Mise en œuvre des exigences minimales pour VEX

Le Bill of Materials Software (SBOM) est freiné par la qualité du SBOM et des bruits spécifiques aux vulnérabilités. La CISA a recommandé de créer des informations VEX avec les exigences minimales pour l'échange de l'exploitabilité des vulnérabilités pour s'attaquer à ce dernier.

Le document des exigences minimales VEX recommande d'inclure des champs dans le VEX intégré dans un SBOM ou en tant que document autonome.

Dans un post précédent, nous avons mis l'accent sur le détail de la situation de CycloneDX VEX, OpenVEX et CSAF en relation avec la divulgation des vulnérabilités.

Dans ce post, nous décomposons les mappages de champs des exigences minimales vers CycloneDX VEX et OpenVEX.