NVD データフィード2.0が公開

タイトルの通り、NIST NVDのデータフィードの2.0が5月21日に公開されました。
また、それに伴って1系の一部のデータフィードの廃止が2025年8月20日に決まりました。現在以下のデータフィードを利用している方は、早急に2.0への移行を進めたほうがよいでしょう。

• JSON Feeds(Schema Version 1.1)
• CPE Match Feed(Schema Version 1.0)
• CPE Dictionary v2.3

念のため補足すると、NVDの脆弱性情報は、データフィードとAPIの2つの提供方法があります。今回の話は、データフィードに関するものであり、APIは関係ありません。

データフィード2.0の変更内容

Vulnerability, CPE, CPE-Matchのデータフィードの形式が、API 2.0のJSON Schemaと同じになりました。

以下の画面は、1系（左側）と2系(右側)の脆弱性データフィードを比較したものです。Schema をみれば一目瞭然ですが、実際のデータを見てもかなり変わっていることが分かります。

API 2.0の JSON Schemaと同じになったことで、APIとデータフィードの取り込みを共通化することができます。
最新データを取るだけであれば、APIでも問題ありませんが、データベース構築のように一度に大量のデータを処理する必要がある場合は、データフィードを活用したほうが効率的な場合もあります。
APIとデータフィードの両方に対応するのは大変だったので、共通化は非常に有難いですね！

また、データフィードを見ていて気が付いたのですが、マルチバイト文字も正しく表示されるようです。
1系ではUTF-8で開くと文字化けしていましたが、2系だと問題なく表示されています。(スペイン語は文字化けしてますがｗ)

他にも、1系はCISA KEV情報が含まれていなかったり、CVSSv4.0が登録されている脆弱性ではImpactの中身が空欄だったりと、今の2系と比べると1系のデータは色々と不足していることが分かります。
まだ利用されている方は、早めに切り替えましょう！
ついでに、切り替える際には、2系から追加されたフィールドの確認もするといいかもしれないですね！