Este documento descreve como Artifact Analysis avalia vulnerabilidades e atribui níveis de gravidade.
O Artifact Analysis classifica a gravidade da vulnerabilidade usando os seguintes níveis:
- Crítico
- Alta
- Média
- Baixo
Esses níveis de gravidade são rótulos qualitativos que refletem fatores como
capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade. Por exemplo,
se uma vulnerabilidade permitir que um usuário remoto acesse um sistema e execute um código
arbitrário sem autenticação ou interação com o usuário, essa vulnerabilidade
será classificada como Critical.
Dois tipos de gravidade adicionais estão associados a cada vulnerabilidade:
Gravidade efetiva: dependendo do tipo de vulnerabilidade:
- Pacotes do SO: o nível de gravidade atribuído pelo administrador da distribuição Linux. Se esses níveis de gravidade estiverem indisponíveis, Artifact Analysis vai usar o valor de gravidade do provedor de notas, (NVD). Se a classificação CVSS v2 do NVD não estiver disponível, Artifact Analysis vai usar a classificação CVSS v3 do NVD.
- Pacotes de idiomas: o nível de gravidade atribuído pelo GitHub Advisory Database, com uma pequena diferença: Moderado é informado como Médio.
Pontuação CVSS: a pontuação do sistema de pontuação de vulnerabilidade comum (CVSS, na sigla em inglês) e o nível de gravidade associado, com duas versões de pontuação:
A seguir
- Investigue vulnerabilidades.
- Bloqueie builds no seu pipeline do Cloud Build com base na gravidade da vulnerabilidade.