Vad är VDR?

En VDR (Vulnerability Disclosure Report) ger detaljerad information om en specifik sårbarhet i en mjukvara. Även kallat VAR (Vulnerability Advisory Report).

Feb 7, 2025

En VDR (Vulnerability Disclosure Report) är en detaljerad rapport som ger djupgående information om en specifik sårbarhet i en mjukvara. Den går längre än en standardiserad sårbarhetsbeskrivning (CVE) och ger användare och utvecklare den kunskap de behöver för att förstå och hantera risken.

VDR är ett viktigt komplement till SBOM (Software Bill of Materials), som listar alla komponenter i en mjukvara, och VEX (Vulnerability Exploitability eXchange), som ger information om huruvida en sårbarhet faktiskt kan utnyttjas.

Genom att kombinera dessa verktyg får man en heltäckande bild av mjukvarans säkerhet, inklusive information om sårbarheten i sig (VDR), om den är utnyttjbar (VEX) och i vilka komponenter den finns (SBOM).

Vad tillför en VDR?

VDR:er fyller en viktig funktion genom att ge en detaljerad och strukturerad beskrivning av en sårbarhet. De innehåller oftast följande information:

  • Detaljerad beskrivning: En förklaring av sårbarheten, inklusive typ och hur den kan utnyttjas.
  • Påverkade system: Information om vilka system eller produkter som är sårbara.
  • Riskbedömning: En bedömning av hur allvarlig sårbarheten är (t.ex. CVSS-poäng).
  • Åtgärder: Information om hur man kan åtgärda sårbarheten (t.ex. uppdateringar, patchar).

Fördelar med att använda eller kräva VDR

Att använda eller kräva VDR:er ger flera fördelar:

  • Förbättrad förståelse: VDR:er ger en djupare förståelse för sårbarheten och dess potentiella påverkan.
  • Snabbare åtgärder: De möjliggör snabbare åtgärder genom att ge tydliga instruktioner om hur man åtgärdar sårbarheten.
  • Ökat ansvarstagande: VDR:er främjar transparens och ansvarstagande från mjukvaruutvecklare.

Skillnaden mellan VDR och CVE

Sårbarheter i mjukvara identifieras ofta med ett unikt ID-nummer och en kortfattad beskrivning, kallad CVE (Common Vulnerabilities and Exposures). Tänk på CVE som en etikett som ger en snabb överblick av sårbarheten. En VDR däremot ger en mer komplett bild, som en detaljerad rapport om sårbarheten.

Skillnaden mellan VDR och VEX

Medan VDR beskriver sårbarheten i detalj, fokuserar VEX på om sårbarheten faktiskt kan utnyttjas i en specifik miljö. VEX ger alltså ytterligare information om huruvida en sårbarhet är relevant för en specifik användare eller inte.

Referenser

NIST Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations - 2022

This publication provides a comprehensive guide to supply chain risk management practices for systems and organizations.

NIST, SBOM, VEX, VDR

Vad är en sårbarhet?