Seminar OWASP Dependency-Track VEX, VDR und Exploitability Management

Inhaltsübersicht

  • Zweck von VEX und VDR
  • Anwendbarkeit von Schwachstellen bewerten
  • Import, Pflege und Nutzung von Exploitability-Daten
  • Kommunikation und Nachweisführung

Seminarziel

Das Seminar vermittelt, wie VEX- und VDR-Daten genutzt werden, um Findings fachlich belastbarer zu bewerten. Der Fokus liegt auf der Frage, ob eine gemeldete Schwachstelle in einem konkreten Produkt tatsächlich ausnutzbar oder relevant ist.

Zielgruppe

Geeignet für Teams, die viele Findings bearbeiten und eine nachvollziehbare Reduzierung nicht anwendbarer Schwachstellen erreichen müssen.

Voraussetzungen

Erforderlich sind Grundkenntnisse zu SBOM, Vulnerability Management und Triage. Detailwissen zu VEX ist nicht notwendig.

Seminarinhalte

1. VEX und VDR einordnen

  1. Zweck und Grenzen von Exploitability-Aussagen verstehen
  2. Unterschied zwischen Finding, Bewertung und Offenlegungsbericht klären
  3. Rollen von Hersteller, Betreiber und Security Team bestimmen
  4. Typische Missverständnisse bei False Positives vermeiden

2. Anwendbarkeit bewerten

  1. Komponente, Version und Nutzungskontext prüfen
  2. Ausnutzbarkeit nach Codepfad, Konfiguration und Umgebung bewerten
  3. Nicht anwendbare Findings sauber begründen
  4. Risiko akzeptierter Findings von falschen Positiven trennen

3. VEX-Daten verwenden

  1. VEX-Datenfluss und Importlogik nachvollziehen
  2. Bezug zwischen Komponente, Schwachstelle und Status herstellen
  3. Verarbeitungsstatus kontrollieren
  4. Auswirkungen auf Triage und Reporting prüfen

4. VDR-Kommunikation planen

  1. Disclosure-Berichte als Nachweisformat einordnen
  2. Informationen für interne und externe Kommunikation strukturieren
  3. Freigabeprozesse für Aussagen zur Ausnutzbarkeit definieren
  4. Versionierung und Nachvollziehbarkeit sicherstellen

5. Exploitability Management verankern

  1. Regeln für erneute Bewertung definieren
  2. Abhängigkeit zu neuen Schwachstellendaten berücksichtigen
  3. Zusammenarbeit zwischen Entwicklung und Security organisieren
  4. Kennzahlen für Reduzierung irrelevanter Findings ableiten

Praktische Übungen

  • Bewertung einer Schwachstelle nach Nutzungskontext
  • Erstellung einer einfachen VEX-Entscheidungsmatrix
  • Zuordnung von VEX-Status zu Findings
  • Definition eines Kommunikationsprozesses für nicht anwendbare Findings

Praxisnutzen

Zwei Tage sind notwendig, weil VEX und VDR fachliche Bewertung, technische Zuordnung und Kommunikationsdisziplin erfordern.

Fachbereichsleiter / Leiter der Trainer / Ansprechpartner

Seminar und Anbieter vergleichen

Öffentliche Schulung

Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.

Mehr dazu...

Inhausschulung

Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.

Mehr dazu...

Webinar

Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.

Mehr dazu...

Fachbereichsleiter / Leiter der Trainer / Ansprechpartner

Seminardetails

   
Dauer: 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weiterer Tag 09:00 Uhr
Preis: Öffentlich oder Live Stream: € 1.198 zzgl. MwSt.
Inhaus: € 3.400 zzgl. MwSt.
Teilnehmeranzahl: min. 2 - max. 8
Teilnehmer: Product Security, AppSec, Security Analysten, Softwarearchitekten und Governance-Teams
Voraussetzungen: Grundkenntnisse in Schwachstellenbewertung und SBOM-Prozessen
Standorte: Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg
Methoden: Vortrag, Demonstrationen, praktische Übungen am System
Seminararten: Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht
Durchführungsgarantie: ja, ab 2 Teilnehmern
Sprache: Deutsch - bei Firmenseminaren ist auch Englisch möglich
Seminarunterlage: Dokumentation auf Datenträger oder als Download
Teilnahmezertifikat: ja, selbstverständlich
Verpflegung: Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch)
Support: 3 Anrufe im Seminarpreis enthalten
Barrierefreier Zugang: an den meisten Standorten verfügbar
  Weitere Informationen unter + 49 (221) 74740055

Seminartermine

Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.

Seminar Startdatum Enddatum Ort Dauer
Bremen 2 Tage
Berlin 2 Tage
Mainz 2 Tage
Erfurt 2 Tage
Darmstadt 2 Tage
Frankfurt 2 Tage
Paderborn 2 Tage
Essen 2 Tage
Konstanz 2 Tage
Freiburg 2 Tage
Potsdam 2 Tage
Flensburg 2 Tage
Hamburg 2 Tage
Leipzig 2 Tage
Hamm 2 Tage
Rostock 2 Tage
Dresden 2 Tage
Luxemburg 2 Tage
Hannover 2 Tage
Stuttgart 2 Tage
Trier 2 Tage
Madgeburg 2 Tage
Regensburg 2 Tage
Jena 2 Tage
Ulm 2 Tage
München 2 Tage
Friedrichshafen 2 Tage
Kassel 2 Tage
Wuppertal 2 Tage
Münster 2 Tage
Nürnberg 2 Tage
Köln 2 Tage
Bremen 2 Tage
Berlin 2 Tage
Mainz 2 Tage
Erfurt 2 Tage
Darmstadt 2 Tage
Frankfurt 2 Tage
Paderborn 2 Tage
Essen 2 Tage
Nach oben
Seminare als Stream SRI zertifiziert
© 2026 www.seminar-experts.de All rights reserved. | Kontakt | Impressum | Nach oben