した汎用的な仕様となっています。 mod_secについては、http://jvnrss.ise.chuo-u.ac.jp/jtg/mod_sec/ を参照してください。

VULDEFは、脆弱性対策情報を詳細に記述するためのXMLフォーマットであり、 各々の製品開発ベンダ・組織が作成する対策情報のコア・フォーマットと成り得ること、各々のニーズを満たす為の例外的な詳細部について記述可能なマージンを取っておくこと、将来的な予測不能な新たな記述に対して、拡張可能であることを前提に作成しています。 VULDEFについては、http://jvnrss.ise.chuo-u.ac.jp/jtg/vuldef/ を参照してください。

著者

JVNRSS Feasibility Study Team のメンバ:

Masato Terada (IPA, JPCERT/CC)
JVN Working Group (JPCERT/CC, IPA)

バージョン

最新版
http://jvnrss.ise.chuo-u.ac.jp/jtg/jvnrss/
V1.0 2005-09-09
http://jvnrss.ise.chuo-u.ac.jp/jtg/jvnrss/1.0/
V1.0 は、http://jvn.jp/rss/jvnrss.html に掲載されている仕様です。
V1.0alpha と V1.0 の差分については、http://jvn.doi.ics.keio.ac.jp/rss/index.html を参照してください。
JVNRSS の仕様を取り込んだ RSS 1.0, RSS 2.0, Atom 向けの拡張仕様については、mod_sec を参照してください。
V1.0alpha 2003-07-15
http://jvn.doi.ics.keio.ac.jp/rss/index.html (in Japanese)

問合せ先

コメントなどがありましたら、JVN Working Group に送付してください。

著作権

Copyright © 2006 by the Authors.

目次

1. 概要
2. 記述方法
3. 例題
4. 参考情報
5. 謝辞

1. 概要

JVNRSS (JVN RDF Site Summary) は、RDF Site Summary (RSS) 1.0 と Dubline Core で定義されている <dc:relation> フィールドを用いたセキュリティ情報を配信するための XML フォーマットです。
<dc:relation> に関連情報を記載した JVNRSS のフォーマットは次のようになります。

<item rdf:about="製品開発ベンダが掲載するセキュリティ情報のURI">
 <title>セキュリティ情報のタイトル</title>
 <link>セキュリティ情報のURI</link>
 <dscription>セキュリティ情報の概要</description>
  <dc:publisher>組織名(製品開発ベンダ名)</dc:publisher>
  <dc:creator>問合せ先(メールアドレスを推奨)</dc:creator>
  <dc:identifier>製品開発ベンダ固有のセキュリティ情報 ID</dc:identifier> 
  <dc:relation>関連情報 (1) {JVN|CVE|CERT-CA|CERT-VUなど}</dc:relation>
  <dc:relation>関連情報 (2) {JVN|CVE|CERT-CA|CERT-VUなど}</dc:relation>
  <dc:relation>          :          :          </dc:relation>
  <dc:date>更新日</dc:date>
  <dcterms:issued>発行日</cterms:issued>
  <dcterms:modified>更新日</dcterms:modified>
</item>

JVNRSSはリンク先を記述した</item>の一覧から構成し、各</item>にはリンク先のタイトル、概要などの情報を記載します。関連情報は、他のサイトで掲載されているセキュリティ情報同士を関連付けるための情報であり、Common Vulnerability Exposure (CVE), CERT Advisory (CERT-CA), CERT Vulnerability Notes (CERT-VU, US-CERT Vulnerability Notes), US-CERT Technical Alert, NIST National Vulnerability Database (NVD), CIAC Bulletinなどの主要なセキュリティ情報を参照します。

2. 記述方法

表記法:
要素の表記法は、次の通りです。

2.1 <rdf:RDF>

rdf: は RDF の名前空間接頭辞です。

Syntax: <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns="http://purl.org/rss/1.0/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:dcterms="http://purl.org/dc/terms/" >
Requirement: 必須
Model: (channel, image?, item+, textinput?)

