Importer des instructions VEX

Ce document explique comment importer des instructions Vulnerability Exploitability eXchange (VEX) existantes dans l'Artifact Analysis. Vous pouvez également importer des relevés fournis par d'autres éditeurs.

Les instructions VEX doivent être mises en forme conformément à la norme CSAF (Common Security Advisory Format) 2.0 au format JSON.

Rôles requis

Pour obtenir les autorisations nécessaires pour importer des évaluations VEX et vérifier l'état VEX des failles, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Importer des instructions VEX

Exécutez la commande artifacts vulnerabilities load-vex pour importer les données VEX et les stocker dans Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

  • CSAF_SOURCE est le chemin d'accès à votre fichier d'instructions VEX stocké localement. Il doit s'agir d'un fichier JSON suivant le schéma CSAF.
  • RESOURCE_URI peut être l'une des valeurs suivantes :
    • l'URL complète de l'image, semblable à https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
    • l'URL de l'image, semblable à https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Artifact Analysis convertit vos instructions VEX en notes Grafeas VulnerabilityAssessment.

Artifact Analysis stocke les notes d'évaluation des failles sous forme d'une note par CVE. Les notes sont stockées dans l'API Container Analysis, dans le même projet que l'image spécifiée.

Lorsque vous importez des instructions VEX, Artifact Analysis transmet également des informations sur l'état VEX aux occurrences de failles associées afin que vous puissiez filtrer les failles par état VEX. Si une instruction VEX est appliquée à une image, Artifact Analysis transfère l'état VEX à toutes les versions de cette image, y compris les versions nouvellement transférées.

Si une version comporte deux instructions VEX, l'une écrite pour l'URL de la ressource et l'autre pour l'URL de l'image associée, l'instruction VEX écrite pour l'URL de la ressource prévaudra et sera transmise à l'occurrence de la faille.

Étape suivante