启明星辰出席第二届华为漏洞管理与应急响应技术大会

近日，以“共建共治 智护未来——新时代安全漏洞管理新范式”为主题的第二届“华为漏洞管理与应急响应技术大会”在深圳召开。启明星辰行业专家龚准出席大会并发表《VEX在漏洞扫描误报消减的价值探索与应用》主题演讲，系统阐述了VEX（漏洞可利用性交换）信息在提升漏洞扫描结果可信度方面的实践成效与技术思考。

会上，龚准表示，VEX是一种用于漏洞评估与扩展的机制，声明产品是否受到特定漏洞的影响，并以机器可读的数据格式，保护厂商产品版本信息以及判断该产品版本是否受漏洞的状态信息，主要包括以下四种状态：

• 不受影响– 无需对此漏洞进行补救。

• 受影响– 建议采取措施来修复或解决此漏洞。

• 已修复 – 表示这些产品版本包含针对漏洞的修复。

• 调查中——尚不清楚这些产品版本是否受到漏洞影响。将在以后的版本中提供更新。

在漏洞扫描中，许多主机漏洞的识别依赖于CPE规则（通用平台枚举）与资产指纹的匹配。在漏洞披露初期该方法较为有效，而随着供应链厂商产品及开源组件的持续迭代更新，新版本可能不再受历史漏洞影响，导致基于CPE规则的扫描结果逐渐失准。VEX信息正是对CPE规则进行的动态补充与修正，可为漏洞研判提供更精准的依据。

目前，国外第三方开源组件厂商多在官网发布VEX相关信息声明，而国内供应商尚未广泛采用此做法，且相关信息发布需符合国家信息披露规范。若供应商直接公开产品漏洞影响情况，既可能被恶意利用，也可能影响自身声誉。为此，可通过构建标准化的VEX数据交换机制，依托“VEX中心仓”实现漏洞信息在机构、厂商与用户间的安全同步，在保障数据隐私的同时，支持高效漏洞研判。

为此，启明星辰与华为开展了基于VEX的漏洞真实性验证机制联合创新试点，进一步探索VEX信息落地价值。华为作为供应链厂商和技术合作方提供了华为产品相关VEX信息；启明星辰则依托“天镜脆弱性扫描与管理系统”及“资产安全隐患管理平台（ASM）”的集中化扫描与分析能力，对漏洞扫描结果进行综合验证。

试点结果表明，平台能够实现对特定漏洞误报的智能识别与标记，并随着VEX数据的周期持续输入，误报修正率从初期的5%逐步提升至约30%，显著体现了VEX在提升漏洞数据准确性方面的关键作用。

随着数字化进程加快，企业面临的安全威胁日益复杂，漏洞数量激增、攻击手段智能化，响应窗口不断收紧。启明星辰与华为将持续深化VEX在安全运营场景中的融合应用，共同构建漏洞误报修订与信息共享生态，提升行业漏洞治理能力，助力用户实现全生命周期的高效安全管控。

•

END

•