上傳 VEX 陳述式

本文說明如何將現有的安全漏洞可利用性交換 (VEX) 陳述式上傳至 Artifact Analysis。您也可以上傳其他發布商提供的聲明。

VEX 陳述式必須採用 JSON 格式，並遵循通用安全諮詢格式 (CSAF) 2.0 標準。

必要的角色

如要取得上傳 VEX 評估結果及查看安全漏洞 VEX 狀態所需的權限，請要求管理員授予您專案的下列 IAM 角色：

• 如要建立及更新附註： Container Analysis Notes Editor (roles/containeranalysis.notes.editor)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

上傳 VEX 聲明

執行 artifacts vulnerabilities load-vex 指令，上傳 VEX 資料並儲存在 Artifact Analysis 中：

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

地點

• CSAF_SOURCE 是儲存在本機的 VEX 陳述式檔案路徑。檔案必須是遵循 CSAF 結構定義的 JSON 檔案。
• RESOURCE_URI 可以是下列任一值：
  • 圖片的完整網址，類似於 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH。
  • 圖片網址，類似於 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID。

構件分析會將 VEX 陳述式轉換為 Grafeas VulnerabilityAssessment 記事。

Artifact Analysis 會將安全漏洞評估附註儲存為每個 CVE 各一則附註。附註會儲存在 Container Analysis API 中，與指定映像檔位於同一個專案。

上傳 VEX 陳述式時，Artifact Analysis 也會將 VEX 狀態資訊帶入相關聯的安全漏洞例項，方便您依據 VEX 狀態篩選安全漏洞。如果 VEX 陳述式套用至映像檔，Artifact Analysis 會將 VEX 狀態沿用至該映像檔的所有版本，包括新推送的版本。

如果單一版本有兩份 VEX 聲明，一份是為資源網址撰寫，另一份是為相關聯的圖片網址撰寫，則為資源網址撰寫的 VEX 聲明會優先處理，並沿用至安全性弱點事件。

後續步驟

• 使用 VEX 判斷安全漏洞問題的優先順序。瞭解如何查看 VEX 聲明，以及依 VEX 狀態篩選安全漏洞。
• 瞭解如何產生軟體物料清單 (SBOM)，以符合法規要求。
• 使用 Artifact Analysis 掃描 OS 套件和語言套件的安全漏洞。