Questo documento descrive come caricare le istruzioni Vulnerability Exploitability eXchange (VEX) esistenti in Artifact Analysis. Puoi anche caricare le dichiarazioni fornite da altri editori.
Le istruzioni VEX devono essere formattate in base allo standard Common Security Advisory Format (CSAF) 2.0 in formato JSON.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per caricare le valutazioni VEX e controllare lo stato VEX delle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Per creare e aggiornare le note:
Container Analysis Notes Editor (
roles/containeranalysis.notes.editor)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Caricare le dichiarazioni VEX
Esegui il comando
artifacts vulnerabilities load-vex
per caricare i dati VEX e archiviarli in Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dove
- CSAF_SOURCE è il percorso del file della dichiarazione VEX archiviato localmente. Il file deve essere un file JSON che segue lo schema CSAF.
- RESOURCE_URI può essere uno dei seguenti:
- l'URL completo dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH. - l'URL dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- l'URL completo dell'immagine, simile a
L'Artifact Analysis converte le tue istruzioni VEX in note Grafeas VulnerabilityAssessment.
Artifact Analysis memorizza le note di valutazione delle vulnerabilità come una nota per CVE. Le note vengono archiviate nell'API Container Analysis, nello stesso progetto dell'immagine specificata.
Quando carichi le istruzioni VEX, Artifact Analysis riporta anche le informazioni sullo stato VEX nelle occorrenze di vulnerabilità associate, in modo da poter filtrare le vulnerabilità in base allo stato VEX. Se una dichiarazione VEX viene applicata a un'immagine, Artifact Analysis riporta lo stato VEX in tutte le versioni dell'immagine, incluse quelle di cui è stato eseguito il push di recente.
Se una singola versione ha due istruzioni VEX, una scritta per l'URL della risorsa e una scritta per l'URL dell'immagine associata, l'istruzione VEX scritta per l'URL della risorsa avrà la precedenza e verrà riportata all'occorrenza della vulnerabilità.
Passaggi successivi
- Assegna la priorità ai problemi di vulnerabilità utilizzando VEX. Scopri come visualizzare le istruzioni VEX e filtrare le vulnerabilità in base al loro stato VEX.
- Scopri come generare una distinta materiali software (SBOM) per soddisfare i requisiti di conformità.
- Analizza le vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di linguaggio con Artifact Analysis.