Este documento descreve como a Análise de artefatos avalia vulnerabilidades e
atribui níveis de gravidade.
O Artifact Analysis classifica a gravidade da vulnerabilidade usando os seguintes níveis:
Crítico
Alta
Médio
Baixo
Esses níveis de gravidade são rótulos qualitativos que refletem fatores como
capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade. Por exemplo,
se uma vulnerabilidade permitir que um usuário remoto acesse um sistema e execute um código
arbitrário sem autenticação ou interação com o usuário, essa vulnerabilidade
será classificada como Critical.
Dois tipos de gravidade adicionais estão associados a cada vulnerabilidade:
Gravidade efetiva: dependendo do tipo de vulnerabilidade:
Pacotes do SO: o nível de gravidade atribuído pelo administrador da distribuição
Linux. Se esses níveis de gravidade estiverem indisponíveis,
a Análise de artefatos vai usar o valor de gravidade do provedor de notas,
(NVD). Se a classificação CVSS v2 do NVD não estiver
disponível, a Análise de artefatos vai usar a classificação CVSS v3 do NVD.
Pacotes de idioma: o nível de gravidade atribuído pelo
GitHub Advisory Database, com uma pequena diferença:
Moderado é informado como Médio.
Pontuação CVSS: a pontuação do sistema de pontuação de vulnerabilidade comum (CVSS, na sigla em inglês) e o nível de gravidade associado, com duas versões de pontuação:
CVSS 2.0: disponível ao
usar a API, a CLI do Google Cloud e a GUI.
CVSS 3.1: disponível ao
usar a API e a CLI gcloud.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-03-24 UTC."],[[["Artifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact."],["Severity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability."],["Effective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels."],["The CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels."]]],[]]
