https://www.ntia.gov/files/ntia/publications/vex_one-page_summary.pdf
with_DeepL
 VEXとは、"Vulnerability Exploitability eXchange "の略です。VEXのコンセプトとフォーマットは、NTIA(National Telecommunications and Information Administration)のMultistakeholder Process for Software Component Transparencyの一部として開発されたものです。

 VEXのコンセプトは、ソフトウェア部品表(SBOM)の使用に関する特定のニーズを満たすために開発されましたが、VEXはSBOMとの使用に限定されるものではなく、また必ずしもSBOM自体に含まれることを期待されるものでもありません。

 VEXの主なユースケースは、ユーザー(オペレーター、開発者、サービスプロバイダーなど)に、ある製品が含まれるコンポーネントの特定の脆弱性によって影響を受けるかどうか、影響を受ける場合、是正するために推奨される措置があるかどうかについての追加情報を提供することである。

 多くの場合、アップストリームコンポーネントの脆弱性は、様々な理由(例えば、影響を受けるコードがコンパイラによってロードされない、または、ソフトウェアの他の場所にインライン保護が存在する)で最終製品で「悪用可能」ではないことが分かっています。

 ソフトウェア製品に影響を与えない、悪用不可能な脆弱性を調査するユーザーの労力を軽減するために、サプライヤーはVEXを発行することができます。

 VEXとは、特定の製品に存在する脆弱性の状態を表明するものです。その状態は以下の通りです。

 影響を受けない - この脆弱性についての対策は必要ありません。

 影響を受けない - この脆弱性を修正する、または対処することが推奨されます。

 修正済み - この製品のバージョンには、この脆弱性に対する修正が含まれていることを示します。

 調査中 - これらの製品バージョンが、この脆弱性の影響を受けるかどうかは、まだ判明していません。後日、更新される予定です。

 VEX は機械読み取り式である。機械可読性は、自動化を可能にし、より広範なツールやプロセスへの統合をサポートします。

 ユーザーは、SBOMからのコンポーネントデータとVEXからの脆弱性ステータス情報を統合し、脆弱性のステータスの最新情報を提供することができます。

 これにより、ユーザーは、ソフトウェアの脆弱性を発見し、修正するために、より的を絞ったアプローチを取ることができるようになると考えられます。

 また、1つのVEXで、1つの製品、または複数の製品の複数の脆弱性に関する情報を提供することができます。

 VEXは、ソフトウェア供給者が公開しますが、サードパーティが作成することも可能です。

 VEXはCommon Security Advisory Framework (CSAF)のプロファイルとして実装されています。

 CSAF は OASIS Open CSAF Technical Committee によって開発された機械可読なセキュリティ勧告のための標準である。

 CSAFで定義されたVEXは、ベンダー、システムインテグレーター、オペレーターが提供できる改善策、回避策、必要な再起動/停止時間、スコア、リスクなどの豊富な情報も提供することができる。

 また、VEXは他の規格やフレームワークで実装することも可能です。
🐰
要するに
「これこれの脆弱性がありますけど、うちの製品では~~なので問題ないですよ」みたいな追加情報を提供したい
そうすれば労力減るよね
経験則として「多くの場合、脆弱性があっても別に悪用はされないよ」が知られているので、VEXという形でその辺を形式知化できれば対応削減を狙えるだろうってことね🐰
対処は4段階で分けてる
影響ないでーす
影響ないけど対処した方がいいかも
脆弱性修正済でーす
調査中でーす
自動化が前提
1-vex N-productが可能
たとえば「VEX-12345 以下の製品の、以下の脆弱性については対処が不要です」ってのをつくって、製品と脆弱性をぶら下げることもできるわけだ🐰
提供するのはサプライヤー
SBOMつくる側
ただし3rd partyでもつくれる🐰
で、このVEXを実装するための規格の一つがCSAF
VEXの実装規格CSAF
---
Links From <- VEXの実装規格CSAF
Links To -> VEXの実装規格CSAF