Artifact Analysis の重大度レベル

このドキュメントでは、Artifact Analysis が脆弱性を評価して重大度レベルを割り当てる方法について説明します。

Artifact Analysis は、次のレベルを使用して脆弱性の重大度を評価します。

• 重大
• 高
• 中
• 低

これらの重大度は、脆弱性が悪用される可能性、その範囲、影響、成熟度などの要素を表す定性的なラベルです。たとえば、脆弱性の悪用によりリモートからシステムにアクセスし、認証やユーザーの操作を行わずに任意のコードを実行できる場合、この脆弱性は Critical に分類されます。

脆弱性には、次の 2 種類の重大度が関連付けられます。

• 有効な重大度 - 脆弱性の種類に応じて次のようになります。

  • OS パッケージ - Linux ディストリビューションのメンテナンス担当者によって割り当てられた重大度レベル。これらの重大度が使用できない場合、Artifact Analysis はメモ プロバイダ（NVD）の重大度値を使用します。NVD の CVSS v2 レーティングが使用できない場合、Artifact Analysis は NVD の CVSS v3 レーティングを使用します。
  • 言語パッケージ - GitHub Advisory Database によって割り当てられた重大度レベル。ただし、中程度は 中程度と報告されます。

• CVSS スコア - Common Vulnerability Scoring System スコアとそれに関連する重大度。スコアには次の 2 つのバージョンがあります。

  • CVSS 2.0 - API、Google Cloud CLI、GUI を使用している場合に使用できます。
  • CVSS 3.1 - API と gcloud CLI を使用している場合に使用できます。

次のステップ

• 脆弱性を調査する。
• 脆弱性の重大度に基づいて Cloud Build パイプラインのビルドを制御する。