Este documento descreve como fazer upload de instruções Vulnerability Exploitability eXchange (VEX) para o Artifact Analysis. Também é possível fazer upload de declarações fornecidas por outros editores.
As declarações VEX precisam ser formatadas de acordo com o padrão Common Security Advisory Format (CSAF) 2.0 em JSON.
Funções exigidas
Para ter as permissões necessárias para fazer upload de avaliações do VEX e verificar o status de vulnerabilidades do VEX, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Para criar e atualizar notas:
Editor de notas do Container Analysis (
roles/containeranalysis.notes.editor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Fazer upload de declarações do VEX
Execute o comando
artifacts vulnerabilities load-vex
para fazer upload dos dados do VEX e armazená-los no Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Onde
- CSAF_SOURCE é o caminho do arquivo de instrução VEX armazenado localmente. O arquivo precisa ser JSON e seguir o esquema CSAF.
- RESOURCE_URI pode ser um dos seguintes:
- o URL completo da imagem, semelhante a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - o URL da imagem, semelhante a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
.
- o URL completo da imagem, semelhante a
O Artifact Analysis converte suas instruções VEX em notas
Grafeas VulnerabilityAssessment
.
O Artifact Analysis armazena notas de avaliação de vulnerabilidade como uma nota por CVE. As anotações são armazenadas na API Container Analysis no mesmo projeto da imagem especificada.
Quando você faz upload de declarações VEX, o Artifact Analysis também carrega informações de status VEX em ocorrências de vulnerabilidade associadas para que você possa filtrar vulnerabilidades por status VEX. Se uma declaração VEX for aplicada a uma imagem, o Artifact Analysis vai transferir o status VEX para todas as versões dessa imagem, incluindo as versões recém-enviadas.
Se uma única versão tiver duas declarações VEX, uma escrita para o URL do recurso e outra para o URL da imagem associada, a declaração VEX escrita para o URL do recurso terá precedência e será transferida para a ocorrência de vulnerabilidade.
A seguir
- Priorize problemas de vulnerabilidade usando o VEX. Saiba como visualizar declarações VEX e filtrar vulnerabilidades pelo status VEX.
- Saiba como gerar uma lista de materiais de software (SBOM, na sigla em inglês) para atender aos requisitos de compliance.
- Verifique se há vulnerabilidades em pacotes de SO e de linguagens com Artifact Analysis.