[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
security/cve-compatibility (1.18)
こんばんB
security/cve-compatibility
--
victory
don't include my addresses in mail body...
--------------------------------------------------------
#use wml::debian::template title="Debian と CVE の互換性" NOHEADER="true"
#include "$(ENGLISHDIR)/security/faq.inc"
#use wml::debian::translation-check translation="1.18"
<h1><a href="http://cve.mitre.org/">\
<img class="cve" src="CVE-compatible.png" alt="CVE との互換性"></a>
Debian と CVE の互換性</h1>
<p>Debian 開発者は Debian
の正確な最新のセキュリティ情報の必要性を認識しており、
新しいセキュリティによる脆弱性のリスクをユーザが管理できるようにしています。
<a href="http://cve.mitre.org/">Common Vulnerabilities and Exposures</a>
プロジェクト (CVE) が、標準化したセキュリティ情報を提供できるようにし、
これにより CVE を活用したセキュリティ管理プロセスが構築できます。CVE
は脆弱性やセキュリティ暴露のリストを標準化した名前で提供します。</p>
<p>Debian プロジェクトでは Debian
に影響するセキュリティ問題に関連する追加情報をユーザに提供することが\
極めて重要だと考えます。勧告に CVE 名を含めることはユーザが一般の脆弱性を
Debian の特定の更新と関連づけるのに役立ちます。これは、
ユーザに影響のある脆弱性の処理にとられる時間を少なくすることにつながります。</p>
<p>共通のセキュリティ情報が利用できることで CVE
を活用したネットワークやホストの侵入検知システムといったセキュリティツールや、
Debian ベースに限らず、
既に配置されている脆弱性評価ツールではセキュリティの管理が楽になります。</p>
<p>Debian プロジェクトは 1998 年 9 月からレビュープロセスが開始された
2002 年 8 月までに公開された全セキュリティ勧告 (DSA) に CVE
名を追加しました。勧告はすべて Debian のウェブサイト及び
新しい脆弱性に関連する発表の形で、その公開時に利用可能であれば CVE
名も含めて、取得することができます。CVE 名から関連する勧告を<a
href="http://search.debian.org/">検索エンジン</a
>で直接検索することができます。</p>
<p>特定の CVE 名を検索したいユーザは debian.org
にあるウェブ検索エンジンを使ってその CVE 名に関連する、
利用可能な勧告 (英語及び翻訳済みの言語) を取得することができます。
検索は名前を指定して (<a
href="http://search.debian.org/?q=advisory+%22CAN-2002-0001%22&ps=50&o=1&m=all"
>advisory CAN-2002-0001</a>), あるいは名前の一部(勧告のうちの 2002
の全候補の場合 <a
href="http://search.debian.org/?q=advisory+%22CAN-2002%22&ps=50&o=1&m=all"
>advisory CAN-2002</a>) を使って行うことができます。セキュリティ勧告\
<strong>だけ</strong>を取得する場合は CVE 名とともに <em>advisory</em>
という語を入力しなければならないことに注意してください。</p>
<p>さらに、Debian では 1997 年以降に発表された全勧告の完全な<a
href="crossreferences">相互参照表</a>を提供しています。この表は <a
href="http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html">CVE
の参照マップ</a>を補完するものです。</p>
<h2>CVE の状態に関する共通の質問</h2>
<maketoc>
<toc-add-entry name=status>CVE プロセスにおける Debian の現状は ?</toc-add-entry>
<p>Debian セキュリティ勧告 (DSA) は 2004 年 2 月 24 日、<a
href="CVE-certificate.jpg">CVE 互換だと認定</a>されました。さらなる情報は <a
href="http://cve.mitre.org/compatible/organizations.html#softitpi">CVE
サイト</a>にあります。<a
href="http://cve.mitre.org/compatible/phase2/SPI_Debian.html"
>有りそうな質問</a>もあります。</p>
<toc-add-entry name=find>入力した CVE 名が見つからないのは何故?</toc-add-entry>
<p>以下の理由により公開された CVE 名を入力しても該当しないことがあります:</p>
<ul>
<li>その脆弱性が Debian に影響しない。</li>
<li>その脆弱性を対象とした勧告がまだ出ていない。</li>
<li>その脆弱性に CVE 名が割り当てられる前に勧告が公開された。</li>
</ul>
<toc-add-entry name=candidates>CVE エントリと候補の違いは?</toc-add-entry>
<p>(CVE サイトより)</p>
<blockquote>
<p><em>CVE 候補はその脆弱性や暴露を CVE として承認するか検討中のものです。
候補には特別な名前が割り当てられ、公式な CVE エントリと区別されます。</em></p>
<p><em>候補には特別な番号が割り当てられ、公式な CVE
エントリと区別されますが、その候補がを CVE として承認されると CVE
エントリとなります。例えば、候補の番号が CAN-1999-0067
である場合、最終的な CVE 番号は CVE-1999-0067 となるでしょう。
候補の番号が割り当てられても、それは正式な CVE
エントリとなることが保証されるわけではありません。</em></p>
<p><em>公開された勧告のデータベースは定期的に修正され、
CVE エントリとして承認された候補が確定します。</em></p>
</blockquote>
<p>さらなる情報については <a href="http://cve.mitre.org/about/candidates.html">CVE
候補の説明</a>を読んでください。</p>
<toc-add-entry name=moreinfo>さらなる情報はどこで入手できますか?</toc-add-entry>
<p>さらなる情報については、<a href="http://cve.mitre.org/">CVE
ウェブサイト</a>へ行ってください。</p>
--------------------------------------------------------