Implementierung der Mindestanforderungen für VEX

Das Software-Bill of Materials (SBOM) wird durch SBOM-Qualität und anfälligkeitsspezifische Geräusche behindert. CISA hat empfohlen, VEX-Informationen mit mindestanforderungen für die Verwundbarkeitsexploitiertbarkeitsaustausch zu erstellen, um Letzteres anzugehen.

Das Dokument zu den VEX-Mindestanforderungen empfiehlt, Felder in die VEX aufzunehmen, die in einem SBOM oder als eigenständiges Dokument eingebettet sind.

In einem früheren Beitrag haben wir uns darauf konzentriert, wo CycloneDX VEX, OpenVEX und CSAF in Bezug auf die Offenlegung von Sicherheitsanfälligkeiten stehen.

In diesem Beitrag brechen wir die Feldzuordnungen der Mindestanforderungen zu CycloneDX VEX und OpenVEX auf.