Over 50 New CVE Numbering Authorities Announced in 2022
2022/12/22 SecurityWeek — 2022年には 50以上の組織が、CVE Numbering Authority (CNA) として追加され、35カ国で合計 260 の CNA が存在することになった。大半の CNA は、自社製品で見つかった脆弱性に対して、CVE 識別子を付与するものだが、一部の CNA はサードパーティ製ソフトウェアに関して、自社の研究者が見つけた不具合に対しても CVE を付与することが可能となる。
SecurityWeek が CVE プログラムの発表を分析したところ、2021年の 43件に対し、2022年は 54件の CNA が追加されたことが判明した。
2022年のリストに追加されたのは、Proofpoint/Bugcrowd/Qualys/CyberArk/Green Rocket Security/Dragos/SailPoint/Senhasegura/NetRise/HYPR/Netskope といったサイバー・セキュリティ企業などである。
また、Baidu/Canon/Google/Seagate/Unisoc/GE Healthcare/Philips/Medtronic/Baxter Healthcare/Citrix などの大手テック企業も CNA になった。
さらに、General Electric (Gas Power)/Honeywell/Rockwell Automation などの産業用ソリューション・プロバイダーも、脆弱性に CVE を割り当てられるようになった。
その一方で、国家機関や NPO で CNA リストに加わった中には、Dutch Institute for Vulnerability Disclosure (DIVD)/Automotive Security Research Group/Slovakia’s National Cyber Security Centre (SK-CERT)/National Cyber Security Centre in the Netherlands (NCSC-NL) などがいる。
また、新しい CNA のリストには、Docker/WolfSSL/Grafana Labs/Honor/Zowe/OneKey/KrakenD/Dual Vipers/Baicells/HashiCorp/OpenCloudOS/OpenNMS Group/Crestron Electronics/OpenHarmony/Full Services/KNIME/OpenGauss Community/Hitachi and Hitachi Vantara/Hallo Welt/OpenAnolis/ZUSO Advanced Research Team/Go Project/JetBrains/The Missing Link Australia (TML)/OpenBMC Project なども含まれる。
CVE Numbering Authority (CNA) として 50以上の組織が追加され、35カ国で合計 260 になったとのことです。それ自体は、とても喜ばしいことですが、それだけ、多くの脆弱性が存在し、発見されるようになったということです。以下のグラフは、お隣のキュレーション・チームが使っている、Vuldb というサービスが提供するものです。2022年は、26,000件くらいあったようです。
なお、脆弱性の発見から、CVE 取得へといたるプロセスについては、4月19日の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.