Ce document explique comment importer des instructions Vulnerability Exploitability eXchange (VEX) existantes dans l'Artifact Analysis. Vous pouvez également importer des relevés fournis par d'autres éditeurs.
Les instructions VEX doivent être mises en forme conformément à la norme CSAF (Common Security Advisory Format) 2.0 au format JSON.
Rôles requis
Pour obtenir les autorisations nécessaires pour importer des évaluations VEX et vérifier l'état VEX des failles, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet:
-
Pour créer et mettre à jour des notes :
Éditeur de notes Container Analysis (
roles/containeranalysis.notes.editor
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Importer des instructions VEX
Exécutez la commande artifacts vulnerabilities load-vex
pour importer les données VEX et les stocker dans Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Où
- CSAF_SOURCE est le chemin d'accès à votre fichier d'instructions VEX stocké localement. Il doit s'agir d'un fichier JSON suivant le schéma CSAF.
- RESOURCE_URI peut être l'une des valeurs suivantes :
- l'URL complète de l'image, semblable à
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - l'URL de l'image, semblable à
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
.
- l'URL complète de l'image, semblable à
Artifact Analysis convertit vos instructions VEX en notes Grafeas VulnerabilityAssessment
.
Artifact Analysis stocke les notes d'évaluation des failles sous forme d'une note par CVE. Les notes sont stockées dans l'API Container Analysis, dans le même projet que l'image spécifiée.
Lorsque vous importez des instructions VEX, Artifact Analysis transmet également des informations sur l'état VEX aux occurrences de failles associées afin que vous puissiez filtrer les failles par état VEX. Si une instruction VEX est appliquée à une image, Artifact Analysis transfère l'état VEX à toutes les versions de cette image, y compris les versions nouvellement transférées.
Si une version comporte deux instructions VEX, l'une écrite pour l'URL de la ressource et l'autre pour l'URL de l'image associée, l'instruction VEX écrite pour l'URL de la ressource prévaudra et sera transmise à l'occurrence de la faille.
Étape suivante
- Priorisez les problèmes de faille à l'aide de VEX. Découvrez comment afficher les instructions VEX et filtrer les failles en fonction de leur état VEX.
- Découvrez comment générer une nomenclature logicielle (SBOM) pour répondre aux exigences de conformité.
- Analysez les failles des packages de langage et du système d'exploitation avec Artifact Analysis.