Vulnerability Disclosure Reports und Vulnerability Exploitability eXchange zur Optimierung der Software-BOM

In SBOM Insights von Revenera können Softwareanbieter VDR und VEX Berichte erstellen und die Sicherheit ihrer Anwendungen verbessern

Hamburg, 3. Mai 2023 – Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, gibt die Verfügbarkeit von VDR (Vulnerability Disclosure Reports) und VEX (Vulnerability Exploitability eXchange) in der aktuellen Version von SBOM Insights bekannt.

Die SaaS-Lösung von Revenera unterstützt Entwickler und Softwareanbieter bei der automatisierten Erstellung einer Software-Bill-of-Materials (SBOM). Die Software Composition Analysis-Lösung aggregiert Daten aus unterschiedlichen Quellen und fasst die detaillierten Informationen über Lizenzierung, Version und Herkunft in einer Stückliste standardisiert zusammen. Dabei werden alle Daten unabhängig ihrer Formate (z. B. SPDX, CycloneDX) importiert, abgeglichen und normalisiert. In der neuen Version von SBOM Insights können Unternehmen zukünftig auch VDR und VEX Reports erstellen, die Genauigkeit ihrer Software-Stücklisten verbessern und dabei etablierten Sicherheitsempfehlungen der Branche nachkommen (z. B. NIST, Institute of Standards and Technology).

VDR und VEX stellen unterschiedliche Dokumentations-Frameworks dar, um bekannte wie unbekannte Schwachstellen in Anwendungen sowie den Grad der Ausnutzbarkeit (Exploitability) der Komponenten festzuhalten und entlang der Software Supply Chain weiterzugeben.

– Vulnerability Disclosure Report (VDR)
VDR wird in der Regel von Softwareanbietern oder Dritten/Zulieferern zur Verfügung gestellt. Der Bericht weist vollständig und standardisiert Schwachstellen-Assets der in einer SBOM aufgeführten Komponenten aus. Damit ist sichergestellt, dass alle Schwachstellen für alle Teile einer Anwendung offengelegt sind. VDR listet nicht nur Schwachstellen (einschließlich Quellen, Schweregrade, allg. Angriffspunkte, Daten), sondern verweist zudem auf den/die Teil(e) in der SBOM, auf den sich die Schwachstelle bezieht.

– Vulnerability Exploitability eXchange (VEX)
Auch VEX wird entweder vom Softwareanbieter oder einem Dritten/Zulieferer bereitgestellt und gilt als wichtiges Artefakt für die Transparenz und Sicherheit einer Anwendung. Es gibt Auskunft über den Status einer bestimmten Schwachstelle in der SBOM und legt entweder dar, wie ein Unternehmen plant, eine als kritisch eingestufte Software Vulnerability zu entschärfen, oder erklärt, warum von einer Schwachstelle keine Gefahr zu erwarten ist.

„VDR und VEX haben sich zu wichtigen Sicherheits-Bausteinen für die SBOM entwickelt. Sie ermöglichen es Softwareanbietern und Entwicklerteams, entscheidende Informationen über den Status und die Kritikalität von Schwachstellen in ihren Produkten auf standardisierte Art und Weise weiterzugeben“, erklärt Alex Rybak, Senior Director of Product Management bei Revenera. „Mit Revenera SBOM Insights können Anwender auf alle diese Daten sowie auf Informationen über die Zusammenstellung und die Lizenzierung zugreifen, um VDR und VEX Berichte zu erstellen und die Effektivität von Software-Stückliste zu verbessern.“

Mehr Informationen über SBOM, VDR und VEX finden Sie im aktuellen Blog “ Level Up Your Security Game with VDR and VEX Reports“ auf der Revenera Webseite. Darüber hinaus hat die US-Bundesbehörde CISA erst im April zwei Leitfäden zu Thema veröffentlicht: “ Minimum Requirements for Vulnerability Exploitability eXchange“ und “ Types of Software Bill of Material Documents„.

Revenera unterstützt Produktverantwortliche, bessere Anwendungen zu entwickeln, die Markteinführungszeit zu verkürzen und Produkte effektiv zu monetarisieren – egal ob On-Premise, Embedded Software, SaaS oder Cloud. Die führenden Lösungen von Revenera ermöglichen es Software- und Technologieunternehmen, ihren Umsatz mit Hilfe moderner Software-Monetarisierung zu steigern. Softwarenutzungsanalysen erlauben tiefe Einblick in die Nutzung von Software und die Einhaltung von Lizenzierungen. Lösungen für Software Composition Analysis garantieren ein hohes Maß an Open-Source-Sicherheit und Lizenzcompliance. Mehr Informationen unter www.revenera.de

Firmenkontakt
Revenera / Flexera
Nicole Segerer
Paul-Dessau-Strasse 8
22761 Hamburg
+49 89 417761 -0
dab25d8eab80386f378496df96e89ff0a599fcfd
http://www.revenera.de

Pressekontakt
Lucy Turpin Communications GmbH
Sabine Listl
Prinzregentenstrasse 89
81675 München
+49 89 417761 – 0
dab25d8eab80386f378496df96e89ff0a599fcfd
http://www.lucyturpin.com

Die Bildrechte liegen bei dem Verfasser der Mitteilung.