Skip to content
Latchkey

VEX Document - CI/CD用語集の定義

VEX documentは、脆弱性ごとに、それが自社製品で実際に悪用可能かどうかを記録し、scannerが該当しないCVEをフィルタリングして、チームを誤検知の海に溺れさせないようにします。

VEX (Vulnerability Exploitability eXchange) documentは、特定の脆弱性が製品に実際に影響するかどうかを示す機械可読なステートメントで、scannerが悪用不可能な検出結果を、文書化された正当化とともに抑制できるようにします。

VEXはSBOMと組み合わさります。SBOMがコンポーネントを列挙し、VEXがそれらの既知の脆弱性のうちここで重要なものを示します。

ステータス値

VEXステートメントは脆弱性をnot_affected、affected、fixed、under_investigationのいずれかとして、正当化とともにマークします。「not_affected」の主張(たとえば到達不能なコード)により、CIはscanner全体を無視することなく、そのCVEだけを無視できます。

関連ガイド