Artifact Analysis の重大度レベル

このドキュメントでは、Artifact Analysis が脆弱性を評価し、重大度レベルを割り当てる方法について説明します。

Artifact Analysis は、次のレベルを使用して脆弱性の重大度を評価します。

• 重大
• 高
• 中
• 低

これらの重大度は、脆弱性が悪用される可能性、その範囲、影響、成熟度などの要素を表す定性的なラベルです。たとえば、脆弱性の悪用によりリモートからシステムにアクセスし、認証やユーザーの操作を行わずに任意のコードを実行できる場合、この脆弱性は Critical に分類されます。

脆弱性には、次の 2 種類の重大度が関連付けられます。

• 有効な重大度 - 脆弱性の種類に応じて次のようになります。

  • OS パッケージ - Linux ディストリビューションのメンテナンス担当者によって割り当てられた重大度。これらの重大度が使用できない場合、Artifact Analysis はメモ プロバイダ（NVD）の重大度値を使用します。NVD の CVSS v2 レーティングを使用できない場合、Artifact Analysis は NVD の CVSS v3 レーティングを使用します。
  • 言語パッケージ - GitHub Advisory Database によって割り当てられた重大度レベル。ただし、中程度は 中程度と報告されます。

• CVSS スコア - Common Vulnerability Scoring System スコアとそれに関連する重大度。スコアには次の 2 つのバージョンがあります。

  • CVSS 2.0 - API、Google Cloud CLI、GUI を使用している場合に使用できます。
  • CVSS 3.1 - API と gcloud CLI を使用している場合に使用できます。

次のステップ

• 脆弱性を調査する。
• 脆弱性の重大度に基づいて Cloud Build パイプラインのビルドを制御する。