Ce document explique comment Artifact Analysis évalue les failles et attribue des niveaux de gravité.
Artifact Analysis évalue la gravité des failles à l'aide des niveaux suivants:
- Critique
- Élevée
- Moyenne
- Faible
Ces niveaux de gravité sont des libellés qualitatifs qui reflètent des facteurs tels que l'exploitabilité, le champ d'application, l'impact et la maturité de la faille. Par exemple, si une faille permet à un utilisateur distant d'accéder à un système et d'exécuter du code arbitraire sans authentification ni interaction de l'utilisateur, cette faille est classée comme Critical.
Deux types de gravité supplémentaires sont associés à chaque faille:
Gravité effective : en fonction du type de faille :
- Packages de l'OS : niveau de gravité attribué par le responsable de la distribution Linux. Si ces niveaux de gravité ne sont pas disponibles, l'Artifact Analysis utilise la valeur de gravité du fournisseur de notes(NVD). Si l'évaluation CVSS v2 de la NVD n'est pas disponible, Artifact Analysis utilise l'évaluation CVSS v3 de la NVD.
- Packages de langues : niveau de gravité attribué par la base de données Advisory GitHub, avec une légère différence : Modéré est indiqué comme Moyen.
Score CVSS : score Common Vulnerability Scoring System et niveau de gravité associé, avec deux versions de notation :
Étape suivante
- Examiner les failles
- Contrôlez les compilations dans votre pipeline Cloud Build en fonction de la gravité des failles.