JVNRSS - Japan Vulnerability Notes RDF Site Summary

要約

脆弱性対策情報の記述については、概要記述向け (JVNRSS, mod_sec) と詳細記述向け (VULDEF) という情報の記述粒度による使い分けを想定しています。 本仕様書では、概要記述向けの JVNRSS の仕様について記載しています。

The classification of JVNRSS and VULDEF

JVNRSSは、脆弱性対策情報の概要記述用XMLフォーマットで、サイトの概要をメタデータとして簡潔に記述するXMLフォーマットであるRSS (RDF Site Summary) 1.0 をベースとした仕様であり、他サイトに掲載可能な形式で発信する仕組み、脆弱性対策情報のグループ化や抽出した情報の再構成などの点から、脆弱性対策情報の利活用を促進することを目的としています。

mod_secは、脆弱性対策情報などのセキュリティ情報を記述するためのJVNRSSの拡張仕様で、RSS 1.0, RSS 2.0, Atom での利用を想定した汎用的な仕様となっています。 mod_secについては、http://jvndb.jvn.jp/schema/mod_sec.html を参照してください。

VULDEFは、脆弱性対策情報を詳細に記述するためのXMLフォーマットであり、各々の製品開発ベンダ/組織が作成する対策情報のコア・フォーマットと成り得ること、各々のニーズを満たす為の例外的な詳細部について記述可能なマージンを取っておくこと、将来的な予測不能な新たな記述に対して、拡張可能であることを前提に作成しています。 VULDEFについては、http://jvnrss.ise.chuo-u.ac.jp/jtg/vuldef/ を参照してください。

著者

JVNRSS Feasibility Study Team のメンバ:

Masato Terada (IPA, JPCERT/CC)
JVN Working Group (JPCERT/CC, IPA)

バージョン

最新版: V2.2 2009-07-17
V2.2 2009-07-17
XML スキーマに dc:language、dc:subject を追加しました。
V2.1 2009-04-28
http://jvndb.jvn.jp/schema/jvnrss.html
仕様ならびに、XML スキーマ掲載サイトを変更しました。
V2.0 2009-03-09
http://jvnrss.ise.chuo-u.ac.jp/jtg/jvnrss/2.0/
V2.0 では JVNRSS に mod_sec を取り込みました。また、仕様を明確に記述するため、XML スキーマファイル jvnrss_2.0.xsd を用意しました。
V1.0 2005-09-09
http://jvnrss.ise.chuo-u.ac.jp/jtg/jvnrss/1.0/
V1.0 は、http://jvn.jp/rss/jvnrss.html に掲載されている仕様です。
V1.0alpha と V1.0 の差分については、http://jvn.doi.ics.keio.ac.jp/rss/index.html を参照してください。
JVNRSS の仕様を取り込んだ RSS 1.0, RSS 2.0, Atom 向けの拡張仕様については、mod_sec を参照してください。
V1.0alpha 2003-07-15
http://jvn.doi.ics.keio.ac.jp/rss/index.html

問合せ先

コメントなどがありましたら、JVN Working Group に送付してください。

著作権

Copyright © 2003-2009 by the Authors.

目次

1. 概要
2. XML スキーマ
3. 解説
4. 例題
5. 参考情報
6. 謝辞



1. 概要

JVNRSS (JVN RDF Site Summary) 2.0 は、RDF Site Summary (RSS) 1.0 と mod_sec で定義されている <sec:identifier>、<sec:references> フィールドを用いたセキュリティ情報を配信するための XML フォーマットです。
<sec:identifier>、<sec:references> を用いて記載した JVNRSS のフォーマットは次のようになります。

