En este documento, se describe cómo subir instrucciones existentes de Vulnerability Exploitability eXchange (VEX) a Artifact Analysis. También puedes subir declaraciones proporcionadas por otros editores.
Las sentencias VEX deben tener el formato según el estándar 2.0 del Formato de aviso de seguridad común (CSAF) en JSON.
Roles obligatorios
Para obtener los permisos que necesitas para subir evaluaciones de VEX y verificar el estado de VEX de las vulnerabilidades, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:
-
Para crear y actualizar notas, usa el rol de Editor de notas de Container Analysis (
roles/containeranalysis.notes.editor
).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Sube las declaraciones de VEX
Ejecuta el comando artifacts vulnerabilities load-vex
para subir datos de VEX y almacenarlos en Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dónde
- CSAF_SOURCE es la ruta de acceso al archivo de instrucciones VEX almacenado de forma local. El archivo debe ser un archivo JSON que siga el esquema CSAF.
- RESOURCE_URI puede ser una de las siguientes opciones:
- la URL completa de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - la URL de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
.
- la URL completa de la imagen, similar a
Artifact Analysis convierte tus instrucciones VEX en notas de Grafeas VulnerabilityAssessment
.
Artifact Analysis almacena las notas de evaluación de vulnerabilidades como una nota por CVE. Las notas se almacenan en la API de Container Analysis, dentro del mismo proyecto que la imagen especificada.
Cuando subes declaraciones de VEX, Artifact Analysis también lleva la información del estado de VEX a los casos de vulnerabilidades asociados para que puedas filtrar las vulnerabilidades por estado de VEX. Si se aplica una sentencia VEX a una imagen, Artifact Analysis transferirá el estado de VEX a todas las versiones de esa imagen, incluidas las versiones enviadas recientemente.
Si una sola versión tiene dos sentencias VEX, una escrita para la URL del recurso y una para la URL de la imagen asociada, la sentencia VEX escrita para la URL del recurso tendrá prioridad y se transferirá al caso de vulnerabilidad.
¿Qué sigue?
- Prioriza los problemas de vulnerabilidad con VEX. Obtén información para ver las sentencias VEX y filtrar vulnerabilidades según su estado de VEX.
- Obtén información para generar una lista de materiales de software (SBOM) para respaldar los requisitos de cumplimiento.
- Busca vulnerabilidades en paquetes de lenguajes y de SO con Artifact Analysis.