Esta página foi traduzida pela API Cloud Translation.

Fazer upload de declarações do VEX

Este documento descreve como fazer upload de instruções Vulnerability Exploitability eXchange (VEX) existentes para o Artifact Analysis. Também é possível fazer upload de declarações fornecidas por outros editores.

As declarações VEX precisam ser formatadas de acordo com o padrão Common Security Advisory Format (CSAF) 2.0 em JSON.

Funções exigidas

Para ter as permissões necessárias para fazer upload de avaliações do VEX e verificar o status das vulnerabilidades do VEX, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para criar e atualizar notas: Editor de notas do Container Analysis (roles/containeranalysis.notes.editor)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Fazer upload de declarações do VEX

Execute o comando artifacts vulnerabilities load-vex para fazer upload dos dados do VEX e armazená-los no Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Onde

CSAF_SOURCE é o caminho para o arquivo de instrução VEX armazenado localmente. O arquivo precisa ser JSON e seguir o esquema CSAF.
RESOURCE_URI pode ser um dos seguintes:
- o URL completo da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
- o URL da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

O Artifact Analysis converte suas instruções VEX em notas Grafeas VulnerabilityAssessment.

O Artifact Analysis armazena notas de avaliação de vulnerabilidade como uma nota por CVE. As anotações são armazenadas na API Container Analysis no mesmo projeto da imagem especificada.

Quando você faz upload de declarações VEX, o Artifact Analysis também carrega informações de status VEX em ocorrências de vulnerabilidade associadas para que você possa filtrar vulnerabilidades por status VEX. Se uma declaração VEX for aplicada a uma imagem, o Artifact Analysis vai transferir o status VEX para todas as versões dessa imagem, incluindo as versões recém-enviadas.

Se uma única versão tiver duas declarações VEX, uma escrita para o URL do recurso e outra para o URL da imagem associada, a declaração VEX escrita para o URL do recurso terá precedência e será transferida para a ocorrência de vulnerabilidade.

A seguir

Priorize problemas de vulnerabilidade usando o VEX. Saiba como visualizar declarações VEX e filtrar vulnerabilidades pelo status VEX.
Saiba como gerar uma lista de materiais de software (SBOM, na sigla em inglês) para atender aos requisitos de compliance.
Verifique se há vulnerabilidades em pacotes de SO e de idiomas com o Artifact Analysis.