Diese Seite wurde von der Cloud Translation API übersetzt.

VEX-Erklärungen hochladen

In diesem Dokument wird beschrieben, wie Sie vorhandene Vulnerability Exploitability eXchange (VEX)-Anweisungen in die Artefaktanalyse hochladen. Sie können auch Erklärungen von anderen Publishern hochladen.

VEX-Anweisungen müssen gemäß dem Common Security Advisory Format (CSAF) 2.0-Standard im JSON-Format formatiert sein.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Hochladen von VEX-Bewertungen und zum Prüfen des VEX-Status von Sicherheitslücken benötigen:

So erstellen und aktualisieren Sie Hinweise: Bearbeiter von Container Analysis-Hinweisen (roles/containeranalysis.notes.editor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VEX-Erklärungen hochladen

Führen Sie den Befehl artifacts vulnerabilities load-vex aus, um VEX-Daten hochzuladen und in der Artefaktanalyse zu speichern:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Dabei gilt:

CSAF_SOURCE ist der Pfad zur lokal gespeicherten VEX-Anweisungsdatei. Die Datei muss eine JSON-Datei sein, die dem CSAF-Schema entspricht.
RESOURCE_URI kann einer der folgenden Werte sein:
- die vollständige URL des Bildes, z. B. https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
- die Bild-URL, z. B. https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Bei der Artefaktanalyse werden Ihre VEX-Anweisungen in Grafeas VulnerabilityAssessment-Hinweise umgewandelt.

In Artefaktanalyse werden Hinweise zur Sicherheitslückenbewertung als ein Hinweis pro CVE gespeichert. Anmerkungen werden in der Container Analysis API im selben Projekt wie das angegebene Image gespeichert.

Wenn Sie VEX-Erklärungen hochladen, überträgt die Artefaktanalyse auch Informationen zum VEX-Status in die zugehörigen Sicherheitslücken-Vorkommen, damit Sie Sicherheitslücken nach VEX-Status filtern können. Wenn eine VEX-Anweisung auf ein Image angewendet wird, überträgt die Artefaktanalyse den VEX-Status auf alle Versionen dieses Images, einschließlich neu gepushter Versionen.

Wenn eine einzelne Version zwei VEX-Anweisungen enthält, eine für die Ressourcen-URL und eine für die zugehörige Bild-URL, hat die VEX-Anweisung für die Ressourcen-URL Vorrang und wird in das Sicherheitsrisiko übernommen.

Nächste Schritte

Priorisieren Sie Sicherheitslücken mit VEX. Informationen zum Ansehen von VEX-Erklärungen und zum Filtern von Sicherheitslücken nach VEX-Status
Informationen zum Erstellen einer Software-Bestellliste (SBOM)
Mit der Artefaktanalyse können Sie Betriebssystem- und Sprachpakete auf Sicherheitslücken prüfen.