Questo documento descrive come caricare le dichiarazioni Vulnerability Exploitability eXchange (VEX) esistenti in Artifact Analysis. Puoi anche caricare dichiarazioni fornite da altri editori.
Le istruzioni VEX devono essere formattate in base allo standard 2.0 in formato JSON del Common Security Advisory Format (CSAF).
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per caricare le valutazioni VEX e controllare lo stato VEX delle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Per creare e aggiornare le note:
Editor di note Container Analysis (
roles/containeranalysis.notes.editor
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Carica le dichiarazioni VEX
Esegui il comando
artifacts vulnerabilities load-vex
per caricare i dati VEX e archiviarli in Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dove
- CSAF_SOURCE è il percorso del file di istruzioni VEX archiviato localmente. Il file deve essere un file JSON che rispetti lo schema CSAF.
- RESOURCE_URI può essere uno dei seguenti:
- L'URL completo dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - l'URL dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
.
- L'URL completo dell'immagine, simile a
L'Artifact Analysis converte le istruzioni VEX in
note Grafeas VulnerabilityAssessment
.
Artifact Analysis memorizza le note relative alla valutazione delle vulnerabilità come una nota per ogni CVE. Le note vengono archiviate nell'API Container Analysis, nello stesso progetto dell'immagine specificata.
Quando carichi le dichiarazioni VEX, Artifact Analysis trasferisce anche le informazioni sullo stato VEX alle occorrenza di vulnerabilità associate in modo da poter filtrare le vulnerabilità in base allo stato VEX. Se a un'immagine viene applicata un'istruzione VEX, Artifact Analysis trasferisce lo stato VEX a tutte le versioni dell'immagine, incluse le versioni appena sottoposte a push.
Se una singola versione contiene due istruzioni VEX, una scritta per l'URL della risorsa e una per l'URL dell'immagine associata, l'istruzione VEX scritta per l'URL della risorsa avrà la precedenza e verrà trasferita all'occorrenza della vulnerabilità.
Passaggi successivi
- Assegna la priorità ai problemi di vulnerabilità utilizzando VEX. Scopri come visualizzare le istruzioni VEX e filtrare le vulnerabilità in base al loro stato VEX.
- Scopri come generare una distinta dei componenti software (SBOM) per supportare i requisiti di conformità.
- Ricerca di vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di linguaggio con Artifact Analysis.