介绍

VDR (Vulnerability Disclosure Report) 是关于影响产品或其依赖项的所有漏洞的证明，以及对其影响的分析。VDR 可以来自软件供应商或第三方。它们是关于漏洞的全面评估，描述了漏洞对组件或产品的影响（或缺乏影响）。 VEX (Vulnerability Exploitability eXchange) 是另一种方法，旨在提供有关漏洞及其可利用性的信息。VEX 与 VDR 不同，它更关注漏洞的可利用性。VEX 提供了有关漏洞是否易受攻击的信息，以帮助消费者更好地理解漏洞的风险。在 CycloneDX 中，VEX 是一种标准格式，用于描述漏洞的可利用性。

VEX (Vulnerability Exploitability eXchange) 是另一种方法，旨在提供有关漏洞及其可利用性的信息。VEX 与 VDR 不同，它更关注漏洞的可利用性。VEX 提供了有关漏洞是否易受攻击的信息，以帮助消费者更好地理解漏洞的风险。在 CycloneDX 中，VEX 是一种标准格式，用于描述漏洞的可利用性。

VDR 和 VEX 都为软件消费者提供了价值。组织应该评估这两种策略，并实施满足其供应链各方需求的方法。OWASP CycloneDX 和 OWASP Dependency-Track 都支持 VDR 和 VEX。