Dokumen ini menjelaskan cara mengupload pernyataan Vulnerability Exploitability eXchange (VEX) yang ada ke Artifact Analysis. Anda juga dapat mengupload pernyataan yang diberikan oleh penayang lain.
Pernyataan VEX harus diformat sesuai dengan standar Common Security Advisory Format (CSAF) 2.0 dalam JSON.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna mengupload penilaian VEX dan memeriksa status kerentanan VEX, minta administrator untuk memberi Anda peran IAM berikut pada project:
-
Untuk membuat dan memperbarui catatan:
Container Analysis Notes Editor (
roles/containeranalysis.notes.editor
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengupload pernyataan VEX
Jalankan perintah
artifacts vulnerabilities load-vex
untuk mengupload data VEX dan menyimpannya di Analisis Artefak:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dari mana
- CSAF_SOURCE adalah jalur ke file pernyataan VEX yang disimpan secara lokal. File harus berupa file JSON yang mengikuti skema CSAF.
- RESOURCE_URI dapat berupa salah satu dari:
- URL lengkap gambar, mirip dengan
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - URL gambar, mirip dengan
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
.
- URL lengkap gambar, mirip dengan
Analisis Artefak mengonversi pernyataan VEX Anda menjadi catatan Grafeas VulnerabilityAssessment
.
Artifact Analysis menyimpan catatan penilaian kerentanan sebagai satu catatan per CVE. Catatan disimpan di Container Analysis API, dalam project yang sama dengan image yang ditentukan.
Saat Anda mengupload pernyataan VEX, Artifact Analysis juga akan membawa informasi status VEX ke kejadian kerentanan terkait sehingga Anda dapat memfilter kerentanan berdasarkan status VEX. Jika pernyataan VEX diterapkan ke image, Artifact Analysis akan meneruskan status VEX ke semua versi image tersebut, termasuk versi yang baru di-push.
Jika satu versi memiliki dua pernyataan VEX, satu ditulis untuk URL resource dan satu lagi ditulis untuk URL gambar terkait, pernyataan VEX yang ditulis untuk URL resource akan diprioritaskan dan akan diterapkan ke terjadinya kerentanan.
Langkah selanjutnya
- Prioritaskan masalah kerentanan menggunakan VEX. Pelajari cara melihat pernyataan VEX dan memfilter kerentanan berdasarkan status VEX-nya.
- Pelajari cara membuat bill of materials software (SBOM) untuk mendukung persyaratan kepatuhan.
- Pindai kerentanan dalam paket OS dan paket bahasa dengan Artifact Analysis.