2019-08-02 リリース内容

今回のリリースでは以下の変更を行いました。

機能追加

トリアージ支援機能 「NW攻撃可能か」「権限なしで攻撃可能」のRed Hatの列を追加

これまで用意していた「Red HatのCVSSスコア」や「Red Hatの深刻度」に加えて、「NWから攻撃可能か」「権限なしで攻撃可能」についてもRed Hat版を用意しました。

CentOSやRHEL環境では、NVDの情報よりもベンダ1次情報であるRed Hatの情報もとに判断したほうがトリアージ(脆弱性対応判断)が捗ります。
トリアージが捗る理由としては、Red Hatのほうがスコアが低くつけられているケースが多々あり、例えば、

  • CVSSがRed Hatは3.8だが、NVDでは9.8
  • AV: 攻撃元区分 (Access Vector)が、Red HatはLocalだが、NVDではNetwork
  • PR: 必要な特権レベル(Privileges Required)がRed Hatは高(H)だが、NVDでは低(L)

といったようにCVSSスコア、CVSS Base Metricsが、Red HatとNVDで異なっている(NVDは別OS環境を考慮した結果、Red Hatのものよりも深刻と判断されている)ものが多く、Future Vuls上でのトリアージ作業の支障となるケースが多々あるためです。

脆弱性リストの「表示項目の編集」アイコンから表示・非表示を切り替えることができます。

CentOSやRHELを利用中の方はお試しください。

参考: IPA 共通脆弱性評価システムCVSS v3概説

脆弱性詳細の項目並び順変更

脆弱性詳細のページに表示されるサマリ・CVSSスコアの並び順を変更しました。

これまではJVN → NVD → Red Hat → Microsoft の順に表示していましたが、各ディストリビューションの情報を優先するため、Red Hat → Microsoft → JVN → NVDの表示順へ変更しました。

ソフトウェアリストのバージョン・リリース列を統合

これまでソフトウェアリストのバージョン・リリースを別の列で表示していましたが、「インストール済みバージョン」と「アップデート可能なバージョン」を見比べる際に列が統合されている方が確認しやすいため列を統合しました。

またアップデード可能なソフトウェアを !マークで強調して表示するよう変更しました。

新規作成時のナビゲーションにヘルプへのリンク追加

新規登録したユーザがオーガニゼーションやグループの作成で迷わないよう、該当部分にヘルプページのチュートリアル( https://help.vuls.biz/tutorial/ )へのリンクを追加しました。