[ main >> MyJVN ]



	




















	
   目次[top]

   概要[top]
脆弱性対策情報の利活用基盤の整備に向けて
国内においても,様々なレベルでの脆弱性対策情報の提供が充実してきています。 しかし、対策情報の多くは主に文書として構成されているために、脆弱性の有無をチェックして対策を促すなどの脆弱性対策に関わる処理の機械化についてはまだまだ発展途上にあります。 MyJVNでは、日本国内の脆弱性対策推進を支援するために、脆弱性対策に関わる処理の機械化を目指しています。

   MyJVN API[top]
JVN Web Service API
Web 2.0の普及と共に、Webサイトでは、そのサイトのサービスを活用したアプリケーション開発のための Web サービス API を提供し始めています。 MyJVN では、脆弱性対策に関わる処理の機械化のために、脆弱性対策やウイルス対策などのセキュリティ情報を活用するための Web サービス API (JVN Web Service API (aka. MyJVN API) )を検討しています。
MyJVN API 1.0
MyJVN API 1.0 は、JVN データベース (JVNiPedia) に登録されている脆弱性対策情報から、製品提供者一覧、製品一覧、脆弱性概要情報一覧、脆弱性詳細情報を XML 形式で出力する Web サービス API です。 ここで、http://jvndb.jvn.jp/myjvn/ の API を利用した GUI の事例を示します。
[1] 脆弱性対策情報の利活用基盤MyJVN の提案, 情報処理学会 コンピュータセキュリティ シンポジウム 2008 (Oct.8-10, 2008)

   脆弱性対策情報掲示[top]
脆弱性対策情報の 1 行表示
MyJVN API の活用事例を紹介します。
紹介する活用事例は、ダウンロードを促すソフトウェアに関する最近の脆弱性対策情報を MyJVN API を用いて掲示します。 具体的には、http://jvndb.jvn.jp/myjvn/ に対して次のようなパラメタを伴いアクセスします。
http://jvndb.jvn.jp/myjvn?
method=getVulnOverviewList (脆弱性対策概要情報一覧を取得します)
&startItem=1
&maxCountItem=1 (開始番号=1、終了番号=1となるように選択します)
&rangeDatePublic=n
&rangeDatePublished=n (脆弱性発見日、脆弱性更新日を指定なしとします)
&lang=ja (日本語を選択します)
&cpeName=cpe:/a:adobe:flash_player (製品名を cpeName で指定します)
  • JVN Web API (MyJVN API) を用いた脆弱性対策情報掲示 (試作中)
    [ http://jvnrss.ise.chuo-u.ac.jp/jtg/ex/myjvn_api/secadv.cgi?cpeName=cpe:/a:adobe:flash_player ]
    secadv.cgi は、cpeName だけを指定すれば MyJVN API から脆弱性対策情報を取得し 1 行だけ表示します。

    • Flash 版の活用事例
      このコンテンツを視聴するには、JavaScript が有効になっていることと、最新バージョンの Adobe Flash Player を利用していることが必要です。
      今すぐ無償 Flash Player をダウンロード!
      Adobe Flash Player を入手
      >  
      • Flash の脆弱性対策情報を提示します。
      • cpeName=cpe:/a:adobe:flash_player
      • format=rss

    • JavaScript 版の活用事例
      このコンテンツを視聴するには、JavaScript が有効になっていることとが必要です。
      >  
      • Flash の脆弱性対策情報を提示します。
      • cpeName=cpe:/a:adobe:flash_player
      • format=html

    • JavaScript 版の活用事例
      このコンテンツを視聴するには、JavaScript が有効になっていることが必要です。
      • JRE の脆弱性対策情報を提示します。
      • cpeName=cpe:/a:sun:jre
      • format=js


   Sherlock: Mozilla-Search Plugin for MyJVN (Firefox 1.x, 2.x)[top]
サーバからのインストール
  • addEngine スクリプトを実行します。
  • ダイアログボックスの OK ボタンをクリックしてください。
    Install of Mozilla-Search Plugin

