2004年04月03日(土) 14時12分

オープンソース脆弱性データベース公開（ITmediaエンタープライズ）

　コミュニティー主体の脆弱性データベース構築を目指して2002年に立ち上がったプロジェクト、Open Source Vulnerability Database（OSVDB）のWebサイト（www.osbdb.org）上で、データベースの公開が始まった。

　これは、情報セキュリティコミュニティーの個々人が利用できる独立系の脆弱性データベースを構築・運営していこうという試み。サイト上の説明によると、2002年8月のBlack Hat & DEFCONカンファレンスで構想が発表された後、一時、プロジェクトの推進機運が消滅しかけた時期もあったが、2003年8月のDEFCONで新メンバーを起用して取り組みを再開、2004年3月31日、データベース一般公開の運びとなった。

　OSVDBは、非営利の公平な立場で脆弱性情報を網羅し、脆弱性にかかわる各種ニーズに対応できる「集約地点」として機能することを目指している。第1段階として、脆弱性情報をデータベースに追加するためのオンラインコンテンツ管理システムを構築。同システムは、脆弱性についての初期調査とレコードの作成、評価プロセス、および最終レコードとしての公開データベース登録に対応しているという。公開前の事前テストを通じて、必要なタスクの合理化と、調査・相互参照をしやすくするための改良を図ったとしている。

　オンラインデータベース検索簡易化のためのツールも開発中。また高度な自動化を求める利用者のために、XML版データベースを開発するとしている。RSSに似た「プッシュ式」自動掲載にも取り組んでいる。

　OSVDBサービスのライセンスについては、既にフリーライセンスのワーキングドラフトが掲示されているが、現在さらなる検討が進められており、6月までに最終的なプロジェクトライセンスを作成するとしている。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040403-00000004-zdn_ep-sci