Importer des instructions VEX

Ce document explique comment importer des déclarations VEX (Vulnerability Exploitability eXchange) existantes dans Artifact Analysis. Vous pouvez également importer des relevés fournis par d'autres éditeurs.

Les déclarations VEX doivent être mises en forme conformément à la norme Common Security Advisory Format (CSAF) 2.0 au format JSON.

Rôles requis

Pour obtenir les autorisations nécessaires pour importer des évaluations VEX et vérifier l'état VEX des failles, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :

• Pour créer et mettre à jour des notes : Éditeur de notes Container Analysis (roles/containeranalysis.notes.editor)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Importer des déclarations VEX

Exécutez la commande artifacts vulnerabilities load-vex pour importer les données VEX et les stocker dans Artifact Analysis :

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Où

• CSAF_SOURCE est le chemin d'accès à votre fichier de déclaration VEX stocké en local. Le fichier doit être au format JSON et respecter le schéma CSAF.
• RESOURCE_URI peut être l'une des valeurs suivantes :
  • URL complète de l'image, semblable à https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • l'URL de l'image, par exemple https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Artifact Analysis convertit vos instructions VEX en notes Grafeas VulnerabilityAssessment.

Artifact Analysis stocke les notes d'évaluation des failles sous forme d'une note par CVE. Les notes sont stockées dans l'API Container Analysis, dans le même projet que l'image spécifiée.

Lorsque vous importez des instructions VEX, Artifact Analysis transfère également les informations sur l'état VEX dans les occurrences de failles associées afin que vous puissiez filtrer les failles par état VEX. Si une instruction VEX est appliquée à une image, Artifact Analysis reporte l'état VEX à toutes les versions de cette image, y compris les versions récemment transférées.

Si une même version comporte deux déclarations VEX, l'une écrite pour l'URL de la ressource et l'autre pour l'URL de l'image associée, la déclaration VEX écrite pour l'URL de la ressource prévaudra et sera reportée sur l'occurrence de la faille.

Étapes suivantes

• Hiérarchisez les problèmes de failles à l'aide de VEX. Découvrez comment afficher les instructions VEX et filtrer les failles en fonction de leur état VEX.
• Découvrez comment générer une nomenclature logicielle (SBOM) pour répondre aux exigences de conformité.
• Recherchez les failles dans les packages de système d'exploitation et les packages de langage avec Artifact Analysis.