MyJVN CPE 検索エンジンの使い方
  • 検索ボックスに CPE 名を入力してください (ex. cpe:/*:adobe:* )。
    Sherlock: MyJVN Search
[1] Mycroft Project: Search Engine Plugins - Firefox & IE7, http://mycroft.mozdev.org/deepdocs/deepdocs.html

   OpenSearch for MyJVN (Firefox 2.x, 3.x, IE 7)[top]
インストール
  • 検索エンジンから追加します。
    Install of OpenSearch Plugin

MyJVN CPE 検索エンジンの使い方
  • 検索ボックスに CPE 名を入力してください (ex. cpe:/*:adobe:* )。
    OpenSearch: MyJVN Search
[1] OpenSearch, http://www.opensearch.org/Home
[2] Specifications/OpenSearch/1.1, http://www.opensearch.org/Specifications/OpenSearch/1.1

   OVAL relationship for MyJVN[top]
SCAP (Security Content Automation Protocol) の技術要素のひとつである OVAL (Open Vulnerability and Assessment Language) の MyJVN 適用を検討しています。
POC (Proof of Concept) of SWF-based OVAL light-weight interpreter (prototype)
oval_vcheck_flash_player.ja.html
POC (Proof of Concept) of SWF-based OVAL light-weight interpreter (prototype 2)
oval_vcheck_flash_player2.ja.html
POC (Proof of Concept) of JAR-based OVAL light-weight interpreter (prototype A923)
A923.ja.html
POC (Proof of Concept) of JAR-based OVAL light-weight interpreter (prototype A926)
A926.ja.html
POC (Proof of Concept) of JAR-based OVAL light-weight interpreter (prototype A926_NoDriveTypeAutoRun)
A926_NoDriveTypeAutoRun.ja.html
POC (Proof of Concept) of JAR-based OVAL light-weight interpreter (prototype L933)
L933.ja.html

1200900002000.xml
1200900002001_oval_cpe_windowsxp.xml
1200900002002_oval_cpe_flashplayer.xml
1200900002003_oval_cpe_jre.xml
1200900002004_oval_cpe_office.xml
1200900002005_oval_cpe_acrobatreader.xml
1200900002007_oval_cpe_firefox.xml
1200900002008_oval_cpe_thunderbird.xml
1200900002009_oval_cpe_openoffice.xml

[1] 米国政府の脆弱性対策に関する取り組み =1=, http://itpro.nikkeibp.co.jp/article/COLUMN/20070820/279895/
[2] 米国政府のぜい弱性対策に関する取り組み =2=, http://itpro.nikkeibp.co.jp/article/COLUMN/20070910/281546/
[3] 米国政府のぜい弱性対策に関する取り組み〜CVE〜, http://itpro.nikkeibp.co.jp/article/COLUMN/20071015/284567/
[4] 米国政府のぜい弱性対策に関する取り組み〜CCE〜, http://itpro.nikkeibp.co.jp/article/COLUMN/20080121/291522/
[5] 米国政府のぜい弱性対策に関する取り組み〜CCE(その2)〜, http://itpro.nikkeibp.co.jp/article/COLUMN/20080128/292138/
[6] 米国政府のぜい弱性対策に関する取り組み〜CPE〜, http://itpro.nikkeibp.co.jp/article/COLUMN/20080210/293322/

   更新履歴[top]
  • 新規:2008-05-27T08:47+09:00
  • 改訂 SWF-based OVAL light-weight interpreter (prototype):2008-09-23T16:47+09:00
  • 改訂 JAR-based OVAL light-weight interpreter (prototype A923):2008-07-08T12:44+09:00
  • 改訂 JAR-based OVAL light-weight interpreter (prototype A926):2008-09-24T16:09+09:00
  • 改訂 JAR-based OVAL light-weight interpreter (prototype L933):2009-01-13T11:58+09:00
  • 改訂 JAR-based OVAL light-weight interpreter (prototype A926_NoDriveTypeAutoRun):2009-01-28T15:31+09:00
  • 改訂 SWF-based OVAL light-weight interpreter (prototype 2):2009-09-26T11:03+09:00


	

Last updated: 2009-09-26T11:03+09:00
Valid HTML 4.01! Valid CSS!