En este documento, se describe cómo subir declaraciones existentes de Vulnerability Exploitability eXchange (VEX) a Artifact Analysis. También puedes subir estados de cuenta proporcionados por otros editores.
Las declaraciones de VEX deben tener el formato según el estándar Common Security Advisory Format (CSAF) 2.0 en JSON.
Roles requeridos
Para obtener los permisos que necesitas para subir evaluaciones de VEX y verificar el estado de VEX de las vulnerabilidades, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:
-
Para crear y actualizar notas, usa el rol de Editor de notas de Container Analysis (
roles/containeranalysis.notes.editor).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Sube declaraciones de VEX
Ejecuta el comando artifacts vulnerabilities load-vex para subir los datos de VEX y almacenarlos en Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dónde
- CSAF_SOURCE es la ruta de acceso al archivo de la declaración de VEX almacenado de forma local. El archivo debe ser un archivo JSON que siga el esquema de CSAF.
- RESOURCE_URI puede ser uno de los siguientes valores:
- La URL completa de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH - La URL de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- La URL completa de la imagen, similar a
Artifact Analysis convierte tus declaraciones de VEX en notas de Grafeas VulnerabilityAssessment.
Artifact Analysis almacena las notas de evaluación de vulnerabilidades como una nota por CVE. Las notas se almacenan en la API de Container Analysis, dentro del mismo proyecto que la imagen especificada.
Cuando subes declaraciones de VEX, Artifact Analysis también incluye información del estado de VEX en los casos de vulnerabilidades asociados para que puedas filtrar las vulnerabilidades por estado de VEX. Si se aplica una declaración de VEX a una imagen, Artifact Analysis transferirá el estado de VEX a todas las versiones de esa imagen, incluidas las versiones que se enviaron recientemente.
Si una sola versión tiene dos declaraciones de VEX, una escrita para la URL del recurso y otra para la URL de la imagen asociada, la declaración de VEX escrita para la URL del recurso tendrá prioridad y se transferirá a la ocurrencia de vulnerabilidad.
¿Qué sigue?
- Prioriza los problemas de vulnerabilidad con VEX. Obtén información para ver las declaraciones de VEX y filtrar las vulnerabilidades según su estado de VEX.
- Obtén más información para generar una lista de materiales de software (SBOM) que respalde los requisitos de cumplimiento.
- Analiza en busca de vulnerabilidades los paquetes del SO y los paquetes de lenguajes con Artifact Analysis.