CVE ナンバリング機関が拡大:2022年に追加された 50 の組織とは?

Over 50 New CVE Numbering Authorities Announced in 2022

2022/12/22 SecurityWeek — 2022年には 50以上の組織が、CVE Numbering Authority (CNA) として追加され、35カ国で合計 260 の CNA が存在することになった。大半の CNA は、自社製品で見つかった脆弱性に対して、CVE 識別子を付与するものだが、一部の CNA はサードパーティ製ソフトウェアに関して、自社の研究者が見つけた不具合に対しても CVE を付与することが可能となる。


SecurityWeek が CVE プログラムの発表を分析したところ、2021年の 43件に対し、2022年は 54件の CNA が追加されたことが判明した。

CNA


2022年のリストに追加されたのは、Proofpoint/Bugcrowd/Qualys/CyberArk/Green Rocket Security/Dragos/SailPoint/Senhasegura/NetRise/HYPR/Netskope といったサイバー・セキュリティ企業などである。

また、Baidu/Canon/Google/Seagate/Unisoc/GE Healthcare/Philips/Medtronic/Baxter Healthcare/Citrix などの大手テック企業も CNA になった。

さらに、General Electric (Gas Power)/Honeywell/Rockwell Automation などの産業用ソリューション・プロバイダーも、脆弱性に CVE を割り当てられるようになった。

その一方で、国家機関や NPO で CNA リストに加わった中には、Dutch Institute for Vulnerability Disclosure (DIVD)/Automotive Security Research Group/Slovakia’s National Cyber Security Centre (SK-CERT)/National Cyber Security Centre in the Netherlands (NCSC-NL) などがいる。

また、新しい CNA のリストには、Docker/WolfSSL/Grafana Labs/Honor/Zowe/OneKey/KrakenD/Dual Vipers/Baicells/HashiCorp/OpenCloudOS/OpenNMS Group/Crestron Electronics/OpenHarmony/Full Services/KNIME/OpenGauss Community/Hitachi and Hitachi Vantara/Hallo Welt/OpenAnolis/ZUSO Advanced Research Team/Go Project/JetBrains/The Missing Link Australia (TML)/OpenBMC Project なども含まれる。

CVE Numbering Authority (CNA) として 50以上の組織が追加され、35カ国で合計 260 になったとのことです。それ自体は、とても喜ばしいことですが、それだけ、多くの脆弱性が存在し、発見されるようになったということです。以下のグラフは、お隣のキュレーション・チームが使っている、Vuldb というサービスが提供するものです。2022年は、26,000件くらいあったようです。


なお、脆弱性の発見から、CVE 取得へといたるプロセスについては、4月19日の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」を、ご参照ください。

%d bloggers like this: