אקווה סקיוריטי משיקה מאגר לשיתוף מידע על היתכנות לפגיעויות בקוד

אקווה סקיוריטי (Aqua Security) הישראלית, המפתחת פתרונות בתחום אבטחת יישומים בסביבות ענן, הכריזה על VEX Hub, מאגר פתוח המרכז מידע מרכזי מספקי תוכנה שונים אודות היתכנות לפגיעויות, המבוסס על פורמט Vulnerability Exploitability eXchange. VEX הוא תקן חדש יחסית בתעשייה לפרסום ושיתוף מידע בנוגע לפגיעויות אבטחה עבור תוצרי תוכנה ומאגר VEX Hub מספק כעת למשתמשים ולאחראים על תחזוקת הקוד הפתוח ספריה אחת הכוללת מידע אודות היתכנות לפגיעויות. מאגר זה משמש סורקי קוד כדי להפיק תוצאות מדויקות יותר ופחות תוצאות שגויות (false positives). 

VEX Hub אוסף מסמכי VEX מהאחראים על תחזוקת הקוד הפתוח ומסדר אותם במאגר מרכזי, מה שהופך אותם לנגישים לשימוש באמצעות סריקה. המידע ב-VEX Hub משפר את הדיוק של תוצאות הסריקה ומספק למשתמשים דוחות פגיעויות רלוונטיים יותר. כחלק מההשקה, הגרסה העדכנית של Aqua Trivy כבר משתמשת במידע ב-VEX Hub כדי לספק למשתמשים יכולת תעדוף טובה יותר של הפגיעויות והפחתת עומס ההתראות.

"במשך שנים, משתמשי קוד פתוח התקשו לאתר ולתעדף פגיעויות תוכנה והאחראים על תחזוקת הקוד הפתוח התקשו למצוא את הדרך לחלוק את המידע. VEX נוצר כדי לפתור את הבעיות הללו", אמר איתי שקורי, סמנכ"ל תחום קוד פתוח באקווה סקיוריטי. "החלק החסר נכון להיום זוהי מערכת שאוספת את המידע הרלוונטי על היתכנות לפגיעויות לתוך מאגר מרכזי – וזה המקום שבו נכנס VEX Hub. אקווה פעלה יחד עם קהילת VEX מאז הקמתה ואנחנו מקדמים את VEX לשלב הבא באמצעות VEX Hub".

מאגר VEX Hub נבנה למטרת שיתוף פעולה בקהילת הקוד הפתוח והוא מפשט את ניהול המידע של VEX. צוות הקוד הפתוח של אקווה יצר מקום אחד בו האחראים על תחזוקת הקוד הפתוח יוכלו לשתף בקלות עדכונים אודות פגיעויות ובו משתמשים יוכלו למצוא ולגשת למידע קריטי אודות ניצול פגיעויות.

מאגר VEX Hub נכלל בגרסה העדכנית של Trivy v0.54, כך שמשתמשים בגרסה זו יוכלו להשתמש ב-VEX Hub בסריקות שלהם על ידי שימוש בפרמטר `–vex repo`. כעת, Trivy יספק תוצאות שגויות מעטות יותר ודוחות מדויקים ורלוונטיים יותר.

מידע נוסף אודות מאגר VEX Hub ניתן למצוא בבלוג של אקווה.

בעתיד הקרוב, לקוחות אקווה יוכלו ליהנות מ-VEX Hub כחלק מפלטפורמת ה-CNAPP של אקווה.