漏洞可利用性交换 (VEX)

目录

什么是 VEX?

漏洞可利用性交换 (VEX) 是由美国网络安全和基础设施安全局 (CISA) 开发的标准化框架,用于记录软件组件中漏洞的可利用性。与传统的 CVE(常见漏洞和暴露)数据库不同,VEX 提供上下文评估,表明漏洞在给定环境中是否可被利用。这种方法通过区分可被利用的漏洞和与其特定用例不相关的漏洞,帮助组织优先处理补救工作。

VEX 为何重要?

VEX 通过以下方式增强了传统的漏洞管理:

  • 减少误报:通过提供特定于上下文的评估,VEX 有助于筛选出在特定环境中不构成威胁的漏洞。

  • 优先处理补救:组织可以将资源集中用于解决在其特定上下文中可被利用的漏洞,从而提高漏洞管理的效率。

  • 增强合规性:VEX 报告提供了详细信息,可帮助满足监管要求和内部安全标准。

这种方法在存在大量组件和配置的复杂环境中特别有益,在这些环境中,传统的基于 CVE 的评估可能会导致不必要的补救工作。

Docker 强化镜像如何集成 VEX

为了增强漏洞管理,Docker 强化镜像 (DHI) 整合了 VEX 报告,提供已知漏洞的上下文特定评估。

这种集成允许您:

  • 评估可利用性:确定镜像组件中已知漏洞在其特定环境中是否可被利用。

  • 优先处理行动:将补救工作集中在构成实际风险的漏洞上,优化资源分配。

  • 简化审计:利用 VEX 报告提供的详细信息简化合规性审计和报告。

通过将 DHI 的安全功能与 VEX 的上下文洞察相结合,组织可以实现更有效和高效的漏洞管理方法。

使用 VEX 过滤已知不可利用的 CVE

使用 Docker Scout 时,VEX 声明会自动应用,无需手动配置。

要为支持 VEX 证明的工具手动检索 VEX 证明,请执行以下操作:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag> --platform <platform> > vex.json

例如:

$ docker scout attest get \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  --predicate \
  docs/dhi-python:3.13 --platform linux/amd64 > vex.json

这将创建一个包含指定镜像的 VEX 声明的 vex.json 文件。然后,您可以将此文件与支持 VEX 的工具一起使用,以过滤掉已知不可利用的 CVE。

例如,对于 Grype 和 Trivy,您可以使用 --vex 标志在扫描期间应用 VEX 声明

$ grype <your-namespace>/dhi-<image>:<tag> --vex vex.json
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.