המאגר הפומבי בקוד פתוח של מסמכי ניצול פגיעויותבפורמט VEX יקל על מפתחים והאחראים על קוד פתוח לנהל פגיעויות ביעילות
אקווה סקיוריטי (Aqua Security) הישראלית, החלוצה בתחום אבטחת יישומים בסביבות ענן, הכריזה על VEX Hub, מאגר פתוח המרכז מידע מרכזי מספקי תוכנה שונים אודות היתכנות לפגיעויות, המבוסס על פורמט Vulnerability Exploitability eXchange. VEX הוא תקן חדש יחסית בתעשייה לפרסום ושיתוף מידע בנוגע לפגיעויות אבטחה עבור תוצרי תוכנה ומאגר VEX Hub מספק כעת למשתמשים ולאחראים על תחזוקת הקוד הפתוח ספריה אחת הכוללת מידע אודות היתכנות לפגיעויות. מאגר זה משמש סורקי קוד כדי להפיק תוצאות מדויקות יותר ופחות תוצאות שגויות (false positives).
VEX Hub אוסף מסמכי VEX מהאחראים על תחזוקת הקוד הפתוח ומסדר אותם במאגר מרכזי, מה שהופך אותם לנגישים לשימוש באמצעות סריקה. המידע ב-VEX Hub משפר את הדיוק של תוצאות הסריקה ומספק למשתמשים דוחות פגיעויות רלוונטיים יותר. כחלק מההשקה, הגרסה העדכנית של Aqua Trivy כבר משתמשת במידע ב-VEX Hub כדי לספק למשתמשים יכולת תעדוף טובה יותר של הפגיעויות והפחתת עומס ההתראות.
"במשך שנים, משתמשי קוד פתוח התקשו לאתר ולתעדף פגיעויות תוכנה והאחראים על תחזוקת הקוד הפתוח התקשו למצוא את הדרך לחלוק את המידע. VEX נוצר כדי לפתור את הבעיות הללו", אמר איתי שקורי, סמנכ"ל תחום קוד פתוח באקווה סקיוריטי. "החלק החסר נכון להיום זוהי מערכת שאוספת את המידע הרלוונטי על היתכנות לפגיעויות לתוך מאגר מרכזי – וזה המקום שבו נכנס VEX Hub. אקווה פעלה יחד עם קהילת VEX מאז הקמתה ואנחנו מקדמים את VEX לשלב הבא באמצעות VEX Hub".
מאגר VEX Hub נבנה למטרת שיתוף פעולה בקהילת הקוד הפתוח והוא מפשט את ניהול המידע של VEX. צוות הקוד הפתוח של אקווה יצר מקום אחד בו האחראים על תחזוקת הקוד הפתוח יוכלו לשתף בקלות עדכונים אודות פגיעויות ובו משתמשים יוכלו למצוא ולגשת למידע קריטי אודות ניצול פגיעויות.
מאגר VEX Hub נכלל בגרסה העדכנית של Trivy v0.54, כך שמשתמשים בגרסה זו יוכלו להשתמש ב-VEX Hub בסריקות שלהם על ידי שימוש בפרמטר `–vex repo`. כעת, Trivy יספק תוצאות שגויות מעטות יותר ודוחות מדויקים ורלוונטיים יותר.
מידע נוסף אודות מאגר VEX Hub והשתתפות בקהילת VEX Hub זמין כאן ובבלוג של אקווה.
בעתיד הקרוב, לקוחות אקווה יוכלו ליהנות מ-VEX Hub כחלק מפלטפורמת ה-CNAPP של אקווה.
אודות אקווה סקיוריטי (Aqua Security)
אקווה סקיוריטי הישראלית היא חלוצה באבטחת יישומי ענן וקונטיינרים החל משלב הפיתוח ועד לייצור. פתרון מחזור החיים המלא של אקווה מונע מתקפות באמצעות אכיפת היגיינה לפני הפריסה ומניעת מתקפות בזמן אמת בייצור, מה שמפחית את הזמן הממוצע לתיקון ואת הסיכון העסקי הכולל. The Aqua Platform, פלטפורמת הגנת יישומי ה-Cloud Native (Cloud Native Application Protection Platform – CNAPP), משלבת אבטחה החל מהקוד ועד לענן, עם טכנולוגיות agent ו-agentless בפתרון אחד. עם יכולות פריסה בהיקפים גדולים ללא האטה של תהליכי פיתוח, אקווה מאבטחת את העתיד שלכם בענן. החברה, המגינה על יותר מ-500 מהארגונים הגדולים ביותר בעולם, נוסדה בשנת 2015, עם משרדים ראשיים בארה"ב וישראל. למידע נוסף, בקרו באתר https://www.aquasec.com.