CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) とは何ですか?
CVE Numbering Authority (CNA)定められたスコープ内の脆弱性について CVE ID を割り当て、CVE レコードを公開する権限を CVE プログラムから付与された組織。
CVE Numbering Authority(CNA)とは、CVE プログラム(MITRE Corporation が運営し、CISA が支援する)から権限を付与された組織で、定められたスコープに属する製品やプロジェクトの脆弱性に CVE ID を割り当て、CVE レコードを公開します。CNA にはベンダー、オープンソースプロジェクト、バグバウンティプラットフォーム、各国 CERT、研究機関などが含まれます。各 CNA は CNA Rules に従い、コーディネートディスクロージャの期限を遵守し、CVE Services API を通じて CVE List にレコード(CVE JSON 5.x)を提出します。上位の Root CNA(例: CISA-ICS や MITRE)は配下のサブ CNA を取りまとめ、紛争を仲裁します。CNA は CVE エントリが世界の脆弱性エコシステムに入る入り口となっています。
● 例
- 01
ソフトウェアベンダーが CNA となり、自社製品の脆弱性に対して CVE ID を割り当てる。
- 02
バグバウンティプラットフォームが CNA of Last Resort として、研究者が報告した脆弱性に CVE ID を付与する。
● よくある質問
CVE Numbering Authority (CNA) とは何ですか?
定められたスコープ内の脆弱性について CVE ID を割り当て、CVE レコードを公開する権限を CVE プログラムから付与された組織。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
CVE Numbering Authority (CNA) とはどういう意味ですか?
定められたスコープ内の脆弱性について CVE ID を割り当て、CVE レコードを公開する権限を CVE プログラムから付与された組織。
CVE Numbering Authority (CNA) からどのように防御しますか?
CVE Numbering Authority (CNA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CVE Numbering Authority (CNA) の別名は何ですか?
一般的な別名: CNA。