Carica le dichiarazioni VEX

Questo documento descrive come caricare le dichiarazioni Vulnerability Exploitability eXchange (VEX) esistenti in Artifact Analysis. Puoi anche caricare dichiarazioni fornite da altri editori.

Le istruzioni VEX devono essere formattate in base allo standard 2.0 in formato JSON del Common Security Advisory Format (CSAF).

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per caricare le valutazioni VEX e controllare lo stato VEX delle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Carica le dichiarazioni VEX

Esegui il comando artifacts vulnerabilities load-vex per caricare i dati VEX e archiviarli in Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Dove

  • CSAF_SOURCE è il percorso del file di istruzioni VEX archiviato localmente. Il file deve essere un file JSON che rispetti lo schema CSAF.
  • RESOURCE_URI può essere uno dei seguenti:
    • L'URL completo dell'immagine, simile a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
    • l'URL dell'immagine, simile a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

L'Artifact Analysis converte le istruzioni VEX in note Grafeas VulnerabilityAssessment.

Artifact Analysis memorizza le note relative alla valutazione delle vulnerabilità come una nota per ogni CVE. Le note vengono archiviate nell'API Container Analysis, nello stesso progetto dell'immagine specificata.

Quando carichi le dichiarazioni VEX, Artifact Analysis trasferisce anche le informazioni sullo stato VEX alle occorrenza di vulnerabilità associate in modo da poter filtrare le vulnerabilità in base allo stato VEX. Se a un'immagine viene applicata un'istruzione VEX, Artifact Analysis trasferisce lo stato VEX a tutte le versioni dell'immagine, incluse le versioni appena sottoposte a push.

Se una singola versione contiene due istruzioni VEX, una scritta per l'URL della risorsa e una per l'URL dell'immagine associata, l'istruzione VEX scritta per l'URL della risorsa avrà la precedenza e verrà trasferita all'occorrenza della vulnerabilità.

Passaggi successivi