VDR, VEX, OpenVEX und CSAF

Die Software-Transparenz hat einen dringend benötigten und lange erwarteten Schub erhalten. Das Software Bill of Materials (SBOM) soll das zentrale Artefakt für Software-Transparenz und Koordination von Verwundbarkeiten innerhalb und zwischen Organisationen werden. Da SBOM-Formate notwendige Details, einschließlich Softwarekomponenten und deren Ursprünge, enthalten, kann ein gutes SBOM verwendet werden, um bekannte Verwundbarkeiten in der Software zu verfolgen und zu überwachen.

Die SBOM-Komponentenliste kann mit Verwundbarkeitsdatenbanken (z. B. NVD) verwendet werden, um eine Verwundbarkeitsliste für das Produkt zu erstellen.

Allerdings reicht ein SBOM allein möglicherweise nicht aus, um genügend Details zu kodieren, um nicht ausnutzbare Verwundbarkeiten von ausnutzbaren zu unterscheiden. Dies kann zu einem neuen Rauschen in einer bereits lauten Umgebung von Sicherheitsdatenpunkten führen.

Frühe Anwender von SBOM haben dies erkannt und neue Standards sowie Aktualisierungen bestehender Standards vorgeschlagen, um den Status jeder Verwundbarkeit neben dem SBOM selbst zu spezifizieren. In diesem Kontext spielen bestehende Praktiken wie VDR, CSAF und aufkommende Standards wie VEX und OpenVEX eine entscheidende Rolle.