VEX, sigla di Vulnerability Exploitability eXchange, è la risposta a un problema che la distinta dei componenti di un software crea proprio mentre ne risolve un altro. La SBOM ha reso possibile sapere cosa c’è dentro un’applicazione, e da quell’elenco di componenti uno strumento automatico ricava subito tutte le vulnerabilità note che li riguardano, spesso centinaia, a volte migliaia. È un risultato prezioso, ma con un effetto collaterale pesante: la grande maggioranza di quelle vulnerabilità non riguarda davvero il prodotto, e il diluvio di allarmi finisce per seppellire i pochi che contano. ...
Tecnologia & Digitale
VEX: separare le vulnerabilità che contano dal rumore dell'SBOM
Fonte: ICT Security Magazine