CVEをサーチするツール
API
National Vulnerability Database (NVD) API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| NVD Vulnerabilities | NIST (米国国立標準技術研究所) | API keyが必要で、利用制限があります |
特徴
公式で信頼性が高い
CVSSv2とv3の両方のスコアを提供
無料で利用可能
エンドポイント例
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-YYYY-XXXXXXX
CIRCL CVE Search API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| CIRCL CVE Search | CIRCL (Computer Incident Response Center Luxembourg) |
特徴
オープンソースで、自身のサーバーにホストすることも可能
CVSSv2とv3の両方のスコアを提供
エンドポイント例
https://cve.circl.lu/api/cve/CVE-YYYY-XXXXXXX
Vulners API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| Vulners API | Vulners | 有料プランがありますが、制限付きで無料利用も可能 |
特徴
広範な脆弱性データベース
CVSSv2とv3のスコアを提供
エンドポイント例
https://vulners.com/api/v3/search/lucene/?query=CVE-YYYY-XXXXXXX
Red Hat Security Data API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| Red Hat Security Data API | Red Hat |
特徴
Red Hatの製品に関連するCVEに特化
CVSSv2とv3のスコアを提供
エンドポイント例
https://access.redhat.com/labs/securitydataapi/cve/CVE-YYYY-XXXXXXX.json
MITRE CVE API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| MITRE CVE Search | MITRE Corporation | CVSSスコアが含まれない場合が多い |
特徴
CVEの公式データソース
基本的なCVE情報を提供
エンドポイント例
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-YYYY-XXXXXXX
VulDB API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| VulDB API | VulDB | 有料サービス |
特徴
広範な脆弱性情報を提供
CVSSスコア、影響を受ける製品、修正情報などを含む
エンドポイント例
https://vuldb.com/?kb.api
Shodan API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| Shodan API | Shodan | 基本的に有料だが、限定的な無料プランもある |
特徴
インターネットに接続されているデバイスの脆弱性情報を提供
CVEと関連付けられた実際の脆弱なシステムの情報を得られる
エンドポイント例
https://api.shodan.io/shodan/host/CVE-YYYY-XXXXXXX
OpenCVE API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| OpenCVE API | OpenCVE (オープンソースプロジェクト) | コミュニティドリブンのプロジェクト |
特徴
CVE情報を収集し、APIとして提供
自身のサーバーにホストして使用可能
エンドポイント例
https://opencve.io/api/cve/CVE-YYYY-XXXXXXX
NIST National Checklist Program Repository API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| NIST NCP Repository | NIST | 主に米国政府系のシステムに関する情報が充実 |
特徴
セキュリティ設定チェックリストとCVE情報を提供
主に米国政府系のシステムに関する情報が充実
エンドポイント例
https://nvd.nist.gov/ncp/repository/CVE-YYYY-XXXXXXX
Cybersecurity and Infrastructure Security Agency (CISA) API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| CISA API | 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 | 特に制限は記載されていませんが、利用前に確認することを推奨します |
特徴
重要なインフラストラクチャに関する脆弱性情報を提供
米国政府の観点から重要とされるCVEに焦点
エンドポイント例
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
ExploitDB API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| ExploitDB API | Offensive Security | 特に制限は記載されていませんが、利用前に確認することを推奨します |
特徴
公開されているエクスプロイトコードとCVEの関連情報を提供
ペネトレーションテスターやセキュリティ研究者向け
エンドポイント例
https://www.exploit-db.com/api
Rapid7 Open Data API
| 公式サイト | 提供元 | 注意点 |
|---|---|---|
| Rapid7 Open Data API | Rapid7 |
特徴
脆弱性、攻撃、その他のセキュリティ関連データを提供
CVEと関連する詳細な技術情報が得られる
エンドポイント例
https://opendata.rapid7.com/
OSS
OpenCVE
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| OpenCVE | opencve | v1はもうすぐ閉じられて、v2がリリースされるそうです | 約1800 |
特徴
CVE情報を収集、分析、表示するためのOSS
Webインターフェースと REST API を提供
Python で書かれている
CVE-Search
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| CVE-Search | cve-search | 約2300 |
特徴
CVE、CPE、CWEデータをインポートし、検索可能にする
MongoDB を使用してデータを格納
Python で書かれており、Web インターフェースと API を提供
Dependency-Track
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| Dependency-Track | DependencyTrack | 特に制限は記載されていませんが、利用前に確認することを推奨します | 約2600 |
特徴
ソフトウェアサプライチェーンのコンポーネント分析プラットフォーム
CVE情報を含む脆弱性データを提供
Java で書かれている
nvdtools
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| nvdtools |
特徴
Go言語で書かれた脆弱性データベース
NVDデータを解析し、使いやすい形式で提供
CLIツールとライブラリの両方を提供
OWASP Dependency-Check
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| OWASP Dependency-Check | 個人 | 約6300 |
特徴
プロジェクトの依存関係をスキャンし、既知の脆弱性を検出
NVDデータベースを利用
Java で書かれているが、多くの言語やビルドツールに対応
Grype
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| Grype | Anchore | 約8500 |
特徴
コンテナイメージやファイルシステムの脆弱性スキャナー
複数の脆弱性データベースを利用
Go言語で書かれている
VulnerableCode
| 公式サイト | 提供元 | 注意点 | スター数 |
|---|---|---|---|
| VulnerableCode | 個人 | 約500 |
特徴
複数のソースから脆弱性データを集約
REST API とWeb UIを提供
Python/Django で書かれている
Discussion