<item rdf:about="製品開発ベンダが掲載するセキュリティ情報のURI">
 <title>セキュリティ情報のタイトル</title>
 <link>セキュリティ情報のURI</link>
 <dscription>セキュリティ情報の概要</description>
  <dc:publisher>組織名(製品開発ベンダ名)</dc:publisher>
  <dc:creator>問合せ先(メールアドレスを推奨)</dc:creator>
  <sec:identifier>製品開発ベンダ固有のセキュリティ情報 ID</sec:identifier> 
  <sec:references>関連情報 (1) {JVN|CVE|CERT-CA|CERT-VUなど}</sec:references>
  <sec:references>関連情報 (2) {JVN|CVE|CERT-CA|CERT-VUなど}</sec:references>
  <sec:references>          :          :          </sec:references>
  <dc:date>更新日</dc:date>
  <dcterms:issued>発行日</cterms:issued>
  <dcterms:modified>更新日</dcterms:modified>
</item>

JVNRSSはリンク先を記述した</item>の一覧から構成し、各</item>にはリンク先のタイトル、概要などの情報を記載します。関連情報は、他のサイトで掲載されているセキュリティ情報同士を関連付けるための情報であり、Japan Vulnerability Notes (JVN), Common Vulnerability Exposure (CVE), CERT Advisory (CERT-CA), CERT Vulnerability Notes (CERT-VU, US-CERT Vulnerability Notes), US-CERT Technical Alert, NIST National Vulnerability Database (NVD), DOE-CIRC Technical Bulletin などの主要なセキュリティ情報を参照します。



2. XML スキーマ

http://jvndb.jvn.jp/schema/jvnrss_2.0.xsd



3. 解説

3.1 <rdf:RDF>

rdf: は RDF の名前空間接頭辞です。

Example:

<rdf:RDF
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" 
xmlns="http://purl.org/rss/1.0/" 
xmlns:dc="http://purl.org/dc/elements/1.1/" 
xmlns:dcterms="http://purl.org/dc/terms/" 
xmlns:sec="http://jvn.jp/rss/mod_sec/" 
xsi:schemaLocation="http://purl.org/rss/1.0/ 
    http://jvndb.jvn.jp/schema/jvnrss_2.0.xsd">


3.2 <channel>

channel 要素は、セキュリティ情報自身に関する基本情報として、タイトル、概要、該当する情報への URL リンクなどから構成されています。rdf:about 属性には、セキュリティ情報のチャンネルとして、掲載する JVNRSS ファイル自身の URL を記載します。

Syntax: <channel rdf:about="{セキュリティ情報のチャンネル URL}">
Requirement: 必須
Example:

<channel rdf:about="http://jvn.jp/rss/jvn.rdf">
 <title>JVNRSS Feed - Update Entry</title>
 <link>http://jvn.jp/</link>
 <description>JVNサイト新着ならびに更新情報</description>
 <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
 <dc:right>Copyright © 2006 by the Authors.</dc:right>
 <dc:creator>jvn@jvn.jp</dc:creator>
 <dc:date>2006-04-03T10:04+09:00</dc:date>
 <dcterms:issued />
 <dcterms:modified>2006-04-03T10:04+09:00</dcterms:modified>
 <items>
  <rdf:Seq>
   <rdf:li rdf:resource="http://jvn.jp/cert/JVNVU834865" />
   <rdf:li rdf:resource="http://jvn.jp/cert/JVNTA06-062A" />
  </rdf:Seq>
 </items>
</channel>

3.2.1 <title>

channel 要素内に記載された title 要素 {セキュリティ情報のチャンネルタイトル} には、JVNRSS ファイルのタイトルを記載します。

Syntax: <title>{セキュリティ情報のチャンネルタイトル}</title>
Requirement: 必須

3.2.2 <link>

channel 要素内に記載された link 要素 {セキュリティ情報が掲載されている URL} には、対象とするサイトの URL(ホームページや新着情報などのページ URL)を記載します。

Syntax: <link>{セキュリティ情報が掲載されているURL}</link>
Requirement: 必須

3.2.3 <description>

channel 要素内に記載された description 要素 {セキュリティ情報の概要} には、JVNRSS ファイルの内容や概要の説明を記載します。

Syntax: <description>{セキュリティ情報の概要}</description>
Requirement: 必須

3.2.4 <dc:publisher>

channel 要素内に記載された dc:publisher 要素 {組織名(製品開発ベンダ名)} には、JVNRSS 情報を発信する組織名 (製品開発ベンダ名) を記載します。
dc: は、RDF Site Summary 1.0 Modules: Dublin Core の名前空間接頭辞です。