2.2 <channel>

channel 要素は、セキュリティ情報自身に関する基本情報として、タイトル、概要、該当する情報への URL リンクなどから構成されています。rdf:about 属性には、セキュリティ情報のチャンネル URI として、掲載する JVNRSS ファイル自身の URI を記載します。

Syntax: <channel rdf:about="{セキュリティ情報のチャンネル URI}">
Requirement: 必須
Required Attribute(s): rdf:about
Model: (title, link, description, image?, items, textinput? dc:publisher, dc:creator, dc:rights?, dc:date, dcterms:issued?, dcterms:modified?)
Example:

<channel rdf:about="http://jvn.jp/rss/jvn.rdf"> [必須]
 <title>JVNRSS Feed - Update Entry</title> [必須]
 <link>http://jvn.jp/</link> [必須]
 <description>JVNサイト新着ならびに更新情報</description> [必須]
 <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher> [必須]
 <dc:creator>jvn@jvn.jp</dc:creator> [必須]
 <dc:right>Copyright © 2006 by the Authors.</dc:right> [オプショナル]
 <dc:date>2006-04-03T10:04+09:00</dc:date> [必須]
 <dcterms:issued /> [オプショナル]
 <dcterms:modified>2006-04-03T10:04+09:00</dcterms:modified> [オプショナル]
 <items>
  <rdf:Seq>
   <rdf:li rdf:resource="http://jvn.jp/cert/JVNVU%23834865" /> [必須]
   <rdf:li rdf:resource="http://jvn.jp/cert/JVNTA06-062A" /> [必須]
  </rdf:Seq>
 </items>
</channel>

2.2.1 <title>

channel 要素内に記載された title 要素 {セキュリティ情報のチャンネルタイトル} には、JVNRSS ファイルのタイトルを記載します。

Syntax: <title>{セキュリティ情報のチャンネルタイトル}</title>
Requirement: 必須
Model: (#PCDATA)

2.2.2 <link>

channel 要素内に記載された link 要素 {セキュリティ情報が掲載されている URI} には、対象とするサイトの URI(ホームページや新着情報などのページ URI)を記載します。

Syntax: <link>{セキュリティ情報が掲載されているURI}</link>
Requirement: 必須
Model: (#PCDATA)

2.2.3 <description>

channel 要素内に記載された description 要素 {セキュリティ情報の概要} には、JVNRSS ファイルの内容や概要の説明を記載します。

Syntax: <description>{セキュリティ情報の概要}</description>
Requirement: 必須
Model: (#PCDATA)

2.2.4 <dc:publisher>

channel 要素内に記載された dc:publisher 要素 {組織名(製品開発ベンダ名)} には、JVNRSS 情報を発信する組織名 (製品開発ベンダ名) を記載します。
dc: は、RDF Site Summary 1.0 Modules: Dublin Core の名前空間接頭辞です。

Syntax: <dc:publisher>{組織名(製品開発ベンダ名)}</dc:publisher>
Requirement: 必須
Model: (#PCDATA)

2.2.5 <dc:creator>

channel 要素内に記載された dc:creator 要素 {問合せ先(メールアドレスを推奨)} には、JVNRSS 情報を発信する組織 (製品開発ベンダ) の問合せ先を記載します。

Syntax: <dc:creator>{問合せ先(メールアドレスを推奨)}</dc:creator>
Requirement: 必須
Model: (#PCDATA)

2.2.6 <dc:rights>

channel 要素内に記載された dc:rights 要素 {コピーライト} には、発信する JVNRSS 情報に関する著作権を記載します。

Syntax: <dc:rights>{コピーライト}</dc:rights>
Requirement: オプショナル
Model: (#PCDATA)

2.2.7 <dc:date>

channel 要素内に記載された dc:date 要素 {更新日} には、JVNRSS ファイルを更新した日付を記載します。dc:date 要素は、dcterms:modified 要素と重複する内容ですが、多くの RSS リーダが日付情報の参照先として、dc:date 要素を利用していることから、必須項目としています。

Syntax: <dc:date>{更新日}</dc:date>
Requirement: 必須
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

2.2.8 <dcterms:issued>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、channel 要素内に記載された dcterms:issued 要素 {発行日} には、JVNRSS ファイルを最初に発行した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。
dcterms: は、RDF Site Summary 1.0 Modules: Qualified Dublin Core の名前空間接頭辞です。

Syntax: <dcterms:issued>{発行日}</dcterms:issued>
Requirement: オプショナル
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

2.2.9 <dcterms:modified>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、channel 要素内に記載された dcterms:modified 要素 {更新日} には、JVNRSS ファイルを更新した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。

Syntax: <dcterms:modified>{更新日}</dcterms:modified>
Requirement: オプショナル
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

