En este documento, se describe cómo Artifact Analysis evalúa las vulnerabilidades y asigna niveles de gravedad.
Artifact Analysis califica la gravedad de las vulnerabilidades con los siguientes niveles:
Crítico
Alto
Medio
Baja
Estos niveles de gravedad son etiquetas cualitativas que reflejan factores como la capacidad de explotación, el alcance, el impacto y la madurez de la vulnerabilidad. Por ejemplo, si una vulnerabilidad permite que un usuario remoto acceda a un sistema y ejecute código arbitrario sin autenticación ni interacción del usuario, esa vulnerabilidad se clasificaría como Critical.
Hay dos tipos de gravedad adicionales asociados con cada vulnerabilidad:
Gravedad efectiva: Según el tipo de vulnerabilidad, puede ocurrir lo siguiente:
Paquetes del SO: Es el nivel de gravedad que asigna el encargado de la distribución de Linux. Si estos niveles de gravedad no están disponibles, Artifact Analysis usa el valor de gravedad del proveedor de notas, (NVD). Si la calificación CVSS v2 de NVD no está disponible, Artifact Analysis usa la calificación CVSS v3 de NVD.
Paquetes de idioma: El nivel de gravedad que asigna la base de datos de avisos de GitHub, con una ligera diferencia: Moderado se informa como Medio.
Puntuación de CVSS: La puntuación del sistema Common Vulnerability Scoring System (CVSS) y el nivel de gravedad asociado, con dos versiones de puntuación:
CVSS 2.0: Disponible cuando se usa la API, Google Cloud CLI y la GUI.
CVSS 3.1: Disponible cuando se usan la API y la CLI de gcloud.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-03-06 (UTC)"],[[["Artifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact."],["Severity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability."],["Effective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels."],["The CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels."]]],[]]
