Dokumen ini menjelaskan cara Artifact Analysis mengevaluasi kerentanan dan
menetapkan tingkat keparahan.
Artifact Analysis menilai tingkat keparahan kerentanan menggunakan tingkat berikut:
Kritis
Tinggi
Sedang
Rendah
Tingkat keparahan ini adalah label kualitatif yang mencerminkan faktor-faktor seperti
eksploitasi, cakupan, dampak, dan kematangan kerentanan. Misalnya,
jika kerentanan memungkinkan pengguna jarak jauh mengakses sistem dan menjalankan kode
arbitrer tanpa autentikasi atau interaksi pengguna, kerentanan tersebut
akan diklasifikasikan sebagai Critical.
Ada dua jenis keparahan tambahan yang terkait dengan setiap kerentanan:
Keparahan efektif - Bergantung pada jenis kerentanan:
Paket OS - Tingkat keparahan yang ditetapkan oleh pengelola
distribusi Linux. Jika tingkat keparahan ini tidak tersedia,
Analisis Artefak akan menggunakan nilai keparahan dari penyedia catatan,
(NVD). Jika rating CVSS v2 NVD
tidak tersedia, Artifact Analysis akan menggunakan rating CVSS v3 dari NVD.
Paket bahasa - Tingkat keparahan yang ditetapkan oleh
GitHub Advisory Database, dengan sedikit perbedaan:
Sedang dilaporkan sebagai Sedang.
Skor CVSS - Skor Sistem Penskoran Kerentanan Umum dan tingkat keparahan terkait, dengan dua versi penskoran:
CVSS 2.0 - Tersedia saat menggunakan API, Google Cloud CLI, dan GUI.
CVSS 3.1 - Tersedia saat menggunakan API dan gcloud CLI.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-03-24 UTC."],[[["Artifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact."],["Severity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability."],["Effective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels."],["The CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels."]]],[]]
