Vulnerability Exploitability eXchange (VEX) útmutató

Editors' Pick
Geronimo ,

A CISA kiadott egy a biztonsági közösség által készített útmutatót, ami szoftverbiztonság és az ellátási lánc kockázatkezelésének erősítésére szolgáló Vulnerability Exploitability eXchange (VEX) útmutató használatára, frissítésére, kiadására ösztönzi a fogyasztókat, gyártókat. Az útmutató dokumentum azonosítja azokat a tényezőket, amelyek befolyásolják a döntést.

A VEX egy géppel olvasható adat, amely a szoftver, mint termék összetevőit és a sebezhetőség részleteit tartalmazza. Egyfajta biztonsági figyelmeztetés, amely kontextust biztosít arra vonatkozóan, hogy egy összetevő jelen van-e a termékben, ha a terméket egy vagy több sebezhetőség érinti. Könnyen integrálható a meglévő eszközökkel, és megosztható. A CISA megköveteli, hogy a VEX dokumentum a következő minimális elemeket tartalmazza. 

  • VEX-metaadatok, például VEX-formátumazonosító (akár CycloneDX, akár CSAF formátumban van), a VEX-dokumentum azonosító karakterlánca, szerző/kiadó/szállító, cím és időbélyeg.
  • A termék részletei, mint pl
    • Termékazonosító(k) 
    • Termékcsalád azonosítója 
    • Szállító neve 
    • Termék név 
    • Verzió karakterlánc
  • A sebezhetőség részleteinek tartalmaznia kell a következő mezőket
    • CVE vagy más azonosítók 
    • A sebezhetőség leírása
  • Sebezhetőségi kontextus: Egy termék és szoftverösszetevői egy adott sebezhetőséghez (CVE) képest a VEX-ben biztosított sebezhetőségi környezet a következő négy besorolást tartalmazza:
    • Nem érinti – Egy adott szoftverösszetevőt nem érint ez a biztonsági rés, ezért nincs szükség javításra. A VEX dokumentumban a „nem érintett” állapot okait egy géppel olvasható mező adja meg. 
    • Érintett – Az összetevőt érinti a biztonsági rés, és javítási műveletek javasoltak.
    • Javítva – Ez azt jelzi, hogy egy elérhető javítást alkalmaztak egy adott sebezhetőségre abban a konkrét verzióban, amelyhez az SBOM-t létrehozták. 
    • Vizsgálat alatt vagy Kutatás alatt – Ahogy a név is mutatja, nem ismert, hogy az összetevőket érinti-e egy adott biztonsági rés, és a frissítéseket a rendelkezésre álló lehetőségek szerint biztosítjuk.  

Jelenleg a VEX két formátumban érhető el:

  1. A Common Security Advisory Framework (CSAF) az OASIS Open fejlesztette ki.
  2. CycloneDX, amelyet az OWASP alapítvány fejlesztett ki.

FORRÁS

You May Also Like

Rosszindulatú szoftvereket fedeztek fel az egészségügyi betegmonitorokon

Yanac

Rossz szoftverbiztonsági gyakorlatok

TrainedR

A CISA a Roundcube Webmail sebezhetőség aktív kihasználására figyelmeztet

Yanac