Implementeren van Minimale Vereisten voor VEX

De Software Bill of Materials (SBOM) wordt belemmerd door de kwaliteit van SBOM en kwetsbaarheid-specifieke geluiden. CISA heeft aanbevolen VEX-informatie te creëren met Minimale Vereisten voor Kwetsbaarheidsexploitatie eXchange om het laatste aan te pakken.

Het document met de Minimale Vereisten voor VEX raadt aan velden op te nemen in de VEX die is ingebed in een SBOM of als een op zichzelf staand document.

In een eerdere post hebben we ons gericht op het detaileren van waar CycloneDX VEX, OpenVEX en CSAF staan in relatie tot de bekendmaking van kwetsbaarheden.

In deze post breken we de veldmappings van Minimale Vereisten naar CycloneDX VEX en OpenVEX af.