オープンソースの脆弱性データベース　OSVDB リーダー Jake Kouns インタビュー（メール取材）

　OSVDB(OPEN SOURCE VULNERABILITY DATABASE)は、ボランティアベースのセキュリティホールに関する広範なデータベースであり、無償で提供されている。
　ベンダや特定の組織のバイアスのかからない独立したデータベースなっている。多くのセキュリティコミュニティにこのデータベースが活用されることを目的としている。
　単体としての利用以外に、オープンソースのセキュリティスキャナのデータベースとしても活用されている。

オープンソース脆弱性データベースの公開(2004.4.13)
https://www.netsecurity.ne.jp/article/2/12781.html

　セキュリティホールに関するデータベースはさまざまなものが存在するが、それらは基本的に有料であり、年間利用料金が100万円を超えるものも少なくない。大手企業以外ではこうした有料のデータベースを活用することは困難といえる。OSVDBのように無償で活用することのできるデータベースは貴重である。
　残念ながら日本語版はまだない。

　その目的やプロジェクトの詳細については下記のドキュメントにくわしい。

OSVDB Aims
http://www.osvdb.org/OSVDB-Aims.php

OSVDB Objective
http://www.osvdb.org/OSVDB-Objectives.php

　今回は、OSVDB のリーダーである Jake Kouns 氏にお話しをうかがった。
　TCP Reset Attacks( http://www.osvdb.org/4030 )の対応でご多忙中にも関わらず、迅速かつていねいに対応していただけました。

>> OSVDBの体制について

　編集部：OSVDBの体制についてはWEB上に記載（ http://www.osvdb.org/about.php ）がありますが、もう少しくわしくお聞きできますか？

jake　：4名のリーダーがモデレータとして活動しています。開始のアナウンスをした時点では10名から20名の "mangler" （情報収集活動を行う協力者）がいました。現在は70名以上に増加しています。活動している "mangler" は、われわれのWEB上にリストとして掲載しています。

編集部：カバーしている範囲は、やはり英語のものに限られるのでしょうか？

jake　：いまのところ、すべての "mangler" は英語で記述されている脆弱性だけを扱っていますが、"mangler" そのものは世界中に散らばっています。OSVDBのバックエンド部隊は、どの言語でも扱えるようになっています。

編集部：ところで、日本人の "mangler" はいますか？

jake　：日本人らしい人はいないですね。

編集部：日本人が "mangler"になりたいと思ったら、どうすればいいですか？

jake　：このURLでアカウントを登録してもらえれば "mangler" になれます。
　　　 http://www.osvdb.org/newuser.php

>> 脆弱性情報に関して

編集部：脆弱性発見者とベンダの間のコーディネーションを行うような活動も行っているということですが、同様の機能をもつ機関として CERT/CC があります。両社の違いはどのへんでしょうか？

jake　：いまのところ、まだコーディネーション機能は実現していませんが、今後実現する予定です。
OSVDBプロジェクトは、CERTとよく似ています。我々のサービスとCERTのサービスは連携することでより価値があがるのではないかと感じています。
多くの研究者はすでにOSVDBに新しく発見した脆弱性情報を送ってきています。我々は情報公開についての倫理的な取り決めや脆弱性発見者がベンダと脆弱性公表のタイミングなどについて調整する負担をとりのぞく手助けが必要だと思っています。これらの課題を整理できると、CERTとのシナジーの出し方も見えてくると思います。
来月には詳細な内容を発表できると思います。

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec