質問
見つかった脆弱性に対して、どのように重大度やスコアを割り当てているか教えてください。
回答
公式ドキュメントの以下URLに詳細が記載されていますので、こちらをご参照ください。
https://support.aquasec.com/support/solutions/articles/16000120194
なお、上記のような割り当て方法となっていることから「重大度が negligible 、スコアが 10 」となることがあります。
これは次のような理由からです。
- 脆弱性が発見された当初、NVDが重大度 critical 、スコア 10 と割り当て
- ベンダー側調査の結果、重大な脆弱性ではないと判断。重大度 negligible を割り当て、重大度が低いためスコアは割り当てず
- Aquaが重大度とスコアを割り当てる際には、ベンダーアドバイザリを優先するため、重大度はベンダーの negligible、スコアはNVDの 10 が割り当て
―――――――――――――――――――――――――――――――――――――――――――――
公開日:2022.8.16
対象バージョン:2022.4
※記載内容は上記公開日時点、対象バージョンに基づいた内容となります。記載内容や条件、リンク先URLについては、バージョンアップ等により予告なく変更される可能性がありますので、あらかじめご了承ください。