漏洞可利用性交換 (Vulnerability Exploitability eXchange, VEX)

目錄

什麼是 VEX?

漏洞可利用性交換 (VEX) 是一套由美國網路安全與基礎設施安全局 (CISA) 所制定的標準化架構,用於記錄軟體組件內漏洞的可利用性。與傳統的 CVE (通用漏洞披露) 資料庫不同,VEX 提供情境化的評估,指出漏洞在特定環境中是否可被利用。此方法透過區分「可被利用的漏洞」與「對特定用例不具影響的漏洞」,協助組織優先處理修復工作。

為什麼 VEX 很重要?

VEX 透過以下方式增強了傳統的漏洞管理:

  • 減少誤報:透過提供針對情境的評估,VEX 有助於過濾掉在特定環境中不構成威脅的漏洞。

  • 優先處理修復:組織可以將資源集中於修復在其特定環境下可被利用的漏洞,從而提高漏洞管理的效率。

  • 強化合規性:VEX 報告提供詳細資訊,有助於滿足監管要求和內部安全標準。

這種方法對於存在眾多組件和配置的複雜環境特別有益,因為在這些環境中,基於傳統 CVE 的評估可能會導致不必要的修復工作。

Docker 硬化映像檔 (DHI) 如何整合 VEX

為了增強漏洞管理,Docker 硬化映像檔 (DHI) 納入了 VEX 報告,提供已知漏洞的特定情境評估。

此整合讓您可以:

  • 評估可利用性:判斷映像檔組件中的已知漏洞在特定環境中是否可被利用。

  • 優先處理行動:將修復工作集中在構成實際風險的漏洞上,優化資源配置。

  • 簡化審計:利用 VEX 報告提供的詳細資訊,簡化合規性審計和報告流程。

透過將 DHI 的安全功能與 VEX 的情境化見解相結合,組織可以實現更有效且高效的漏洞管理方法。

使用 VEX 過濾已知的不可利用 CVE

使用 Docker Scout 時,VEX 聲明會自動套用,無需手動配置。

若要為支援的工具手動擷取 VEX 證明:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag> --platform <platform> > vex.json

例如

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  docs/dhi-python:3.13 --platform linux/amd64 > vex.json

這會建立一個包含指定映像檔 VEX 聲明的 vex.json 檔案。之後,您可以將此檔案與支援 VEX 的工具結合使用,以過濾掉已知的不可利用 CVE。

例如,使用 Grype 和 Trivy 時,您可以使用 --vex 旗標在掃描過程中套用 VEX 聲明

$ grype <your-namespace>/dhi-<image>:<tag> --vex vex.json
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.