VEX Document - CI/CD用語集の定義
VEX documentは、脆弱性ごとに、それが自社製品で実際に悪用可能かどうかを記録し、scannerが該当しないCVEをフィルタリングして、チームを誤検知の海に溺れさせないようにします。
VEX (Vulnerability Exploitability eXchange) documentは、特定の脆弱性が製品に実際に影響するかどうかを示す機械可読なステートメントで、scannerが悪用不可能な検出結果を、文書化された正当化とともに抑制できるようにします。
VEXはSBOMと組み合わさります。SBOMがコンポーネントを列挙し、VEXがそれらの既知の脆弱性のうちここで重要なものを示します。
ステータス値
VEXステートメントは脆弱性をnot_affected、affected、fixed、under_investigationのいずれかとして、正当化とともにマークします。「not_affected」の主張(たとえば到達不能なコード)により、CIはscanner全体を無視することなく、そのCVEだけを無視できます。
関連ガイド
SBOM Diff - CI/CD Glossary DefinitionSBOM Diff: An SBOM diff compares two software bills of materials to show which components were added, removed…
Provenance Predicate - CI/CD Glossary DefinitionProvenance Predicate: A provenance predicate is the structured claim inside a build attestation that records…
Dependency Confusion Defense - CI/CD Glossary DefinitionDependency Confusion Defense: Dependency confusion is a supply-chain attack where an attacker publishes a pub…