Ce document explique comment l'analyse des artefacts évalue les failles et attribue des niveaux de gravité.
Artifact Analysis évalue la gravité des failles à l'aide des niveaux suivants:
Critique
Élevée
Moyen
Faible
Ces niveaux de gravité sont des libellés qualitatifs qui reflètent des facteurs tels que l'exploitabilité, le champ d'application, l'impact et la maturité de la faille. Par exemple, si une faille permet à un utilisateur distant d'accéder à un système et d'exécuter du code arbitraire sans authentification ni interaction de l'utilisateur, cette faille est classée comme Critical.
Deux types de gravité supplémentaires sont associés à chaque faille:
Gravité effective : en fonction du type de faille :
Packages de l'OS : niveau de gravité attribué par le responsable de la distribution Linux. Si ces niveaux de gravité ne sont pas disponibles, l'analyse des artefacts utilise la valeur de gravité du fournisseur de notes(NVD). Si l'évaluation CVSS v2 de la NVD n'est pas disponible, Artifact Analysis utilise l'évaluation CVSS v3 de la NVD.
Packages de langues : niveau de gravité attribué par la base de données Advisory GitHub, avec une légère différence : Modéré est indiqué comme Moyen.
Score CVSS : score Common Vulnerability Scoring System et niveau de gravité associé, avec deux versions de notation :
CVSS 2.0 : disponible lorsque vous utilisez l'API, la Google Cloud CLI et l'IUG.
CVSS 3.1 : disponible lorsque vous utilisez l'API et la gcloud CLI.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/03/06 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/03/06 (UTC)."],[[["Artifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact."],["Severity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability."],["Effective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels."],["The CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels."]]],[]]
