Este documento descreve como carregar declarações existentes da Vulnerability Exploitability eXchange (VEX) para a análise de artefactos. Também pode carregar extratos fornecidos por outros publicadores.
As declarações VEX têm de ser formatadas de acordo com a norma Common Security Advisory Format (CSAF) 2.0 em JSON.
Funções necessárias
Para receber as autorizações de que precisa para carregar avaliações VEX e verificar o estado VEX das vulnerabilidades, peça ao seu administrador que lhe conceda as seguintes funções de IAM no projeto:
-
Para criar e atualizar notas:
Editor de notas da análise de contentores (
roles/containeranalysis.notes.editor)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Carregue declarações VEX
Execute o comando
artifacts vulnerabilities load-vex
para carregar dados VEX e armazená-los na análise de artefactos:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Onde
- CSAF_SOURCE é o caminho para o ficheiro de declaração VEX armazenado localmente. O ficheiro tem de ser um ficheiro JSON que siga o esquema CSAF.
- RESOURCE_URI pode ser um dos seguintes:
- O URL completo da imagem, semelhante a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH. - O URL da imagem, semelhante a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- O URL completo da imagem, semelhante a
A análise de artefactos converte as suas declarações VEX em notas do Grafeas VulnerabilityAssessment.
A análise de artefactos armazena notas de avaliação de vulnerabilidades como uma nota por CVE. As notas são armazenadas na API Container Analysis, no mesmo projeto que a imagem especificada.
Quando carrega declarações VEX, a análise de artefactos também transfere informações de estado VEX para ocorrências de vulnerabilidades associadas, para que possa filtrar as vulnerabilidades por estado VEX. Se uma declaração VEX for aplicada a uma imagem, a análise de artefactos transfere o estado VEX para todas as versões dessa imagem, incluindo as versões enviadas recentemente.
Se uma única versão tiver duas declarações VEX, uma escrita para o URL do recurso e outra escrita para o URL da imagem associada, a declaração VEX escrita para o URL do recurso tem precedência e é transferida para a ocorrência da vulnerabilidade.
O que se segue?
- Priorize problemas de vulnerabilidade com o VEX. Saiba como ver declarações VEX e filtrar vulnerabilidades pelo respetivo estado VEX.
- Saiba como gerar uma lista de materiais de software (SBOM) para apoiar os requisitos de conformidade.
- Procure vulnerabilidades em pacotes de SO e pacotes de idiomas com a análise de artefactos.