2.2.10 <items>

item 要素 [2.3] の一覧を記載します。item 要素の rdf:about 属性で参照する URI を rdf:li 要素の rdf:resource 属性で示します。

Syntax: <items><rdf:Seq><rdf:li resource="{item 要素の rdf:about 属性と同じ URI}" /> ... </rdf:Seq></items>
Requirement: 必須

2.3 <item>

item 要素は、個々のセキュリティ情報自身に関する基本情報として、タイトル、概要、該当する情報への URL リンクなどから構成されています。rdf:about 属性には、製品開発ベンダが掲載するセキュリティ情報のURI として、掲載する各セキュリティ情報自身の URI を記載します。

Syntax: <item rdf:about="{製品開発ベンダが掲載するセキュリティ情報のURI}">
Requirement: >= 1
Required Attribute(s): rdf:about
Model: (title, link, description?, dc:publisher, dc:identifier?, dc:relation, dc:date, dcterms:issued?, dcterms:modified?)
Example:

<item rdf:about="http://jvn.jp/cert/JVNVU%23834865">
 <title>sendmailにおけるシグナルの扱いに関する脆弱性</title>
 <link>http://jvn.jp/cert/JVNVU%23834865</link>
 <description>sendmailには、非同期シグナルの扱いに脆弱性があり、
 特殊な条件下において競合状態になる可能性があります。詳しくはJVNをご覧ください。</description>
 <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
 <dc:creator>jvn@jvn.jp</dc:creator>
 <dc:identifier>JVNVU#834865</dc:identifier>
 <dc:relation>http://www.us-cert.gov/cas/techalerts/TA06-081A.html</dc:relation>
 <dc:relation>http://www.kb.cert.org/vuls/id/834865</dc:relation>
 <dc:relation>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0058</dc:relation>
 <dc:date>2006-04-03T10:30+09:00</dc:date>
 <dcterms:issued>2006-03-23T04:00+09:00</dcterms:issued>
 <dcterms:modified>2006-04-03T10:30+09:00</dcterms:modified>
</item>

2.3.1 <title>

item 要素内に記載された title 要素 {セキュリティ情報のタイトル} には、各セキュリティ情報のタイトルを記載します。

Syntax: <title>{製品開発ベンダが掲載するセキュリティ情報の URI}</title>
Requirement: 必須
Model: (#PCDATA)

2.3.2 <link>

item 要素内に記載された link 要素 {セキュリティ情報の URI} には、掲載する各セキュリティ情報自身の URI を記載します。item 要素の rdf:about 属性で参照する URI と同値をとります。

Syntax: <link>{セキュリティ情報の URI}</link>
Requirement: 必須
Model: (#PCDATA)

2.3.3 <description>

item 要素内に記載された description 要素 {セキュリティ情報の概要} には、掲載する各セキュリティ情報自身の概要を入力します。

Syntax: <description>{セキュリティ情報の概要}</description>
Requirement: オプショナル
Model: (#PCDATA)

2.3.4 <dc:publisher>

item 要素内に記載された dc:publisher 要素 {組織名(製品開発ベンダ名)} には、各セキュリティ情報を発信する組織名 (製品開発ベンダ名) を記載します。

Syntax: <dc:publisher>{組織名(製品開発ベンダ名)}</dc:publisher>
Requirement: 必須
Model: (#PCDATA)

2.3.5 <dc:creator>

item 要素内に記載された dc:creator 要素 {問合せ先(メールアドレスを推奨)} には、各セキュリティ情報を発信する組織 (製品開発ベンダ) の問合せ先を記載します。

Syntax: <dc:creator>{問合せ先(メールアドレスを推奨)}</dc:creator>
Requirement: オプショナル
Model: (#PCDATA)

2.3.6 <dc:identifier>

item 要素内に記載された dc:identifier 要素 {製品開発ベンダ固有のセキュリティ情報 ID} には、製品開発ベンダが、各セキュリティ情報に付与したセキュリティ情報 ID を記載します。

Syntax: <dc:identifier>{製品開発ベンダ固有のセキュリティ情報 ID}</dc:identifier>
Requirement: オプショナル
Model: (#PCDATA)

2.3.7 <dc:relation>

item 要素内に記載された dc:relation 要素 {関連情報} には、もととなるセキュリティ情報や関連情報の URI として、JVN, CVE, CERT Advisory (CERT-CA), CERT Vulnerability Note (CERT-VU), CIAC Bulletin などの参照先として普及しているセキュリティ情報の URL を記載します。

