脆弱性情報データベース と フルディスクロージャ という考え方

Struts 1 系の脆弱性が報告されたとき、CVE-うんたらかんたら といった ID みたいなのを見かけた。

調べてみると、様々な脆弱性をまとめている Common Vulnerabilities and Exposures (CVE) というデータベースが採番する脆弱性情報の ID らしい。

• 参考 : 脆弱性情報データベース - Wikipedia

このような脆弱性情報のデータベースはいくつかあるようだが、よく知られているのは CVE ということみたい。

で、こうして脆弱性情報を広く公表しようという考え方を、フルディスクロージャと呼ぶらしい。

• 参考 : フルディスクロージャ - Wikipedia

「脆弱性情報は、全ての情報が詳細に渡って（=full）一般に公表（=disclosure）されていなければならない」とする、セキュリティ哲学の一つである。

情報公開、ということですな。