Syntax: <dc:publisher>{組織名(製品開発ベンダ名)}</dc:publisher>
Requirement: 推奨

3.2.5 <dc:rights>

channel 要素内に記載された dc:rights 要素 {コピーライト} には、発信する JVNRSS 情報に関する著作権を記載します。

Syntax: <dc:rights>{コピーライト}</dc:rights>
Requirement: 任意

3.2.6 <dc:creator>

channel 要素内に記載された dc:creator 要素 {問合せ先(メールアドレスを推奨)} には、JVNRSS 情報を発信する組織 (製品開発ベンダ) の問合せ先を記載します。

Syntax: <dc:creator>{問合せ先(メールアドレスを推奨)}</dc:creator>
Requirement: 推奨

3.2.7 <dc:date>

channel 要素内に記載された dc:date 要素 {更新日} には、JVNRSS ファイルを更新した日付を記載します。dc:date 要素は、dcterms:modified 要素と重複する内容ですが、多くの RSS リーダが日付情報の参照先として dc:date 要素を利用していることから推奨項目としています。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dc:date>{更新日}</dc:date>
Requirement: 推奨

3.2.8 <dcterms:issued>

dcterms: は、RDF Site Summary 1.0 Modules: Qualified Dublin Core の名前空間接頭辞です。
セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、channel 要素内に記載された dcterms:issued 要素 {発行日} には、JVNRSS ファイルを最初に発行した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dcterms:issued>{発行日}</dcterms:issued>
Requirement: 推奨

3.2.9 <dcterms:modified>

dcterms: は、RDF Site Summary 1.0 Modules: Qualified Dublin Core の名前空間接頭辞です。
セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、channel 要素内に記載された dcterms:modified 要素 {更新日} には、JVNRSS ファイルを更新した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dcterms:modified>{更新日}</dcterms:modified>
Requirement: 推奨

3.2.10 <items>

item 要素 [3.4] の一覧を記載します。item 要素の rdf:about 属性で参照する URL を rdf:li 要素の rdf:resource 属性で示します。

Syntax: <items><rdf:Seq><rdf:li resource="{item 要素の rdf:about 属性と同じ URL}" /> ... </rdf:Seq></items>
Requirement: 必須


3.3 <item>

item 要素は、個々のセキュリティ情報自身に関する基本情報として、タイトル、概要、該当する情報への URL リンクなどから構成されています。rdf:about 属性には、製品開発ベンダが掲載するセキュリティ情報のURL として、掲載する各セキュリティ情報自身の URL を記載します。

Syntax: <item rdf:about="{製品開発ベンダが掲載するセキュリティ情報のURL}">
Requirement: 必須
Example:

<item rdf:about="http://jvn.jp/cert/JVNVU834865">
 <title>sendmailにおけるシグナルの扱いに関する脆弱性</title>
 <link>http://jvn.jp/cert/JVNVU834865</link>
 <description>sendmailには、非同期シグナルの扱いに脆弱性があり、
 特殊な条件下において競合状態になる可能性があります。詳しくはJVNをご覧ください。</description>
 <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
 <dc:creator>jvn@jvn.jp</dc:creator>
 <sec:identifier>JVNVU#834865</dc:identifier>
 <sec:references>http://www.us-cert.gov/cas/techalerts/TA06-081A.html</sec:references>
 <sec:references>http://www.kb.cert.org/vuls/id/834865</sec:references>
 <sec:references>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0058</sec:references>
 <dc:date>2006-04-03T10:30+09:00</dc:date>
 <dcterms:issued>2006-03-23T04:00+09:00</dcterms:issued>
 <dcterms:modified>2006-04-03T10:30+09:00</dcterms:modified>
</item>

