VEXは、米国商務省国家電気通信情報庁(NTIA)によって設定された、Vulnerability Exploitability eXchangeの略号です。VEXは、ソフトウェアの脆弱性を関連情報としてフォーマット化し、それらが特定の脆弱性が製品に及ぼす影響について調査するための情報源となります。
その点で、通常のセキュリティアドバイザリーとは違い、VEXは機械可読性を備えており、その結果、セキュリティ管理ツールへの統合が可能となります。それだけでなく、VEXは現行のSBOM運用を支援するための能力も含んでいます。’
