Готовность к CRA: интеграция VEX в рабочие процессы с открытым исходным кодом | Петр Карвас и Мун...

Описание: Поскольку VEX (Vulnerability Exploitability eXchange) приобретает все большее значение для нормативных требований и анализа уязвимостей, проекты с открытым исходным кодом сталкиваются с новой проблемой: не просто генерировать данные VEX, но и поддерживать их точность, контекстность и возможность сопровождения с течением времени.

В то время как CRA требует от производителей только предоставления «продуктов без известных эксплуатируемых уязвимостей», проекты, публикующие достоверную информацию об эксплуатируемости, могут значительно упростить соблюдение требований на последующих этапах. В то же время предоставление этих данных может повысить доверие, улучшить внедрение и помочь обосновать или даже собрать средства на текущие работы по поддержке безопасности открытого исходного кода.

Этот доклад посвящен реальным сложностям интеграции VEX в активный проект с открытым исходным кодом: определению достижимости уязвимостей, оценке эксплуатируемости в конкретных участках кода, обработке контекстного подавления и синхронизации всего этого с частыми релизами и обновлениями зависимостей. Эти задачи гораздо сложнее, чем генерация SBOM, и часто выходят за рамки возможностей добровольцев-поддерживающих без специализированных инструментов.

Мы поделимся уроками, извлеченными из внедрения автоматизированной генерации VEX в Apache Solr, заменив ранее поддерживаемую вручную документацию VEX. В ходе сессии будут рассмотрены следующие темы:

Практические проблемы, с которыми сталкиваются разработчики открытого программного обеспечения при внедрении VEX
Как интегрировать генерацию VEX в конвейеры CI/CD
Проектирование и реализация набора инструментов генерации VEX
Баланс между автоматизацией и процессами проверки безопасности, специфичными для проекта
Преимущества и ограничения, возникающие при масштабном внедрении VEX

Участники получат конкретное понимание того, что необходимо для внедрения VEX в проект с открытым исходным кодом, и как инструменты могут снизить нагрузку, одновременно повышая качество и точность соответствия требованиям.

____

Эта сессия была записана во время конференции Code & Compliance - FOSDEM Edition, состоявшейся 29 января 2026 года в Брюсселе.

Для получения дополнительной информации о Рабочей группе по открытому нормативному соответствию (ORC) и подробностей о предстоящих мероприятиях посетите сайт orcwg.org