3.3.1 <title>

item 要素内に記載された title 要素 {セキュリティ情報のタイトル} には、各セキュリティ情報のタイトルを記載します。

Syntax: <title>{製品開発ベンダが掲載するセキュリティ情報の URL}</title>
Requirement: 必須

3.3.2 <link>

item 要素内に記載された link 要素 {セキュリティ情報の URL} には、掲載する各セキュリティ情報自身の URL を記載します。item 要素の rdf:about 属性で参照する URL と同値をとります。

Syntax: <link>{セキュリティ情報の URL}</link>
Requirement: 必須

3.3.3 <description>

item 要素内に記載された description 要素 {セキュリティ情報の概要} には、掲載する各セキュリティ情報自身の概要を記載します。

Syntax: <description>{セキュリティ情報の概要}</description>
Requirement: 推奨

3.3.4 <dc:publisher>

item 要素内に記載された dc:publisher 要素 {組織名(製品開発ベンダ名)} には、各セキュリティ情報を発信する組織名 (製品開発ベンダ名) を記載します。

Syntax: <dc:publisher>{組織名(製品開発ベンダ名)}</dc:publisher>
Requirement: 推奨

3.3.5 <dc:creator>

item 要素内に記載された dc:creator 要素 {問合せ先(メールアドレスを推奨)} には、各セキュリティ情報を発信する組織 (製品開発ベンダ) の問合せ先を記載します。

Syntax: <dc:creator>{問合せ先(メールアドレスを推奨)}</dc:creator>
Requirement: 任意

3.3.6 <sec:identifier>

sec: は、Qualified Security Advisory Reference (mod_sec) の名前空間接頭辞です。
item 要素内に記載された sec:identifier 要素 {製品開発ベンダ固有のセキュリティ情報 ID} には、製品開発ベンダが、各セキュリティ情報に付与したセキュリティ情報 ID を記載します。
V1.0 では <dc:identifier> を使用していましたが、V2.0 では <sec:identifier> を使用します。

Syntax: <sec:identifier>{製品開発ベンダ固有のセキュリティ情報 ID}</sec:identifier>
Requirement: 推奨

3.3.7 <sec:references>

sec: は、Qualified Security Advisory Reference (mod_sec) の名前空間接頭辞です。
item 要素内に記載された sec:references 要素 {関連情報} には、もととなるセキュリティ情報や関連情報の URL として、JVN, CVE, CERT Advisory (CERT-CA), CERT Vulnerability Note (CERT-VU), DOE-CIRC Technical Bulletin などの参照先として普及しているセキュリティ情報の URL を記載します。参照先として普及しているセキュリティ情報として、次のような情報があります。
V1.0 では <dc:relation> を使用していましたが、V2.0 では <sec:references> を使用します。

Syntax: <sec:references>{関連情報}</sec:references>
Requirement: 推奨

3.3.8 <dc:date>

item 要素内に記載された dc:date 要素 {更新日} には、該当するセキュリティ情報を更新した日付を記載します。dc:date 要素は、dcterms:modified 要素と重複する内容ですが、多くの RSS リーダが日付情報の参照先として、dc:date 要素を利用していることから、推奨項目としています。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dc:date>{更新日}</dc:date>
Requirement: 推奨

3.3.9 <dcterms:issued>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、item 要素内に記載された dcterms:issued 要素 {発行日} には、該当するセキュリティ情報を最初に発行した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dcterms:issued>{発行日}</dcterms:issued>
Requirement: 推奨

3.3.10 <dcterms:modified>

セキュリティ情報の発行日と更新日を明確に分けて取り扱うことができるよう、item 要素内に記載された dcterms:modified 要素 {更新日} には、該当するセキュリティ情報を更新した日付を記載します。セキュリティ情報の発行日と更新日を明確に分けて取り扱うことを推奨します。
YYYY-MM-DDThh:mmTZD (eg 1997-07-16T19:20+01:00) 形式を推奨します。詳しくは、W3CDTF: Date and Time Formats を参照してください。

