with_DeepL

 VEXとは、"Vulnerability Exploitability eXchange "の略です。VEXのコンセプトとフォーマットは、NTIA（National Telecommunications and Information Administration）のMultistakeholder Process for Software Component Transparencyの一部として開発されたものです。

 VEXのコンセプトは、ソフトウェア部品表（SBOM）の使用に関する特定のニーズを満たすために開発されましたが、VEXはSBOMとの使用に限定されるものではなく、また必ずしもSBOM自体に含まれることを期待されるものでもありません。

 VEXの主なユースケースは、ユーザー（オペレーター、開発者、サービスプロバイダーなど）に、ある製品が含まれるコンポーネントの特定の脆弱性によって影響を受けるかどうか、影響を受ける場合、是正するために推奨される措置があるかどうかについての追加情報を提供することである。

 多くの場合、アップストリームコンポーネントの脆弱性は、様々な理由（例えば、影響を受けるコードがコンパイラによってロードされない、または、ソフトウェアの他の場所にインライン保護が存在する）で最終製品で「悪用可能」ではないことが分かっています。

 ソフトウェア製品に影響を与えない、悪用不可能な脆弱性を調査するユーザーの労力を軽減するために、サプライヤーはVEXを発行することができます。

 VEXとは、特定の製品に存在する脆弱性の状態を表明するものです。その状態は以下の通りです。

 影響を受けない - この脆弱性についての対策は必要ありません。

 影響を受けない - この脆弱性を修正する、または対処することが推奨されます。

 修正済み - この製品のバージョンには、この脆弱性に対する修正が含まれていることを示します。

 調査中 - これらの製品バージョンが、この脆弱性の影響を受けるかどうかは、まだ判明していません。後日、更新される予定です。

 VEX は機械読み取り式である。機械可読性は、自動化を可能にし、より広範なツールやプロセスへの統合をサポートします。

 ユーザーは、SBOMからのコンポーネントデータとVEXからの脆弱性ステータス情報を統合し、脆弱性のステータスの最新情報を提供することができます。

 これにより、ユーザーは、ソフトウェアの脆弱性を発見し、修正するために、より的を絞ったアプローチを取ることができるようになると考えられます。

 また、1つのVEXで、1つの製品、または複数の製品の複数の脆弱性に関する情報を提供することができます。

 VEXは、ソフトウェア供給者が公開しますが、サードパーティが作成することも可能です。

 VEXはCommon Security Advisory Framework (CSAF)のプロファイルとして実装されています。

 CSAF は OASIS Open CSAF Technical Committee によって開発された機械可読なセキュリティ勧告のための標準である。

 CSAFで定義されたVEXは、ベンダー、システムインテグレーター、オペレーターが提供できる改善策、回避策、必要な再起動／停止時間、スコア、リスクなどの豊富な情報も提供することができる。

 また、VEXは他の規格やフレームワークで実装することも可能です。