本文档介绍了如何将现有的 Vulnerability Exploitability eXchange (VEX) 语句上传到 Artifact Analysis。您还可以上传其他发布商提供的声明。
VEX 语句的格式必须符合 JSON 中的 Common Security Advisory Format (CSAF) 2.0 标准。
所需的角色
如需获得上传 VEX 评估和查看漏洞的 VEX 状态所需的权限,请让管理员向您授予项目的以下 IAM 角色:
-
如需创建和更新备注,请使用 Container Analysis Notes Editor (
roles/containeranalysis.notes.editor)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
上传 VEX 声明
运行 artifacts vulnerabilities load-vex 命令以上传 VEX 数据并将其存储在 Artifact Analysis 中:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
地点
- CSAF_SOURCE 是本地存储的 VEX 语句文件的路径。该文件必须是遵循 CSAF 架构的 JSON 文件。
- RESOURCE_URI 可以是以下各项之一:
- 图片的完整网址,类似于
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH。 - 图片网址,类似于
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID。
- 图片的完整网址,类似于
Artifact Analysis 会将您的 VEX 语句转换为 Grafeas VulnerabilityAssessment 备注。
Artifact Analysis 会按 CVE 存储一个漏洞评估备注。备注存储在 Container Analysis API 中,与指定映像位于同一项目中。
当您上传 VEX 语句时,Artifact Analysis 还会将 VEX 状态信息传入关联的漏洞出现实例,以便您按 VEX 状态过滤漏洞。如果对映像应用 VEX 语句,Artifact Analysis 会将 VEX 状态传递到该映像的所有版本,包括新推送的版本。
如果单个版本有两个 VEX 语句,一个针对资源网址编写,另一个针对关联的图片网址编写,则针对资源网址编写的 VEX 语句将优先,并会传递到漏洞出现情况。
后续步骤
- 使用 VEX 确定漏洞问题的优先级。了解如何查看 VEX 语句以及按 VEX 状态过滤漏洞。
- 了解如何生成软件物料清单 (SBOM) 以满足合规性要求。
- 使用 Artifact Analysis 在操作系统软件包和语言软件包中扫描漏洞。