Syntax: <dcterms:modified>{更新日}</dcterms:modified>
Requirement: 推奨



4. 例題

JVNRSS 2.0 は、RSS 1.0, Dublin Core、Qualified Dublin Core と mod_sec の要素を使用して記述します。


4.1 基本形

基本形は、必須と推奨項目を使用します。

<?xml version="1.0" encoding="UTF-8" ?>

<rdf:RDF
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" 
  xmlns="http://purl.org/rss/1.0/" 
  xmlns:dc="http://purl.org/dc/elements/1.1/" 
  xmlns:dcterms="http://purl.org/dc/terms/" 
  xmlns:sec="http://jvn.jp/rss/mod_sec/" 
  xsi:schemaLocation="http://purl.org/rss/1.0/ 
      http://jvndb.jvn.jp/schema/jvnrss_2.0.xsd"
  xml:lang="ja"
>

 <channel rdf:about="http://jvn.jp/rss/jvn.rdf">
  <title>JVNRSS Feed - Update Entry</title>
  <link>http://jvn.jp/</link>
  <description>JVNサイト新着ならびに更新情報</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <dc:date>2006-04-03T10:04+09:00</dc:date>
  <dcterms:issued />
  <dcterms:modified>2006-04-03T10:04+09:00</dcterms:modified>
  <items>
   <rdf:Seq>
    <rdf:li rdf:resource="http://jvn.jp/cert/JVNVU834865" />
    <rdf:li rdf:resource="http://jvn.jp/cert/JVNTA06-062A" />
   </rdf:Seq>
  </items>
 </channel>

 <item rdf:about="http://jvn.jp/cert/JVNVU834865">
  <title>sendmailにおけるシグナルの扱いに関する脆弱性</title>
  <link>http://jvn.jp/cert/JVNVU834865</link>
  <description>sendmailには、非同期シグナルの扱いに脆弱性があり、
  特殊な条件下において競合状態になる可能性があります。詳しくはJVNをご覧ください。</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <sec:identifier>JVNVU#834865</sec:identifier>
  <sec:references>http://www.us-cert.gov/cas/techalerts/TA06-081A.html</sec:references>
  <sec:references>http://www.kb.cert.org/vuls/id/834865</sec:references>
  <sec:references>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0058</sec:references>
  <dc:date>2006-04-03T10:30+09:00</dc:date>
  <dcterms:issued>2006-03-23T04:00+09:00</dcterms:issued>
  <dcterms:modified>2006-04-03T10:30+09:00</dcterms:modified>
 </item>

 <item rdf:about="http://jvn.jp/cert/JVNTA06-062A">
  <title>Apple 社の Mac 製品に複数の脆弱性</title>
  <link>http://jvn.jp/cert/JVNTA06-062A</link>
  <description>AppleからSecurity Update 2006-001がリリースされました。
  Mac OS X, Mac OS X Server, Safari web browserなどに脆弱性が確認されています。
  詳しくはJVNをご覧ください。</description>
  <dc:publisher>JVNRSS Feasibility Study Team</dc:publisher>
  <dc:creator>jvn@jvn.jp</dc:creator>
  <sec:identifier>JVNTA06-062A</sec:identifier>
  <sec:references>http://www.us-cert.gov/cas/techalerts/TA06-062A.html</sec:references>
  <sec:references>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0848</sec:references>
  <sec:references>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-4504</sec:references>
  <sec:references>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0387</sec:references>
  <dc:date>2006-03-15T17:30+09:00</dc:date>
  <dcterms:issued>2006-03-06T11:00+09:00</dcterms:issued>
  <dcterms:modified>2006-03-15T17:30+09:00</dcterms:modified>
 </item>

</rdf:RDF>


4.2 応用

応用では、XMLスキーマ mod_sec (http://jvndb.jvn.jp/schema/mod_sec_2.0.xsd) で規定されているすべての項目を使用した例題を示します。



5. 参考情報



6. 謝辞