Syntax: <dc:relation>{関連情報}</dc:relation>
Requirement: 必須
Model: (#PCDATA)
Comment:

2.3.8 <dc:date>

item 要素内に記載された dc:date 要素 {更新日} には、該当するセキュリティ情報を更新した日付を記載します。dc:date 要素は、dcterms:modified 要素と重複する内容ですが、多くの RSS リーダが日付情報の参照先として、dc:date 要素を利用していることから、必須項目としています。

Syntax: <dc:date>{更新日}</dc:date>
Requirement: 必須
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

2.3.9 <dcterms:issuede>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、item 要素内に記載された dcterms:issued 要素 {発行日} には、該当するセキュリティ情報を最初に発行した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。

Syntax: <dcterms:issued>{発行日}</dcterms:issued>
Requirement: オプショナル
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

2.3.10 <dcterms:modified>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、item 要素内に記載された dcterms:modified 要素 {更新日} には、該当するセキュリティ情報を更新した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。

Syntax: <dcterms:modified>{更新日}</dcterms:modified>
Requirement: オプショナル
Model: (#PCDATA) [W3CDTF]
Recommendation: YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

3. 例題

JVNRSS 1.0 は、RSS 1.0, Dublin Core と Qualified Dublin Core の要素を使用して記述します。

<?xml version="1.0" encoding="UTF-8" ?>

<rdf:RDF
  xmlns="http://purl.org/rss/1.0/"
  xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
  xmlns:dc="http://purl.org/dc/elements/1.1/"
  xmlns:dcterms="http://purl.org/dc/terms/"
  xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
  xml:lang="ja">

 <channel rdf:about="http://jvn.jp/rss/jvn.rdf">
  <title>JVNRSS Feed - Update Entry</title>
  <link>http://jvn.jp/</link>
  <description>JVNサイト新着ならびに更新情報</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <dc:date>2006-04-03T10:04+09:00</dc:date>
  <dcterms:issued />
  <dcterms:modified>2006-04-03T10:04+09:00</dcterms:modified>
  <items>
   <rdf:Seq>
    <rdf:li rdf:resource="http://jvn.jp/cert/JVNVU%23834865" />
    <rdf:li rdf:resource="http://jvn.jp/cert/JVNTA06-062A" />
   </rdf:Seq>
  </items>
 </channel>

 <item rdf:about="http://jvn.jp/cert/JVNVU%23834865">
  <title>sendmailにおけるシグナルの扱いに関する脆弱性</title>
  <link>http://jvn.jp/cert/JVNVU%23834865</link>
  <description>sendmailには、非同期シグナルの扱いに脆弱性があり、
  特殊な条件下において競合状態になる可能性があります。詳しくはJVNをご覧ください。</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <dc:identifier>JVNVU#834865</dc:identifier>
  <dc:relation>http://www.us-cert.gov/cas/techalerts/TA06-081A.html</dc:relation>
  <dc:relation>http://www.kb.cert.org/vuls/id/834865</dc:relation>
  <dc:relation>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0058</dc:relation>
  <dc:date>2006-04-03T10:30+09:00</dc:date>
  <dcterms:issued>2006-03-23T04:00+09:00</dcterms:issued>
  <dcterms:modified>2006-04-03T10:30+09:00</dcterms:modified>
 </item>

 <item rdf:about="http://jvn.jp/cert/JVNTA06-062A">
  <title>Apple 社の Mac 製品に複数の脆弱性</title>
  <link>http://jvn.jp/cert/JVNTA06-062A</link>
  <description>AppleからSecurity Update 2006-001がリリースされました。
  Mac OS X, Mac OS X Server, Safari web browserなどに脆弱性が確認されています。
  詳しくはJVNをご覧ください。</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <dc:identifier>JVNTA06-062A</dc:identifier>
  <dc:relation>http://www.us-cert.gov/cas/techalerts/TA06-062A.html</dc:relation>
  <dc:relation>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0848</dc:relation>
  <dc:relation>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-4504</dc:relation>
  <dc:relation>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0387</dc:relation>
  <dc:date>2006-03-15T17:30+09:00</dc:date>
  <dcterms:issued>2006-03-06T11:00+09:00</dcterms:issued>
  <dcterms:modified>2006-03-15T17:30+09:00</dcterms:modified>
 </item>

</rdf:RDF>

4. 参考情報

5. 謝辞