4.4 行动建议

正如我们所讨论的，SBOM 计划从 NTIA 转移到网络安全基础设施安全局 (CISA)，与此同时 SBOM 的倡导者和领导者 Allan Friedman 也转移到了 CISA。自此之后，CISA 在 2022 年发布了另外两份 VEX 文档。一份是 VEX 用例文档，另一份是漏洞可利用性交换 (VEX) 状态说明 (http://cisa.gov/sites/default/files/publications/VEX_Status_Justification_Jun22.pdf)。

VEX 用例文档提供了 VEX 文档的最小数据元素，就像 NTIA 为 SBOM（与网络 EO 相关）定义的最小元素（参见表 4.1）一样。在本指南中，它指出 VEX 文档必须包含 VEX 元数据、产品详细信息、漏洞详细信息和产品状态。这些产品状态详细信息包括有关产品漏洞的状态信息，可以是“未受影响”、“受影响”、“已修复”或“正在调查中”。

VEX 状态说明随后侧重于 VEX 文档的要求，即包含说明 VEX 文档创建者为何选择断言产品状态为“未受影响”（如果他们确实做出了选择）的说明。这允许供应商提供产品未受漏洞影响的理由。选项包括组件或易受攻击的代码不存在、易受攻击的代码无法被对手控制或代码不在执行路径中，最后，产品中已经存在内联缓解措施。

VEX 是帮助 SBOM 采取行动的关键下一步，它提供了产品供应商关于其产品中存在的漏洞可利用性的背景见解和断言。通过使用 VEX 文档定义的最小元素及其相关的“不受影响”理由字段（如果适用），软件生产商能够让软件消费者做出风险知情决策，以推动他们的漏洞管理活动，作为更广泛的网络安全计划的一部分。