11.3. Clair の重大度のマッピング
Clair は包括的なアプローチにより脆弱性を評価および管理します。その重要な機能の 1 つは、セキュリティーデータベースの重大度文字列の正規化です。これは、脆弱性の重大度を事前定義された値のセットにマッピングすることで、重大度の評価を効率化するプロセスです。このマッピングにより、クライアントは、各セキュリティーデータベースの固有の複雑な重大度文字列を解読することなく、脆弱性の重大度に効率よく対応できます。これらのマッピングされた重大度文字列は、それぞれのセキュリティーデータベース内にあるものと整合しているため、脆弱性評価の一貫性と正確性が確保されます。
11.3.1. Clair の重大度文字列
Clair は、次の重大度文字列をユーザーに通知します。
- Unknown
- Negligible
- 低
- Medium
- 高
- Critical
これらの重大度文字列は、関連するセキュリティーデータベース内にある文字列と似ています。
Alpine のマッピング
Alpine SecDB データベースは重大度情報を提供しません。すべての脆弱性の重大度が Unknown になります。
| Alpine の重大度 | Clair の重大度 |
|---|---|
| * | Unknown |
AWS のマッピング
AWS UpdateInfo データベースが重大度情報を提供します。
| AWS の重大度 | Clair の重大度 |
|---|---|
| low | 低 |
| medium | Medium |
| important | 高 |
| critical | Critical |
Debian のマッピング
Debian Oval データベースが重大度情報を提供します。
| Debian の重大度 | Clair の重大度 |
|---|---|
| * | Unknown |
| Unimportant | 低 |
| 低 | Medium |
| Medium | 高 |
| 高 | Critical |
Oracle のマッピング
Oracle Oval データベースは重大度情報を提供します。
| Oracle の重大度 | Clair の重大度 |
|---|---|
| 該当なし | Unknown |
| LOW | 低 |
| MODERATE | Medium |
| IMPORTANT | 高 |
| CRITICAL | Critical |
RHEL のマッピング
RHEL Oval データベースは重大度情報を提供します。
| RHEL の重大度 | Clair の重大度 |
|---|---|
| なし | Unknown |
| 低 | 低 |
| Moderate | Medium |
| Important | 高 |
| Critical | Critical |
SUSE のマッピング
SUSE Oval データベースは重大度情報を提供します。
| 重大度 | Clair の重大度 |
|---|---|
| なし | Unknown |
| 低 | 低 |
| Moderate | Medium |
| Important | 高 |
| Critical | Critical |
Ubuntu のマッピング
Ubuntu Oval データベースは重大度情報を提供します。
| 重大度 | Clair の重大度 |
|---|---|
| Untriaged | Unknown |
| Negligible | Negligible |
| 低 | 低 |
| Medium | Medium |
| 高 | 高 |
| Critical | Critical |
OSV のマッピング
| ベーススコア | Clair の重大度 |
|---|---|
| 0.0 | Negligible |
| 0.1-3.9 | 低 |
| 4.0-6.9 | Medium |
| 7.0-8.9 | 高 |
| 9.0-10.0 | Critical |
| ベーススコア | Clair の重大度 |
|---|---|
| 0.0-3.9 | 低 |
| 4.0-6.9 | Medium |
| 7.0-10 | 高 |
