Inhaltsübersicht
- Zweck von VEX und VDR
- Anwendbarkeit von Schwachstellen bewerten
- Import, Pflege und Nutzung von Exploitability-Daten
- Kommunikation und Nachweisführung
Seminarziel
Das Seminar vermittelt, wie VEX- und VDR-Daten genutzt werden, um Findings fachlich belastbarer zu bewerten. Der Fokus liegt auf der Frage, ob eine gemeldete Schwachstelle in einem konkreten Produkt tatsächlich ausnutzbar oder relevant ist.
Zielgruppe
Geeignet für Teams, die viele Findings bearbeiten und eine nachvollziehbare Reduzierung nicht anwendbarer Schwachstellen erreichen müssen.
Voraussetzungen
Erforderlich sind Grundkenntnisse zu SBOM, Vulnerability Management und Triage. Detailwissen zu VEX ist nicht notwendig.
Seminarinhalte
1. VEX und VDR einordnen
- Zweck und Grenzen von Exploitability-Aussagen verstehen
- Unterschied zwischen Finding, Bewertung und Offenlegungsbericht klären
- Rollen von Hersteller, Betreiber und Security Team bestimmen
- Typische Missverständnisse bei False Positives vermeiden
2. Anwendbarkeit bewerten
- Komponente, Version und Nutzungskontext prüfen
- Ausnutzbarkeit nach Codepfad, Konfiguration und Umgebung bewerten
- Nicht anwendbare Findings sauber begründen
- Risiko akzeptierter Findings von falschen Positiven trennen
3. VEX-Daten verwenden
- VEX-Datenfluss und Importlogik nachvollziehen
- Bezug zwischen Komponente, Schwachstelle und Status herstellen
- Verarbeitungsstatus kontrollieren
- Auswirkungen auf Triage und Reporting prüfen
4. VDR-Kommunikation planen
- Disclosure-Berichte als Nachweisformat einordnen
- Informationen für interne und externe Kommunikation strukturieren
- Freigabeprozesse für Aussagen zur Ausnutzbarkeit definieren
- Versionierung und Nachvollziehbarkeit sicherstellen
5. Exploitability Management verankern
- Regeln für erneute Bewertung definieren
- Abhängigkeit zu neuen Schwachstellendaten berücksichtigen
- Zusammenarbeit zwischen Entwicklung und Security organisieren
- Kennzahlen für Reduzierung irrelevanter Findings ableiten
Praktische Übungen
- Bewertung einer Schwachstelle nach Nutzungskontext
- Erstellung einer einfachen VEX-Entscheidungsmatrix
- Zuordnung von VEX-Status zu Findings
- Definition eines Kommunikationsprozesses für nicht anwendbare Findings
Praxisnutzen
Zwei Tage sind notwendig, weil VEX und VDR fachliche Bewertung, technische Zuordnung und Kommunikationsdisziplin erfordern.
Fachbereichsleiter / Leiter der Trainer / Ansprechpartner
-

Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -

Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weiterer Tag 09:00 Uhr |
| Preis: | ###ZWEITAGEHOCH### |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Product Security, AppSec, Security Analysten, Softwarearchitekten und Governance-Teams |
| Voraussetzungen: | Grundkenntnisse in Schwachstellenbewertung und SBOM-Prozessen |
| Standorte: | ###STANDORTE### |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| ###TEL### |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
