VDR, VEX, OpenVEX en CSAF

Softwaretransparantie heeft een zeer noodzakelijke en langverwachte impuls gekregen. De Software Bill of Materials (SBOM) heeft als doel de sleutelartefact te worden voor softwaretransparantie en coördinatie van kwetsbaarheden binnen en tussen organisaties. Aangezien SBOM-formaten noodzakelijke details bevatten, waaronder softwarecomponenten en hun herkomst, kan een goede SBOM worden gebruikt om bekende kwetsbaarheden in de software bij te houden en te monitoren.

De SBOM-componentenlijst kan worden gebruikt met kwetsbaarheidsdatabases (bijv. NVD) om een kwetsbaarheidlijst voor het product te creëren.

Echter, SBOM alleen kan mogelijk niet genoeg detail coderen om niet-exploiteerbare kwetsbaarheden van exploiteerbare te scheiden. Dit kan leiden tot een nieuwe stroom van ruis in een al rumoerige omgeving van beveiligingsdatapunten.

Vroege adoptanten van SBOM hebben dit begrepen en hebben nieuwe normen evenals updates voor bestaande normen voorgesteld om de status van elke kwetsbaarheid naast de SBOM zelf te specificeren. In deze context spelen bestaande praktijken zoals VDR, CSAF en opkomende normen VEX en OpenVEX een sleutelrol.