VDR, VEX, OpenVEX et CSAF

La transparence des logiciels a reçu une impulsion tant attendue et nécessaire. La Software Bill of Materials (SBOM) vise à devenir l'artéfact clé pour la transparence des logiciels et la coordination des vulnérabilités au sein et entre les organisations. Alors que les formats SBOM contiennent des détails nécessaires, y compris les composants logiciels et leurs origines, un bon SBOM peut être utilisé pour suivre et surveiller les vulnérabilités connues dans le logiciel.

La liste des composants SBOM peut être utilisée avec des bases de données de vulnérabilités (par exemple, NVD) pour créer une liste de vulnérabilités pour le produit.

Cependant, le SBOM à lui seul peut ne pas encoder suffisamment de détails pour séparer les vulnérabilités non exploitables de celles exploitables. Cela peut mener à un nouveau flux de bruit dans un environnement déjà bruyant de points de données de sécurité.

Les premiers adopteurs du SBOM ont compris cela et ont proposé de nouvelles normes ainsi que des mises à jour aux normes existantes pour spécifier le statut de chaque vulnérabilité aux côtés du SBOM lui-même. Dans ce contexte, des pratiques existantes telles que VDR, CSAF, et les normes émergentes VEX et OpenVEX jouent un rôle clé.