脆弱性悪用可能性情報（VEX）

VEX とは？

VEX（Vulnerability Exploitability eXchange / 脆弱性悪用可能性情報交換）は、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が開発した、ソフトウェアコンポーネント内の脆弱性の悪用可能性を記録するための標準化されたフレームワークです。

従来の CVE（Common Vulnerabilities and Exposures / 共通脆弱性識別子）データベースとは異なり、VEX は特定の環境でその脆弱性が悪用可能かどうかという文脈情報を提示します。

このアプローチにより、組織は実際に悪用可能な脆弱性と、自社の利用ケースにおいて関連性のない脆弱性を区別でき、対策の優先順位付けが容易になります。

なぜ VEX が重要なのか？

誤検知の削減: 環境に依存した評価を提供することで、特定の環境では脅威とならない脆弱性を除外できます。
対策の優先順位付け: 組織は、自社環境で実際に悪用可能な脆弱性への対応にリソースを集中でき、脆弱性管理の効率が向上します。
コンプライアンスの強化: VEX レポートは詳細な情報を提供し、規制要件や社内セキュリティ基準を満たすための支援となります。

このアプローチは、コンポーネントや構成が多数存在する複雑な環境で特に有効です。

従来の CVE ベースの評価では、不必要な修正作業につながることがありますが、VEX によってそのリスクを大幅に減らすことができます。

Docker Hardened Images における VEX の統合

脆弱性管理を強化するために、Docker Hardened Images（DHI）は VEX レポートを組み込み、既知の脆弱性に対する環境依存の評価（コンテキスト情報）を提供します。

この統合によって、以下が可能になります:

悪用可能性の評価: イメージ内のコンポーネントに存在する既知の脆弱性が、その特定の環境で悪用可能かどうかを判断できます。
対応の優先順位付け: 実際にリスクとなる脆弱性への修正に注力でき、リソースの最適化を実現します。
監査の効率化: VEX レポートが提供する詳細な情報を活用することで、コンプライアンス監査や報告を簡素化できます。

DHI のセキュリティ機能と VEX のコンテキスト情報を組み合わせることで、組織はより効果的かつ効率的な脆弱性管理を実現できます。

VEX を使って既知の悪用不可能な CVE を除外する

Docker Scout を使用する場合、VEX ステートメントは自動的に適用され、手動での設定は不要です。

VEX に対応したツールで使用するために、VEX アテステーションを手動で取得するには次のコマンドを実行します:


$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag> --platform <platform> > vex.json

例:


$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  docs/dhi-python:3.13 --platform linux/amd64 > vex.json

このコマンドにより、指定したイメージに対応する VEX ステートメントを含んだ vex.json ファイルが生成されます。

その後、このファイルを VEX 対応ツールに読み込ませることで、既知の悪用不可能な CVE をスキャン結果から除外することができます。

たとえば、Grype や Trivy では --vex フラグを使用して、スキャン時に VEX ステートメントを適用できます:


$ grype <your-namespace>/dhi-<image>:<tag> --vex vex.json