Seminar OWASP Dependency-Track VEX, VDR und Exploitability Management

Inhaltsübersicht

  • Zweck von VEX und VDR
  • Anwendbarkeit von Schwachstellen bewerten
  • Import, Pflege und Nutzung von Exploitability-Daten
  • Kommunikation und Nachweisführung

Seminarziel

Das Seminar vermittelt, wie VEX- und VDR-Daten genutzt werden, um Findings fachlich belastbarer zu bewerten. Der Fokus liegt auf der Frage, ob eine gemeldete Schwachstelle in einem konkreten Produkt tatsächlich ausnutzbar oder relevant ist.

Zielgruppe

Geeignet für Teams, die viele Findings bearbeiten und eine nachvollziehbare Reduzierung nicht anwendbarer Schwachstellen erreichen müssen.

Voraussetzungen

Erforderlich sind Grundkenntnisse zu SBOM, Vulnerability Management und Triage. Detailwissen zu VEX ist nicht notwendig.

Seminarinhalte

1. VEX und VDR einordnen

  1. Zweck und Grenzen von Exploitability-Aussagen verstehen
  2. Unterschied zwischen Finding, Bewertung und Offenlegungsbericht klären
  3. Rollen von Hersteller, Betreiber und Security Team bestimmen
  4. Typische Missverständnisse bei False Positives vermeiden

2. Anwendbarkeit bewerten

  1. Komponente, Version und Nutzungskontext prüfen
  2. Ausnutzbarkeit nach Codepfad, Konfiguration und Umgebung bewerten
  3. Nicht anwendbare Findings sauber begründen
  4. Risiko akzeptierter Findings von falschen Positiven trennen

3. VEX-Daten verwenden

  1. VEX-Datenfluss und Importlogik nachvollziehen
  2. Bezug zwischen Komponente, Schwachstelle und Status herstellen
  3. Verarbeitungsstatus kontrollieren
  4. Auswirkungen auf Triage und Reporting prüfen

4. VDR-Kommunikation planen

  1. Disclosure-Berichte als Nachweisformat einordnen
  2. Informationen für interne und externe Kommunikation strukturieren
  3. Freigabeprozesse für Aussagen zur Ausnutzbarkeit definieren
  4. Versionierung und Nachvollziehbarkeit sicherstellen

5. Exploitability Management verankern

  1. Regeln für erneute Bewertung definieren
  2. Abhängigkeit zu neuen Schwachstellendaten berücksichtigen
  3. Zusammenarbeit zwischen Entwicklung und Security organisieren
  4. Kennzahlen für Reduzierung irrelevanter Findings ableiten

Praktische Übungen

  • Bewertung einer Schwachstelle nach Nutzungskontext
  • Erstellung einer einfachen VEX-Entscheidungsmatrix
  • Zuordnung von VEX-Status zu Findings
  • Definition eines Kommunikationsprozesses für nicht anwendbare Findings

Praxisnutzen

Zwei Tage sind notwendig, weil VEX und VDR fachliche Bewertung, technische Zuordnung und Kommunikationsdisziplin erfordern.

Fachbereichsleiter / Leiter der Trainer / Ansprechpartner

Seminar und Anbieter vergleichen

Öffentliche Schulung

Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.

Mehr dazu...

Inhausschulung

Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.

Mehr dazu...

Webinar

Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.

Mehr dazu...

Fachbereichsleiter / Leiter der Trainer / Ansprechpartner

Seminardetails

   
Dauer: 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weiterer Tag 09:00 Uhr
Preis: Öffentlich und Webinar: CHF 1.198 zzgl. MwSt.
Inhaus: CHF 3.400 zzgl. MwSt.
Teilnehmeranzahl: min. 2 - max. 8
Teilnehmer: Product Security, AppSec, Security Analysten, Softwarearchitekten und Governance-Teams
Voraussetzungen: Grundkenntnisse in Schwachstellenbewertung und SBOM-Prozessen
Standorte: Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich
Methoden: Vortrag, Demonstrationen, praktische Übungen am System
Seminararten: Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht
Durchführungsgarantie: ja, ab 2 Teilnehmern
Sprache: Deutsch - bei Firmenseminaren ist auch Englisch möglich
Seminarunterlage: Dokumentation auf Datenträger oder als Download
Teilnahmezertifikat: ja, selbstverständlich
Verpflegung: Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch)
Support: 3 Anrufe im Seminarpreis enthalten
Barrierefreier Zugang: an den meisten Standorten verfügbar
  Weitere Informationen unter +41 (800) 225127

Seminartermine

Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.

Seminar Startdatum Enddatum Ort Dauer
Inhaus / Firmenseminar 2 Tage
Sankt Gallen 2 Tage
Basel 2 Tage
Winterthur 2 Tage
Zürich 2 Tage
Stream live 2 Tage
Stream gespeichert 2 Tage
Luzern 2 Tage
Bern 2 Tage
Luzern 2 Tage
Bern 2 Tage
Inhaus / Firmenseminar 2 Tage
Sankt Gallen 2 Tage
Basel 2 Tage
Winterthur 2 Tage
Zürich 2 Tage
Stream live 2 Tage
Stream gespeichert 2 Tage
Stream gespeichert 2 Tage
Luzern 2 Tage
Bern 2 Tage
Inhaus / Firmenseminar 2 Tage
Sankt Gallen 2 Tage
Basel 2 Tage
Winterthur 2 Tage
Zürich 2 Tage
Stream live 2 Tage
Stream live 2 Tage
Stream gespeichert 2 Tage
Luzern 2 Tage
Bern 2 Tage
Inhaus / Firmenseminar 2 Tage
Sankt Gallen 2 Tage
Basel 2 Tage
Winterthur 2 Tage
Zürich 2 Tage
Zürich 2 Tage
Stream live 2 Tage
Stream gespeichert 2 Tage
Bern 2 Tage
Nach oben
Seminare als Stream SRI zertifiziert
© 2026 www.seminar-experts.ch All rights reserved.  | Kontakt | Impressum | Nach oben