En este documento, se describe cómo Artifact Analysis evalúa las vulnerabilidades y asigna niveles de gravedad.
Artifact Analysis califica la gravedad de las vulnerabilidades con los siguientes niveles:
- Crítico
- Alto
- Medio
- Low (Baja)
Estos niveles de gravedad son etiquetas cualitativas que reflejan factores como la capacidad de explotación, el alcance, el impacto y la madurez de la vulnerabilidad. Por ejemplo, si una vulnerabilidad permite que un usuario remoto acceda a un sistema y ejecute código arbitrario sin autenticación ni interacción del usuario, esa vulnerabilidad se clasificaría como Critical.
Hay dos tipos de gravedad adicionales asociados con cada vulnerabilidad:
Gravedad efectiva: Según el tipo de vulnerabilidad, puede ocurrir lo siguiente:
- Paquetes del SO: Es el nivel de gravedad que asigna el encargado de la distribución de Linux. Si estos niveles de gravedad no están disponibles, Artifact Analysis usa el valor de gravedad del proveedor de notas, (NVD). Si la calificación CVSS v2 de NVD no está disponible, Artifact Analysis usa la calificación CVSS v3 de NVD.
- Paquetes de idioma: El nivel de gravedad que asigna la base de datos de avisos de GitHub, con una ligera diferencia: Moderado se informa como Medio.
Puntuación de CVSS: La puntuación del sistema Common Vulnerability Scoring System (CVSS) y el nivel de gravedad asociado, con dos versiones de puntuación:
¿Qué sigue?
- Investiga las vulnerabilidades.
- Controla las compilaciones en tu canalización de Cloud Build según la gravedad de las vulnerabilidades.