HabrJun 16

OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст

Представьте: вы пытаетесь объяснить иностранцу, почему красный сигнал светофора не всегда означает «стоять», иногда это — «можно ехать, если ты — скорая помощь». Примерно так до недавнего времени выглядело наше общение с Trivy. Сканер находил уязвимости, DefectDojo их послушно складировал. А мы каждый раз вручную разбирали кучу тикетов, отделяя реальные угрозы от ложных срабатываний. Особенно болезненно это ощущалось во время подготовки релиза, когда каждая минута на счету. Проблема была не в инструментах — они исправно работали и возвращали отчеты о найденных уязвимостях — а в отсутствии «взаимопонимания». Нужно было как-то намекнуть Trivy, что конкретная уязвимость не эксплуатируется в нашем контексте, ее следует пометить как 'not_affected' и больше не отвлекать нас. Таким «мостиком» стал для нас OpenVEX. Меня зовут Роман Корчагин, я занимаюсь процессами безопасной разработки в контейнерной платформе «Штурвал». В статье расскажу, как мы интегрировали генерацию VEX-файлов в пайплайн, и почему разработчики больше не вздрагивают при слове «сканирование».

https://habr.com/ru/companies/chislitellab/articles/1044810/

#openvex #open_source #штурвал #kubernetes #trivy #сканирование #vex #уязвимости #безопасность_контейнеров

OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст

Представьте: вы пытаетесь объяснить иностранцу, почему красный сигнал светофора не всегда означает «стоять», иногда это — «можно ехать, если ты — скорая помощь». Примерно так до недавнего времени...

Хабр
OpenSSFDec 10, 2025

🌟 OpenSSF Project Spotlight: #OpenVEX

Adolfo Veytia walks us through how OpenVEX helps developers clearly communicate which vulnerabilities actually impact their software - and which don’t.

https://youtu.be/dGOiWFNKKpM?si=SJIpCxmHStRvT4Ml

OpenVEX Explained: Minimal, Interoperable VEX for Real-World Use | OpenSSF Project Spotlight

YouTube
anchoreOct 26, 2025

False positives from RHEL EUS? Not anymore.

Anchore 5.22 detects EUS content automatically for accurate vulnerability reports.

Learn what's new → https://anchore.com/blog/anchore-enterprise-5-22/

#OpenVex #PURL #SoftwareSupplyChain #VulnerabilityManagement

anchoreOct 24, 2025

You can't patch every CVE—but you can explain every one.

Anchore 5.22 brings VEX annotations + OpenVEX export to make vulnerability data contextual and credible.

https://anchore.com/blog/anchore-enterprise-5-22/

#OpenVex #PURL #SoftwareSupplyChain #VulnerabilityManagement

Patrick Aug 12, 2025
One Open-source Project Daily

A vulnerability scanner for container

https://github.com/anchore/grype

#1ospd #opensource #docker #golang #security #tool #containers #oci #vulnerability #vex #vulnerabilities #containerimage #cyclonedx #openvex
GitHub - anchore/grype: A vulnerability scanner for container images and filesystems

A vulnerability scanner for container images and filesystems - anchore/grype

GitHub
SecurityCRobSep 20, 2023
Watching Puerco demonstrate working VEX in action #osseu . Woot woot! #openvex
puercoSep 20, 2023

I'm about to present how to generate #OpenVEX data from #SBOM the hard and the easy way at #OSSummit. There will be fast cars, car crashes and lots of bad stock photos!

Come and have fun with me and @wolfi at 3:55 pm, room 0C.

OpenSSFSep 7, 2023
SBOM alone may not encode enough detail to separate non-exploitable vulnerabilities from exploitable ones writes Surendra Pathak in our latest guest blog on #VDR, #VEX, #OpenVEX and #CSAF https://openssf.org/blog/2023/09/07/vdr-vex-openvex-and-csaf/
VDR, VEX, OpenVEX and CSAF - Open Source Security Foundation

Early adopters of SBOM have proposed new standards as well as updates to existing standards to specify the status of each vulnerability alongside the SBOM itself. In this context, existing practices such as VDR, CSAF, and emerging standards VEX and OpenVEX are playing a key role.

Open Source Security Foundation
OejSep 2, 2023

At the heart of the CVE process and the matching done with the NVD database is the name of the manufacturer and the artefact - the software, system, library or mobile application. It's vital for this to work that the name in the #SBOM is correct to make the match work. The community has developed #PURL - package URL - to improve but so far the CVE/NVD eco system has not adopted PURL.

This needs to be fixed to make sure that the name in the SBOM matches the right set of vulnerabilities.

#SBOM #securesupplychain #CycloneDX #OpenVEX #VEX #OpenSource

devguy Apr 7, 2023

☝️I remember @lorenc_dan made a presentation in one of the meetings by @openssf Vulnerability Disclosures WG about #OpenVEX https://twitter.com/lorenc_dan/status/1634526797076258816?s=20

This is the second talk that you can learn more about #OpenVEX a new open standard for #VEX by @cloudnativeboy in his YouTube Channel at today 🎤
https://www.youtube.com/watch?v=b05kn_N6uIs

Dan Lorenc on Twitter

“The recording from my presentation on OpenVEX at @theopenssf is now available! https://t.co/eZm3XFXU1j”

Twitter