Die Zahl der Schwachstellen steigt - und damit der Aufwand in der Bewertung. Weil manuelle Verfahren an ihre Grenzen stoßen, braucht es Automatisierung.
#oCSAF ist eine internationale Initiative für eine einheitliche Lösung. Als BSI stellen wir Tools für eine Nutzung bereit.

Mehr Infos: 👉 https://www.bsi.bund.de/dok/954494

#DeutschlandDigitalSicherBSI

Es lohnt sich, bis zum Ende auf der #HM23 zu bleiben: Heute um 15:25 Uhr stellen wir das Common Security Advisory Format #oCSAF & seine Vorteile im Umgang mit Sicherheitsschwachstellen auf der Industrie 4.0 Conference Stage, Halle 8, Stand D17, vor. #DeutschlandDigitalSicherBSI

A great piece by Chainguard's @puerco on #VEX. It does a solid job of giving an overview of the "Vulnerability Exploitability eXchange" and #SBOM, and talks about some of the challenges of trusting the data enough for automated integration.

It also talks about implementing VEX in in-toto. This is an interesting idea, although I'm still wary about yet another data format, especially given CISA's interest in using machine-readable security advisories in OASIS #oCSAF.

https://www.chainguard.dev/unchained/reflections-on-trusting-vex-or-when-humans-can-improve-sboms