(Kubernetes) policy mechanism to enforce conditions (e.g., vulnerability scan) before deployment.

Meta-Data Documents ( usually signed ) to OCI-Container Images.

Adding Meta-Data Documents ( usually signed ) to OCI-Container Images.

The Bill of Vulnerabilities (BOV) is a standardized way to exchange vulnerability information between systems, enabling organizations to share complex vulnerability data effectively. By focusing on a machine-readable format, BOV simplifies the communication of vulnerability metadata such as severities, risk ratings, and remediation details.

Continuous Integration (CI) in GitLab ist ein automatisierter Prozess, der Codeänderungen fortlaufend zusammenführt, baut, testet und validiert, um frühzeitig Fehler zu erkennen und die Softwarequalität sicherzustellen

CI/CD ist ein kontinuierlicher, standardisierter Mechanismus, der über Versionierung getriggert wird und Qualität und Lieferung automatisiert

Tool from Sigstore to sign and verify container images and attach attestations.

Cyber Resilience Act – EU regulation on cybersecurity of IT products.

Common Security Advisory Framework – standard format for structured security advisories.

Common Vulnerabilities and Exposures – unique identifier for known security vulnerabilities.

Common Vulnerability Scoring System – rating scale for vulnerabilities from 0 to 10.

CRA – EU regulation on cybersecurity of IT products.

SBOM standard focused on application security use cases.

Open-Source Security platform for CVE matching and VEX workflows. More on https://devguard.org .

Immutable cryptographic hash (SHA256) that uniquely identifies a container image.

Reported but non-relevant vulnerability.

CI/CD ist ein kontinuierlicher, standardisierter Mechanismus, der über Versionierung getriggert wird und Qualität und Lieferung automatisiert

Guide bezeichnet in der Softwareentwicklung eine strukturierte Anleitung oder Dokumentation, die Entwicklerinnen und Entwicklern hilft, bestimmte Aufgaben korrekt und effizient zu erledigen.

Refers to OCI-Container Images.

Standard for processes in handling vulnerabilities.

Ein Issue in GitLab ist ein zentrales Element zur Nachverfolgung von Aufgaben, Fehlern, Feature-Wünschen und sonstigen Arbeitspaketen innerhalb eines Projekts

Informationstechnik

Kubernetes policy engine used for admission control, validation, and security enforcement.

Measure to reduce the risk of a vulnerability.

CNCF project for signing and verifying container images.

National Vulnerability Database – official CVE database with ratings.

Open Container Initiative – industry standard for container images and their distribution.

Metadata attached to a container image digest to provide supply chain security information.

Minimal VEX implementation that uses JSON for efficient CVE status communication.

Portable Document Format ist ein plattformunabhängiges Dateiformat für elektronische Dokumente. Diese unabhängig vom ursprünglichen Anwendungsprogramm originalgetreu wiedergegeben werden kann.

Minimal JSON file declaring the shipped component in an image.

Metadata describing how and from what source an artifact was built (e.g., SLSA provenance).

Package URL – a standardized way to identify software packages across ecosystems.

SBOM generated automatically from a built container image (not from source).

Software Bill of Materials – inventory of all software components and versions.

Software Composition Analysis – analysis of dependencies and known vulnerabilities.

Smart Country Convention - The leading event for the digital state and public services. Three Days of Congress, Expo, Workshops & Networking.

Supply-chain Levels for Software Artifacts – framework for supply chain integrity.

Software Package Data Exchange – SBOM standard used across industry.

Bezeichnet digitale Werkzeuge die ein Prozess standardisieren und vereinfachen.

Confirmed, relevant vulnerability.

(Universal Accessibility; englisch für „Universeller Zugang“) ist ein Substandard des PDF-Standards (ISO 32000-1) für barrierefreie PDF-Dokumente.

Vulnerability Exploitability eXchange – format for specifying whether a CVE affects a software product.