Carregue declarações VEX

Este documento descreve como carregar declarações existentes da Vulnerability Exploitability eXchange (VEX) para a análise de artefactos. Também pode carregar extratos fornecidos por outros publicadores.

As declarações VEX têm de ser formatadas de acordo com a norma Common Security Advisory Format (CSAF) 2.0 em JSON.

Funções necessárias

Para receber as autorizações de que precisa para carregar avaliações VEX e verificar o estado VEX das vulnerabilidades, peça ao seu administrador que lhe conceda as seguintes funções de IAM no projeto:

• Para criar e atualizar notas: Editor de notas da análise de contentores (roles/containeranalysis.notes.editor)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Carregue declarações VEX

Execute o comando artifacts vulnerabilities load-vex para carregar dados VEX e armazená-los na análise de artefactos:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Onde

• CSAF_SOURCE é o caminho para o ficheiro de declaração VEX armazenado localmente. O ficheiro tem de ser um ficheiro JSON que siga o esquema CSAF.
• RESOURCE_URI pode ser um dos seguintes:
  • O URL completo da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • O URL da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

A análise de artefactos converte as suas declarações VEX em notas do Grafeas VulnerabilityAssessment.

A análise de artefactos armazena notas de avaliação de vulnerabilidades como uma nota por CVE. As notas são armazenadas na API Container Analysis, no mesmo projeto que a imagem especificada.

Quando carrega declarações VEX, a análise de artefactos também transfere informações de estado VEX para ocorrências de vulnerabilidades associadas, para que possa filtrar as vulnerabilidades por estado VEX. Se uma declaração VEX for aplicada a uma imagem, a análise de artefactos transfere o estado VEX para todas as versões dessa imagem, incluindo as versões enviadas recentemente.

Se uma única versão tiver duas declarações VEX, uma escrita para o URL do recurso e outra escrita para o URL da imagem associada, a declaração VEX escrita para o URL do recurso tem precedência e é transferida para a ocorrência da vulnerabilidade.

O que se segue?

• Priorize problemas de vulnerabilidade com o VEX. Saiba como ver declarações VEX e filtrar vulnerabilidades pelo respetivo estado VEX.
• Saiba como gerar uma lista de materiais de software (SBOM) para apoiar os requisitos de conformidade.
• Procure vulnerabilidades em pacotes de SO e pacotes de idiomas com a análise de artefactos.