Используйте страницу Public Artifact Vulnerabilities и файлы OpenVEX Datadog для оценки эксплуатируемости уязвимостей и приоритизации тех CVE, которые действительно требуют действий.
Datadog опубликовал на странице Public Artifact Vulnerabilities набор OpenVEX‑файлов с оценками эксплуатируемости уязвимостей для своих артефактов. Это направлено на сокращение «шума» от SCA‑сканеров, которые часто помечают агенты, контейнерные образы и пакеты как уязвимые без контекста, необходимого для приоритизации. Новая публикация позволяет быстрее отличать реальные риски от незначительных или неактуальных сигналов и автоматически интегрировать такие утверждения в рабочие процессы безопасности.
OpenVEX — машинно и человеко‑читаемый формат VEX (Vulnerability Exploitability eXchange). В предоставленных файлах для каждой уязвимости фиксируется статус (not_affected, affected, fixed, under_investigation), даётся обоснование, краткое объяснение по воздействию и рекомендация по действию. Такой набор полей позволяет чётко документировать, затрагивает ли конкретная уязвимость продукт, какие шаги уже выполнены и какие действия требуются от пользователей или команд безопасности.
Современные SCA‑инструменты эффективно сканируют цепочки поставок, но создают шум, когда сигналят по компонентам, которые в данном артефакте не используются или не могут быть эксплуатированы. Существуют разные реализации VEX — OpenVEX, CSAF VEX, CycloneDX VEX, SPDX VEX — и согласование требований к ним координирует VEX Working Group при CISA. Поставщики и внутренние команды безопасности всё активнее применяют VEX‑файлы, чтобы снизить объём ручной triage‑работы и сократить число лишних расследований.
OpenVEX‑файлы Datadog можно интегрировать напрямую в процессы сканирования: формат поддерживают популярные инструменты, и заявления можно передавать сканерам. В примерах Datadog показаны команды типа trivy image --vex myimage: tag и grype --vex myimage: tag-это позволяет сканеру учитывать утверждения VEX при формировании вывода и уменьшать ложные тревоги по уязвимостям, которые не применимы к конкретному артефакту. Datadog подчёркивает, что формирование и валидация VEX‑заявлений происходит с сочетанием автоматизации и человеческой экспертизы; портал предлагает как человеко‑, так и машинно‑читаемые файлы для скачивания. Практическая выгода для разработчиков и команд по безопасности — меньше ненужных расследований по чужому коду, более точная приоритизация уязвимостей в артефактах Datadog и возможность автоматически внедрять эти утверждения в CI/CD‑пайплайны и инструменты SCA.
Источники
Ответы (0)
Пока нет ответов в этой теме.
