☝️I remember @lorenc_dan made a presentation in one of the meetings by @openssf Vulnerability Disclosures WG about #OpenVEX https://twitter.com/lorenc_dan/status/1634526797076258816?s=20

This is the second talk that you can learn more about #OpenVEX a new open standard for #VEX by @cloudnativeboy in his YouTube Channel at today 🎤
https://www.youtube.com/watch?v=b05kn_N6uIs

💃🤸 Have you ever wanted to learn more about the #VEX, #openvex and #SBOM? Here is the perfect opportunity for you! @lorenc_dan made a presentation about all of them in the @theopenssf meeting 🏅

• More info on openvex at http://openvex.dev!

• Invite details here:
https://t.co/A5jxKcwuvf

• Here is the recording of that meeting👇
➡️ https://t.co/eZm3XFXU1j

Join us in 10 minutes to talk about #SBOM and #VEX !

RT @chainguard_dev@twitter.com

We asked what #VEX is & this pretty much sums it up:

“Virtually Everyone is confused at this point & just want know what tool they have run in CI to produce some json file so they can just ship software again Xylophone.”

We KNOW you have questions! 🤪

https://twitter.com/i/spaces/1RDGlaLrNojJL

🐦🔗: https://twitter.com/chainguard_dev/status/1617908143153098753

Join us next Tuesday (Jan 31) to talk about VEX and how it will help to make life easier when triaging vulnerabilities and #SBOM so much more useful.

RT @chainguard_dev@twitter.com

We asked what #VEX is & this pretty much sums it up:

“Virtually Everyone is confused at this point & just want know what tool they have run in CI to produce some json file so they can just ship software again Xylophone.”

We KNOW you have questions! 🤪

https://twitter.com/i/spaces/1RDGlaLrNojJL

🐦🔗: https://twitter.com/chainguard_dev/status/1617908143153098753

December: Mainly thanks to @saschagrunert@twitter.com and @comedordexis@twitter.com @Kubernetesio@twitter.com is now signing its binaries. In the #SBOM world, months of discussion finally materialize on the minimal requirements for #VEX to be published shortly!
https://twitter.com/puerco/status/1605271265165643776

July: More focus on #SBOM and starting to look seriously at #VEX. Kickoff of @CISAgov@twitter.com SBOM and sessions by @allanfriedman@twitter.com and team.
https://twitter.com/allanfriedman/status/1544728479849189376

#CSAF – aber wo?

Der weltweit erste CSAF-Aggregator ist online, der CSAF-Lister des #BSI: https://wid.cert-bund.de/.well-known/csaf-aggregator/aggregator.json

Mit diesem Dienst soll das Auffinden von Organisationen erleichtert werden, die CSAF-#Advisory|ies automatisiert abrufbar bereitstellen.
Da diese Liste noch überschaubar ist, steht ein Online-Formular zur Verfügung, um weitere Einträge vorzuschlagen: https://wid.cert-bund.de/portal/wid/csaf/submit 

Daher gerne Werbung für CSAF und den CSAF-Lister machen!

#OASISopen #VEX #BSI #DeutschlandDigitalSicherBSI

As #VEX approaches its final form, read here some thoughts by Adolfo García Veytia on what to look for when trusting a document that turns off your security scanner's warning lights triggered by an #SBOM.

Read more: https://www.chainguard.dev/unchained/reflections-on-trusting-vex-or-when-humans-can-improve-sboms

As #VEX approaches its final form, here are some thoughts on what to look for when trusting a document that turns off your security scanner's warning lights triggered by an #SBOM.

https://www.chainguard.dev/unchained/reflections-on-trusting-vex-or-when-humans-can-improve-sboms

RT @KaylinTrychon@twitter.com

Reflections on trusting VEX by the one and only @puerco@twitter.com https://www.chainguard.dev/unchained/reflections-on-trusting-vex-or-when-humans-can-improve-sboms @chainguard_dev@twitter.com #sbom #vex #supplychain

🐦🔗: https://twitter.com/KaylinTrychon/status/1595523680645308416

Das OASISopen-Konsortium hat das Common Security Advisory Framework (#CSAF) offiziell als Standard verabschiedet.

