漏洞可利用性交換 (VEX)

目錄

什麼是 VEX?

漏洞可利用性交換 (VEX) 是由美國網路安全和基礎設施安全域性 (CISA) 開發的標準化框架,用於記錄軟體元件中漏洞的可利用性。與傳統的 CVE(常見漏洞和暴露)資料庫不同,VEX 提供上下文評估,表明漏洞在給定環境中是否可被利用。這種方法透過區分可被利用的漏洞和與其特定用例不相關的漏洞,幫助組織優先處理補救工作。

VEX 為何重要?

VEX 透過以下方式增強了傳統的漏洞管理:

  • 減少誤報:透過提供特定於上下文的評估,VEX 有助於篩選出在特定環境中不構成威脅的漏洞。

  • 優先處理補救:組織可以將資源集中用於解決在其特定上下文中可被利用的漏洞,從而提高漏洞管理的效率。

  • 增強合規性:VEX 報告提供了詳細資訊,可幫助滿足監管要求和內部安全標準。

這種方法在存在大量元件和配置的複雜環境中特別有益,在這些環境中,傳統的基於 CVE 的評估可能會導致不必要的補救工作。

Docker 強化映象如何整合 VEX

為了增強漏洞管理,Docker 強化映象 (DHI) 整合了 VEX 報告,提供已知漏洞的上下文特定評估。

這種整合允許您:

  • 評估可利用性:確定映象元件中已知漏洞在其特定環境中是否可被利用。

  • 優先處理行動:將補救工作集中在構成實際風險的漏洞上,最佳化資源分配。

  • 簡化審計:利用 VEX 報告提供的詳細資訊簡化合規性審計和報告。

透過將 DHI 的安全功能與 VEX 的上下文洞察相結合,組織可以實現更有效和高效的漏洞管理方法。

使用 VEX 過濾已知不可利用的 CVE

使用 Docker Scout 時,VEX 宣告會自動應用,無需手動配置。

要為支援 VEX 證明的工具手動檢索 VEX 證明,請執行以下操作:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag> --platform <platform> > vex.json

例如:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  docs/dhi-python:3.13 --platform linux/amd64 > vex.json

這將建立一個包含指定映象的 VEX 宣告的 vex.json 檔案。然後,您可以將此檔案與支援 VEX 的工具一起使用,以過濾掉已知不可利用的 CVE。

例如,對於 Grype 和 Trivy,您可以使用 --vex 標誌在掃描期間應用 VEX 宣告

$ grype <your-namespace>/dhi-<image>:<tag> --vex vex.json