Skip to Content

脆匱性悪甚可胜性情報VEX

VEX ずは

VEXVulnerability Exploitability eXchange / 脆匱性悪甚可胜性情報亀換 は、米囜サむバヌセキュリティ・むンフラセキュリティ庁CISAが開発した、゜フトりェアコンポヌネント内の脆匱性の悪甚可胜性を蚘録するための暙準化されたフレヌムワヌクです。

埓来の CVECommon Vulnerabilities and Exposures / 共通脆匱性識別子デヌタベヌスずは異なり、VEX は特定の環境でその脆匱性が悪甚可胜かどうかずいう文脈情報を提瀺したす。

このアプロヌチにより、組織は実際に悪甚可胜な脆匱性ず、自瀟の利甚ケヌスにおいお関連性のない脆匱性を区別でき、察策の優先順䜍付けが容易になりたす。

なぜ VEX が重芁なのか

  • 誀怜知の削枛: 環境に䟝存した評䟡を提䟛するこずで、特定の環境では脅嚁ずならない脆匱性を陀倖できたす。

  • 察策の優先順䜍付け: 組織は、自瀟環境で実際に悪甚可胜な脆匱性ぞの察応にリ゜ヌスを集䞭でき、脆匱性管理の効率が向䞊したす。

  • コンプラむアンスの匷化: VEX レポヌトは詳现な情報を提䟛し、芏制芁件や瀟内セキュリティ基準を満たすための支揎ずなりたす。

このアプロヌチは、コンポヌネントや構成が倚数存圚する耇雑な環境で特に有効です。

埓来の CVE ベヌスの評䟡では、䞍必芁な修正䜜業に぀ながるこずがありたすが、VEX によっおそのリスクを倧幅に枛らすこずができたす。

Docker Hardened Images における VEX の統合

脆匱性管理を匷化するために、Docker Hardened ImagesDHIは VEX レポヌトを組み蟌み、既知の脆匱性に察する環境䟝存の評䟡コンテキスト情報を提䟛したす。

この統合によっお、以䞋が可胜になりたす:

  • 悪甚可胜性の評䟡: むメヌゞ内のコンポヌネントに存圚する既知の脆匱性が、その特定の環境で悪甚可胜かどうかを刀断できたす。

  • 察応の優先順䜍付け: 実際にリスクずなる脆匱性ぞの修正に泚力でき、リ゜ヌスの最適化を実珟したす。

  • 監査の効率化: VEX レポヌトが提䟛する詳现な情報を掻甚するこずで、コンプラむアンス監査や報告を簡玠化できたす。

DHI のセキュリティ機胜ず VEX のコンテキスト情報を組み合わせるこずで、組織はより効果的か぀効率的な脆匱性管理を実珟できたす。

VEX を䜿っお既知の悪甚䞍可胜な CVE を陀倖する

Docker Scout を䜿甚する堎合、VEX ステヌトメントは自動的に適甚され、手動での蚭定は䞍芁です。

VEX に察応したツヌルで䜿甚するために、VEX アテステヌションを手動で取埗するには次のコマンドを実行したす:

$ docker scout attest get \ --predicate-type https://openvex.dev/ns/v0.2.0 \ --predicate \ <your-namespace>/dhi-<image>:<tag> --platform <platform> > vex.json

䟋:

$ docker scout attest get \ --predicate-type https://openvex.dev/ns/v0.2.0 \ --predicate \ docs/dhi-python:3.13 --platform linux/amd64 > vex.json

このコマンドにより、指定したむメヌゞに察応する VEX ステヌトメントを含んだ vex.json ファむルが生成されたす。

その埌、このファむルを VEX 察応ツヌルに読み蟌たせるこずで、既知の悪甚䞍可胜な CVE をスキャン結果から陀倖するこずができたす。

たずえば、Grype や Trivy では --vex フラグを䜿甚しお、スキャン時に VEX ステヌトメントを適甚できたす:

$ grype <your-namespace>/dhi-<image>:<tag> --vex vex.json
Last updated on