En octobre 2023, Red Hat annonçait la publication des fichiers Vulnerability Exploitability eXchange (VEX), en version bêta, pour chaque identifiant CVE enregistré dans la base de données CVE de Red Hat. Désormais, ils sont prêts à être utilisés en production.
Les fichiers VEX sont désormais publiés. La liste est disponible en ligne.
Actuellement, Red Hat Product Security publie des avis CSAF pour chaque avis de sécurité et des fichiers VEX pour chaque enregistrement CVE associé aux solutions de Red Hat. Les avis CSAF et les fichiers VEX utilisent tous deux le standard de données lisibles par machine CSAF qui permet aux fournisseurs d’indiquer si des vulnérabilités spécifiques affectent un produit donné et ses composants.
Le fichier VEX pour un identifiant CVE public unique couvre tous les statuts de composants définis dans le standard CSAF :
- Corrigé : Contient les mêmes versions de composants corrigés et autres détails (objets product_tree) que les rapports d’avis CSAF pour ce CVE
- Known Affected (vulnérabilité connue) : Confirmation que le composant et le produit spécifiques sont affectés par un CVE particulier
- Affected Unknown (vulnérabilité inconnue) : Confirmation que le composant et le produit spécifiques ne sont pas affectés par un CVE particulier
- En cours d’investigation : Informations indiquant que l’équipe de sécurité produit de Red Hat vérifie l’applicabilité et l’impact d’un CVE spécifique sur le composant et le produit spécifiques
