メインコンテンツへスキップ
フレームワーク

OpenVEX

OpenVEX

製品が特定の脆弱性の影響を受けるか、影響を受けない理由や対応状況を機械可読に共有するVEXの実装仕様。自動処理を想定する。

SBOMだけでは依存コンポーネントの脆弱性が実際に到達可能か分からないため、製品提供者の評価を補足します。status、対象製品、脆弱性ID、根拠、更新時刻を確認し、古いVEXを恒久的な除外理由にしません。

  • VEX情報を機械可読に交換する
  • not_affectedには検証可能な根拠が必要
  • 製品版や構成が変わったら再評価する

よくある質問

OpenVEXとは?

製品が特定の脆弱性の影響を受けるか、影響を受けない理由や対応状況を機械可読に共有するVEXの実装仕様。自動処理を想定する。

OpenVEXについて詳しく知るには?

SBOMだけでは依存コンポーネントの脆弱性が実際に到達可能か分からないため、製品提供者の評価を補足します。status、対象製品、脆弱性ID、根拠、更新時刻を確認し、古いVEXを恒久的な除外理由にしません。

OpenVEXのポイントは?

VEX情報を機械可読に交換する not_affectedには検証可能な根拠が必要 製品版や構成が変わったら再評価する

← 用語集一覧に戻る
ESC