ついこないだ、Azure NotebookでNISTをスクレイピングしてCVEからCVSSだけ取得するスクリプトを書いたが、JVNはキーワード検索すれば、ヒットした脆弱性ごとのCVSSスコアも出力されるので、matplotlibで可視化してみた。
例えば定期的にお騒がせなICS BINDは、こんな感じ。昔からあったんだなぁ。
OpenSSLも、お盛ん。しかも2016年頃は満点が続いてた。
Struts御大も、グラフだけ見ると、まだまだ現役な感じ。
本当は、このデータを元に、そろそろ枯れてきたかな、という指標を機械学習で取り出せればと思ったが、パッと見て、そういう雰囲気に見えないのが残念なところ。
コードとレンダリングイメージはgithubに置きました。Jupyterにコピペすれば、他のOSSも調べられます。