Questo documento descrive come Artifact Analysis valuta le vulnerabilità e assegna i livelli di gravità.
L'analisi degli elementi valuta la gravità delle vulnerabilità utilizzando i seguenti livelli:
- Critico
- Alta
- Medie
- Bassa
Questi livelli di gravità sono etichette qualitative che riflettono fattori come sfruttabilità, ambito, impatto e maturità della vulnerabilità. Ad esempio, se una vulnerabilità consente a un utente remoto di accedere a un sistema ed eseguire codice arbitrario senza autenticazione o interazione dell'utente, la vulnerabilità verrà classificata come Critical.
A ogni vulnerabilità sono associati altri due tipi di gravità:
Gravità effettiva: a seconda del tipo di vulnerabilità:
- Pacchetti del sistema operativo: il livello di gravità assegnato dal manutentore della distribuzione Linux. Se questi livelli di gravità non sono disponibili, l'analisi degli elementi utilizza il valore di gravità del fornitore di note, (NVD). Se la classificazione CVSS v2 della NVD non è disponibile, l'analisi degli elementi utilizza la classificazione CVSS v3 della NVD.
- Pacchetti di lingue: il livello di gravità assegnato dal database di consulenza di GitHub, con una leggera differenza: Moderato viene segnalato come Medio.
Punteggio CVSS: il punteggio del Common Vulnerability Scoring System e il livello di gravità associato, con due versioni del punteggio:
Passaggi successivi
- Investiga le vulnerabilità.
- Controlla le build nella pipeline Cloud Build in base alla gravità della vulnerabilità.