リリースノートでのCVE参照の含め方
リリースノートでCVE識別子を適切に参照する方法。CVEのフォーマット、CVSSスコア、NVDリンク、脆弱性ドキュメントのCWE分類について解説します。
Security
詳細な説明
リリースノートでのCVE参照
脆弱性にCVE(Common Vulnerabilities and Exposures)識別子が割り当てられた場合、リリースノートはセキュリティチームが問題を評価し追跡するのに役立つ標準化された方法で参照すべきです。
CVEメタデータ
| フィールド | 例 | 目的 |
|---|---|---|
| CVE ID | CVE-2026-12345 | NVDでの一意の識別子 |
| CVSSスコア | 7.5 (High) | 標準化された重大度評価 |
| CWE | CWE-89 | 脆弱性の分類 |
| GHSA | GHSA-xxxx-xxxx-xxxx | GitHubセキュリティアドバイザリーID |
CVSS重大度範囲
| スコア | 評価 |
|---|---|
| 0.0 | None |
| 0.1 - 3.9 | Low |
| 4.0 - 6.9 | Medium |
| 7.0 - 8.9 | High |
| 9.0 - 10.0 | Critical |
リソースへのリンク
常に以下にリンクします:
- NVDエントリ:
https://nvd.nist.gov/vuln/detail/CVE-2026-12345 - GitHubアドバイザリー: GitHubでホストされている場合
- 独自のアドバイザリーページ: 完全な詳細と緩和手順付き
ユースケース
標準化された脆弱性識別と重大度評価を必要とする企業ユーザー、セキュリティチーム、コンプライアンス監査のために、適切なCVE参照で脆弱性を文書化する場合。