Subir extractos de VEX

En este documento se describe cómo subir declaraciones Vulnerability Exploitability eXchange (VEX) a Artifact Analysis. También puede subir extractos proporcionados por otros editores.

Las declaraciones VEX deben tener el formato de la norma Common Security Advisory Format (CSAF) 2.0 en JSON.

Roles obligatorios

Para obtener los permisos que necesitas para subir evaluaciones de VEX y comprobar el estado de VEX de las vulnerabilidades, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

• Para crear y actualizar notas, sigue estos pasos: Editor de notas de Container Analysis (roles/containeranalysis.notes.editor)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Subir extractos de VEX

Ejecuta el comando artifacts vulnerabilities load-vex para subir datos de VEX y almacenarlos en Análisis de artefactos:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Dónde

• CSAF_SOURCE es la ruta al archivo de la declaración VEX almacenado localmente. El archivo debe ser un archivo JSON que siga el esquema CSAF.
• RESOURCE_URI puede ser uno de los siguientes:
  • La URL completa de la imagen, similar a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • La URL de la imagen, similar a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Artifact Analysis convierte sus declaraciones VEX en notas de Grafeas VulnerabilityAssessment.

Artifact Analysis almacena las notas de evaluación de vulnerabilidades como una nota por CVE. Las notas se almacenan en la API Container Analysis, en el mismo proyecto que la imagen especificada.

Cuando sube declaraciones VEX, Artifact Analysis también transfiere información sobre el estado VEX a las ocurrencias de vulnerabilidades asociadas para que pueda filtrar las vulnerabilidades por estado VEX. Si se aplica una declaración VEX a una imagen, Artifact Analysis transferirá el estado VEX a todas las versiones de esa imagen, incluidas las que se hayan enviado recientemente.

Si una sola versión tiene dos declaraciones VEX, una escrita para la URL del recurso y otra para la URL de la imagen asociada, la declaración VEX escrita para la URL del recurso tendrá prioridad y se transferirá a la ocurrencia de la vulnerabilidad.

Siguientes pasos

• Prioriza los problemas de vulnerabilidad con VEX. Consulta cómo ver las declaraciones VEX y filtrar las vulnerabilidades por su estado VEX.
• Consulta cómo generar una lista de materiales de software (SBOM) para cumplir los requisitos.
• Busca vulnerabilidades en paquetes de SO y de lenguajes con Artifact Analysis.