CPE/PURLの手動割当#
FutureVuls では、スキャンで検知したソフトウェア情報をもとに、CPE や PURL といった標準化された識別子を自動で割り当て、脆弱性や EOL(サプライチェーンリスク)の検知に利用しています。
しかし、インストール方法や製品によっては、これらの識別子を自動で特定できない場合があります。その際は、手動で CPE や PURL を割り当てることで、FutureVuls の検知能力を最大限に活用できます。
CPE と PURL はそれぞれ異なる目的と特性を持っており、対象のソフトウェアや実現したいことに応じて使い分ける必要があります。
CPEとPURLの使い分け#
| 項目 | CPE (Common Platform Enumeration) | PURL (Package URL) |
|---|---|---|
| 主な目的 | 脆弱性検知・一部EOL検知 | EOL検知・ライセンス検知・脆弱性検知 |
| 主な対象 | ミドルウェア、商用製品など | 主にOSSライブラリ、フレームワークなど |
| 識別子の例 | cpe:/a:apache:http_server:2.4.54 |
pkg:maven/org.apache.logging.log4j/log4j-core@2.17.1 |
| 自動割当 | - | ・アプリケーションスキャン / SBOMスキャンで検知したライブラリ |
| 手動割当が 必要なケース |
・ソースからビルドしたミドルウェア ・インストーラで導入したソフトウェア ・ネットワーク機器、IoT機器 |
・スキャンで自動検知されないライブラリ ・AWS環境の依存ライブラリをAmazon Inspectorでスキャン ※ 近日中に自動割り当て対象となります ・GitHub Security Alerts連携 |
| 検知できる 情報 |
脆弱性: NVDなどの脆弱性データベースと紐付く EOL: vuls-saas/endoflife.date に掲載されている製品 |
EOL: vuls-saas/endoflife.date やFutureVuls独自ロジックで検知 脆弱性: GHSAなどPURLに紐づく脆弱性情報 |
結論として#
- 脆弱性検知を主目的とする場合は CPE を手動で割り当ててください。
- ほとんどの OSS ライブラリには自動で PURL 割り当てられますが、万が一割り当てられない場合に手動で登録することで、サプライチェーンリスクの検知が可能になります。
ソフトウェアへのCPE/PURLの割り当て#
ソフトウェアタブから CPE/PURL を割り当てるソフトウェアをクリックし、「CPE/PURL 割り当て」ボタンをクリックします。
登録方法は以下の3つから選べます。
-
リコメンドされた候補から選択する
下記2種類から選択が可能です。
1. よく利用されるCPE: 割り当て実績が多いCPE上位3件 2. リコメンドCPE: ソフトウェア名と関連度の高いCPE -
手動で候補を検索する
データベースに登録されている CPE から文字列検索します。
-
直接入力する
割り当てる CPE を直接入力します。
また、それぞれの登録方法にて、「ベンダ名・プロダクト名のみ登録する」か「完全な CPE を登録する」かを選択できます。 基本的には前者を推奨しており、下記のような違いがあります。
| ベンダ名・プロダクト名のみ(推奨) | 完全な CPE | |
|---|---|---|
| CPE の登録方法 | ベンダ名とプロダクト名を指定し、CPE を自動生成 | バージョン情報まで含んだ完全なCPEを手動で指定 |
| バージョン情報の扱い | スキャナが検知したバージョンを自動で反映(手動更新は不要) | 登録したバージョンで固定され、自動反映されない(手動更新が必要) |
画面表示(CPE 自動更新 列) |
✓(チェックマーク) |
ー(ハイフン) |
| 推奨される利用場面 | 基本的にこちらを推奨 | ・スキャナがバージョンを取得できない場合 ・特殊なエディション情報を登録したい場合 |
また、和製ソフトウェアの場合は、脆弱性 DB として JVN を使用できます(詳細)。
リコメンド機能の学習機能について
ソフトウェアに対して割り当てた CPE 情報は、リコメンド精度向上のため学習に使用されます。 ただし、ユーザを特定できないよう処理を講じておりますので、ご安心ください。 約款
ソフトウェアへの一括割り当て#
ソフトウェアタブにて CPE/PURL を割り当てたいソフトウェアを複数選択し、「CPE/PURL 割当」ボタンから一括で割り当てられます。
一括割り当ての場合は、リコメンドされた候補からベンダ名とプロダクト名のみを登録可能です。 プルダウンから、割り当てるベンダとプロダクトを選択してください。
また、各ベンダ/プロダクトの下に、NVD 検索ページへのリンクも一緒に表示されます。 リンクを押下することで、NVD に該当の CPE が存在するかを確認することが出来ます。 JVN の脆弱性情報を収集するかどうかを判断する際の材料の1つとしてご活用ください。
割り当てCPE/PURLの削除#
割り当てた CPE/PURL を削除したい場合は、ソフトウェアタブにて更新対象のソフトウェアをクリックし、削除アイコンを押してください。 割り当てを削除した場合、その識別子を用いて検知されていた脆弱性情報およびタスク情報はすべて削除されます。