Skip to content
Latchkey

VEX Document - Definição do Glossário de CI/CD

Um documento VEX registra, por vulnerabilidade, se ela é de fato explorável no seu produto, para que scanners possam filtrar CVEs não aplicáveis em vez de afogar as equipes em falsos positivos.

Um documento VEX (Vulnerability Exploitability eXchange) é uma declaração legível por máquina que afirma se uma vulnerabilidade específica de fato afeta um produto, permitindo que scanners suprimam achados não exploráveis com uma justificativa documentada.

O VEX combina com um SBOM: o SBOM lista os componentes, e o VEX afirma quais de suas vulnerabilidades conhecidas importam aqui.

Valores de status

Uma declaração VEX marca uma vulnerabilidade como not_affected, affected, fixed ou under_investigation, com uma justificativa. Uma afirmação "not_affected" (por exemplo, código inalcançável) permite ao CI ignorar aquele CVE sem ignorar o scanner por completo.

Guias relacionados