Questo documento descrive come Artifact Analysis valuta le vulnerabilità e assegna i livelli di gravità.
L'Artifact Analysis valuta la gravità delle vulnerabilità utilizzando i seguenti livelli:
- Critico
- Alta
- Medie
- Bassa
Questi livelli di gravità sono etichette qualitative che riflettono fattori come sfruttabilità, ambito, impatto e maturità della vulnerabilità. Ad esempio, se una vulnerabilità consente a un utente remoto di accedere a un sistema ed eseguire codice arbitrario senza autenticazione o interazione dell'utente, la vulnerabilità verrà classificata come Critical
.
A ogni vulnerabilità sono associati altri due tipi di gravità:
Gravità effettiva: a seconda del tipo di vulnerabilità:
- Pacchetti del sistema operativo: il livello di gravità assegnato dal manutentore della distribuzione Linux. Se questi livelli di gravità non sono disponibili, l'Artifact Analysis utilizza il valore di gravità del fornitore di note, (NVD). Se la classificazione CVSS v2 della NVD non è disponibile, l'Artifact Analysis utilizza la classificazione CVSS v3 della NVD.
- Pacchetti di lingue: il livello di gravità assegnato dal database di consulenza GitHub, con una leggera differenza: Moderato viene segnalato come Medio.
Punteggio CVSS: il punteggio del Common Vulnerability Scoring System e il livello di gravità associato, con due versioni di punteggio:
Passaggi successivi
- Esaminare le vulnerabilità.
- Controlla le build nella pipeline Cloud Build in base alla gravità della vulnerabilità.