Vulnerability Disclosure Reports und Vulnerability Exploitability eXchange zur Optimierung der Software-BOM

Die SaaS-Lösung von Revenera unterstützt Entwickler und Softwareanbieter bei der automatisierten Erstellung einer Software-Bill-of-Materials (SBOM). Die Software Composition Analysis-Lösung aggregiert Daten aus unterschiedlichen Quellen und fasst die detaillierten Informationen über Lizenzierung, Version und Herkunft in einer Stückliste standardisiert zusammen. Dabei werden alle Daten unabhängig ihrer Formate (z. B. SPDX, CycloneDX) importiert, abgeglichen und normalisiert. In der neuen Version von SBOM Insights können Unternehmen zukünftig auch VDR und VEX Reports erstellen, die Genauigkeit ihrer Software-Stücklisten verbessern und dabei etablierten Sicherheitsempfehlungen der Branche nachkommen (z. B. NIST, Institute of Standards and Technology).

VDR und VEX stellen unterschiedliche Dokumentations-Frameworks dar, um bekannte wie unbekannte Schwachstellen in Anwendungen sowie den Grad der Ausnutzbarkeit (Exploitability) der Komponenten festzuhalten und entlang der Software Supply Chain weiterzugeben.

• Vulnerability Disclosure Report (VDR)
  
  VDR wird in der Regel von Softwareanbietern oder Dritten/Zulieferern zur Verfügung gestellt. Der Bericht weist vollständig und standardisiert Schwachstellen-Assets der in einer SBOM aufgeführten Komponenten aus. Damit ist sichergestellt, dass alle Schwachstellen für alle Teile einer Anwendung offengelegt sind. VDR listet nicht nur Schwachstellen (einschließlich Quellen, Schweregrade, allg. Angriffspunkte, Daten), sondern verweist zudem auf den/die Teil(e) in der SBOM, auf den sich die Schwachstelle bezieht.
• Vulnerability Exploitability eXchange (VEX)
  
  Auch VEX wird entweder vom Softwareanbieter oder einem Dritten/Zulieferer bereitgestellt und gilt als wichtiges Artefakt für die Transparenz und Sicherheit einer Anwendung. Es gibt Auskunft über den Status einer bestimmten Schwachstelle in der SBOM und legt entweder dar, wie ein Unternehmen plant, eine als kritisch eingestufte Software Vulnerability zu entschärfen, oder erklärt, warum von einer Schwachstelle keine Gefahr zu erwarten ist.

„VDR und VEX haben sich zu wichtigen Sicherheits-Bausteinen für die SBOM entwickelt. Sie ermöglichen es Softwareanbietern und Entwicklerteams, entscheidende Informationen über den Status und die Kritikalität von Schwachstellen in ihren Produkten auf standardisierte Art und Weise weiterzugeben", erklärt Alex Rybak, Senior Director of Product Management bei Revenera. „Mit Revenera SBOM Insights können Anwender auf alle diese Daten sowie auf Informationen über die Zusammenstellung und die Lizenzierung zugreifen, um VDR und VEX Berichte zu erstellen und die Effektivität von Software-Stückliste zu verbessern.“

Mehr Informationen über SBOM, VDR und VEX finden Sie im aktuellen Blog „Level Up Your Security Game with VDR and VEX Reports“ auf der Revenera Webseite. Darüber hinaus hat die US-Bundesbehörde CISA erst im April zwei Leitfäden zu Thema veröffentlicht: „Minimum Requirements for Vulnerability Exploitability eXchange“ und „Types of Software Bill of Material Documents“.