Durch CSAF entfällt der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten. Mit dem CSAF-Profil #VEX (Vulnerability Expolitability eXchange) können Anbieter Kundinnen und Kunden informieren, wenn Produkte nicht betroffen sind oder gerade untersucht werden.

👉 https://www.bsi.bund.de/dok/1078968

#OpenSource #DeutschlandDigitalSicherBSI

Die US-Behörde CISA hat am 10. November 2022 einen 3 Punkteplan für effizientes Schwachstellenmanagement veröffentlicht: https://cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscape

Zentrale Punkte sind der #CSAF-Standard und das #VEX-Profil: Maschinenlesbare #Advisory reduzieren den manuellen Aufwand und mitigieren effektiver Schwachstellen.

Die #CISA zeigt hiermit offiziell ihre Unterstützung dieses Standards. Das #BSI erwartet eine Signalwirkung für alle PSIRTs – speziell auch #IndustrialSecurity.

#DeutschlandDigitalSicherBSI

Sicherheit von IT-Lieferketten

● Transparentes und effizientes Schwachstellen- und Patchmanagement auf Basis von „Software Bills of Material (#SBoM)“
● „Common Security Advisory Framework (#CSAF)“ schafft Überblick von Maßnahmen zur Behebung von Schwachstellen
● „Vulnerability Exploitability eXchange (#VEX)“ zur Bewertung der Relevanz von Schwachstellen
● Dadurch maschinelle Verarbeitbarkeit und Automatisierung

Mehr Informationen zum CSAF: https://bsi.bund.de/dok/954494

#DeutschlandDigitalSicherBSI

Licht ins Dunkel bringen!

Das #BSI ist nicht nur tagsüber unterwegs, um über IT-Sicherheit zu informieren, so bei den Vorträgen auf Black Hat und BSides LV, die zu späten Abendstunden stattfanden. Nun besteht auch die Möglichkeit zur Weiterbildung zum Thema #SupplyChain-Sicherheit zu europäischen Bürozeiten: Auf der kostenlosen Konferenz Nightwatch bringt das #BSI Licht ins Dunkel rund um #CSAF, #VEX, #SBOM.
👉 https://applied-risk.com/nightwatch

#IndustrialSecurity #Advisory #DeutschlandDigitalSicherBSI

Die Zusammenhänge zwischen #SBOM , #CSAF und #VEX wurden von Dr. Allan Friedman und Jens Wiesner auf der BSides Las Vegas erklärt: https://youtu.be/DCLvdwbHOVo

Mit #Secvisogram können bereits CSAF-Dateien erstellt und menschenlesbar angezeigt werden. Für Betreiber fehlen aber noch die Tools für den Abgleich mit ihren #Asset Datenbanken. #Contributions welcome: Also ran an die Tasten!
Die Spezifikation ist abrufbar unter: https://docs.oasis-open.org/csaf/csaf/v2.0/csd01/csaf-v2.0-csd01.html#9113-conformance-clause-13-csaf-asset-matching-system

#IndustrialSecurity #BSI #DeutschlandDigitalSicherBSI

Kommentierung erwünscht!

Das Common Security Advisory Framework (#CSAF ) steht als Committee Specification zur öffentlichen Kommentierung bis zum 12. September 2021 bereit: https://docs.oasis-open.org/csaf/csaf/v2.0/csd01/csaf-v2.0-csd01-public-review-metadata.html

Dieser #OASISopen Standard spezifiziert maschinenlesbare #Advisory und #VEX sowie deren Verteilung und das Finden der CSAF-Dateien. Zusammen mit #SBOM kann so das Schwachstellenmanagement in einer gesamten Lieferkette verbessert werden.

#IndustrialSecurity #BSI #DeutschlandDigitalSicherBSI

Sind alle notwendigen Sicherheitsupdates und Patches installiert?

Insbesondere bei industriellen Steuerungen ist das meist sehr schwer zu beantworten. #BSI Mitarbeiter Jens Wiesner erläutert zusammen mit Dr. Allan Friedman am Sonntag, den 1. August 2021 um 20 Uhr auf der Online-Konferenz BSides Las Vegas die zu dieser Fragestellung richtungsweisenden Themen #CSAF , #SBOM und #VEX .
👉 https://bsideslv.org/
👉 https://bsideslv.org/talks#1047570

#IndustrialSecurity #Secvisogram #DeutschlandDigitalSicherBSI