🔧

CVEをサーチするツール

2024/09/29に公開

API

National Vulnerability Database (NVD) API

公式サイト 提供元 注意点
NVD Vulnerabilities NIST (米国国立標準技術研究所) API keyが必要で、利用制限があります

特徴
公式で信頼性が高い
CVSSv2とv3の両方のスコアを提供
無料で利用可能

エンドポイント例
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-YYYY-XXXXXXX


CIRCL CVE Search API

公式サイト 提供元 注意点
CIRCL CVE Search CIRCL (Computer Incident Response Center Luxembourg)

特徴
オープンソースで、自身のサーバーにホストすることも可能
CVSSv2とv3の両方のスコアを提供

エンドポイント例
https://cve.circl.lu/api/cve/CVE-YYYY-XXXXXXX


Vulners API

公式サイト 提供元 注意点
Vulners API Vulners 有料プランがありますが、制限付きで無料利用も可能

特徴
広範な脆弱性データベース
CVSSv2とv3のスコアを提供

エンドポイント例
https://vulners.com/api/v3/search/lucene/?query=CVE-YYYY-XXXXXXX


Red Hat Security Data API

公式サイト 提供元 注意点
Red Hat Security Data API Red Hat

特徴
Red Hatの製品に関連するCVEに特化
CVSSv2とv3のスコアを提供

エンドポイント例
https://access.redhat.com/labs/securitydataapi/cve/CVE-YYYY-XXXXXXX.json


MITRE CVE API

公式サイト 提供元 注意点
MITRE CVE Search MITRE Corporation CVSSスコアが含まれない場合が多い

特徴
CVEの公式データソース
基本的なCVE情報を提供

エンドポイント例
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-YYYY-XXXXXXX


VulDB API

公式サイト 提供元 注意点
VulDB API VulDB 有料サービス

特徴
広範な脆弱性情報を提供
CVSSスコア、影響を受ける製品、修正情報などを含む

エンドポイント例
https://vuldb.com/?kb.api


Shodan API

公式サイト 提供元 注意点
Shodan API Shodan 基本的に有料だが、限定的な無料プランもある

特徴
インターネットに接続されているデバイスの脆弱性情報を提供
CVEと関連付けられた実際の脆弱なシステムの情報を得られる

エンドポイント例
https://api.shodan.io/shodan/host/CVE-YYYY-XXXXXXX


OpenCVE API

公式サイト 提供元 注意点
OpenCVE API OpenCVE (オープンソースプロジェクト) コミュニティドリブンのプロジェクト

特徴
CVE情報を収集し、APIとして提供
自身のサーバーにホストして使用可能

エンドポイント例
https://opencve.io/api/cve/CVE-YYYY-XXXXXXX


NIST National Checklist Program Repository API

公式サイト 提供元 注意点
NIST NCP Repository NIST 主に米国政府系のシステムに関する情報が充実

特徴
セキュリティ設定チェックリストとCVE情報を提供
主に米国政府系のシステムに関する情報が充実

エンドポイント例
https://nvd.nist.gov/ncp/repository/CVE-YYYY-XXXXXXX


Cybersecurity and Infrastructure Security Agency (CISA) API

公式サイト 提供元 注意点
CISA API 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 特に制限は記載されていませんが、利用前に確認することを推奨します

特徴
重要なインフラストラクチャに関する脆弱性情報を提供
米国政府の観点から重要とされるCVEに焦点

エンドポイント例
https://www.cisa.gov/known-exploited-vulnerabilities-catalog


ExploitDB API

公式サイト 提供元 注意点
ExploitDB API Offensive Security 特に制限は記載されていませんが、利用前に確認することを推奨します

特徴
公開されているエクスプロイトコードとCVEの関連情報を提供
ペネトレーションテスターやセキュリティ研究者向け

エンドポイント例
https://www.exploit-db.com/api


Rapid7 Open Data API

公式サイト 提供元 注意点
Rapid7 Open Data API Rapid7

特徴
脆弱性、攻撃、その他のセキュリティ関連データを提供
CVEと関連する詳細な技術情報が得られる

エンドポイント例
https://opendata.rapid7.com/

OSS

OpenCVE

公式サイト 提供元 注意点 スター数
OpenCVE opencve v1はもうすぐ閉じられて、v2がリリースされるそうです 約1800

特徴
CVE情報を収集、分析、表示するためのOSS
Webインターフェースと REST API を提供
Python で書かれている


公式サイト 提供元 注意点 スター数
CVE-Search cve-search 約2300

特徴
CVE、CPE、CWEデータをインポートし、検索可能にする
MongoDB を使用してデータを格納
Python で書かれており、Web インターフェースと API を提供


Dependency-Track

公式サイト 提供元 注意点 スター数
Dependency-Track DependencyTrack 特に制限は記載されていませんが、利用前に確認することを推奨します 約2600

特徴
ソフトウェアサプライチェーンのコンポーネント分析プラットフォーム
CVE情報を含む脆弱性データを提供
Java で書かれている


nvdtools

公式サイト 提供元 注意点 スター数
nvdtools Facebook

特徴
Go言語で書かれた脆弱性データベース
NVDデータを解析し、使いやすい形式で提供
CLIツールとライブラリの両方を提供


OWASP Dependency-Check

公式サイト 提供元 注意点 スター数
OWASP Dependency-Check 個人 約6300

特徴
プロジェクトの依存関係をスキャンし、既知の脆弱性を検出
NVDデータベースを利用
Java で書かれているが、多くの言語やビルドツールに対応


Grype

公式サイト 提供元 注意点 スター数
Grype Anchore 約8500

特徴
コンテナイメージやファイルシステムの脆弱性スキャナー
複数の脆弱性データベースを利用
Go言語で書かれている


VulnerableCode

公式サイト 提供元 注意点 スター数
VulnerableCode 個人 約500

特徴
複数のソースから脆弱性データを集約
REST API とWeb UIを提供
Python/Django で書かれている

Discussion