PostgreSQLグローバルデベロップメントグループはこのほど、「PostgreSQL: PostgreSQL is now a CVE Numbering Authority (CNA)」において、PostgreSQLがCVE採番機関(CNA: CVE Numbering Authority)に認定されたと伝えた。これによりPostgreSQLは米国MITREとの合意の範囲内で独自に脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)のCVE識別番号(CVE-ID)を割り当てることが可能になる。
「脆弱性情報データベース」とは
脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)は、米国MITREが管理運営する公知の脆弱性に関するデータベースのことを指す(参考:「CVE - CVE」)。一般に公開されているサイバーセキュリティの脆弱性を特定、定義、カタログ化することを目的としている。
データベースに登録される脆弱性情報には、必ず一意に識別するためのCVE識別番号が割り当てられる。このCVE識別番号は「CVE-4桁の西暦-連番」の形式が取られており、通常はセキュリティベンダや製品開発ベンダ、研究者などで構成される「CVE Editorial Board」と呼ばれる機関により割り当てられる。
PostgreSQLの役割
PostgreSQLに与えられたCVE識別番号の割り当て範囲は、次のプロジェクトに関係するものとなる(参考:「PostgreSQL: Security Information」)。
- PostgreSQL
- PostgreSQL RPM packaging
- PostgreSQL DEB packaging
- PostgreSQL Windows/macOS installers (EDB)
- pgJDBC
- psqlODBC
- pgAdmin
これらプロジェクトの脆弱性は、「cna@postgresql.org」にリスエストすることでCVE識別番号が割り当てられることになる。ただし、リクエストはプロジェクトのメンバーに限るとしており、それ以外の開発者や研究者が脆弱性を発見した場合は、上記プロジェクトのセキュリティチーム(security@postgresql.org)に連絡する必要がある。また、ユーザーが問題を発見した場合、それが脆弱性かバグか判断する必要があるため、「Report a Bug」からバグとして報告することが推奨されている。