VEX 문 업로드

이 문서에서는 기존 Vulnerability Exploitability eXchange (VEX) 문을 Artifact Analysis에 업로드하는 방법을 설명합니다. 다른 게시자가 제공한 명세서를 업로드할 수도 있습니다.

VEX 문은 JSON의 Common Security Advisory Format (CSAF) 2.0 표준에 따라 형식이 지정되어야 합니다.

필요한 역할

VEX 평가를 업로드하고 취약점의 VEX 상태를 확인하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.

• 메모 만들기 및 업데이트: 컨테이너 분석 메모 편집자 (roles/containeranalysis.notes.editor)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

VEX 문 업로드

artifacts vulnerabilities load-vex 명령어를 실행하여 VEX 데이터를 업로드하고 Artifact Analysis에 저장합니다.

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

WHERE

• CSAF_SOURCE은 로컬에 저장된 VEX 문 파일의 경로입니다. 파일은 CSAF 스키마를 따르는 JSON 파일이어야 합니다.
• RESOURCE_URI은 다음 중 하나일 수 있습니다.
  • 이미지의 전체 URL(예: https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH)
  • 이미지 URL(예: https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID)

Artifact Analysis는 VEX 문을 Grafeas VulnerabilityAssessment 참고사항으로 변환합니다.

Artifact Analysis는 취약점 평가 메모를 CVE당 하나의 메모로 저장합니다. 메모는 지정된 이미지와 동일한 프로젝트 내의 Container Analysis API에 저장됩니다.

VEX 문을 업로드하면 Artifact Analysis는 VEX 상태 정보를 연결된 취약점 발생에도 전달하므로 VEX 상태별로 취약점을 필터링할 수 있습니다. VEX 문이 이미지에 적용되면 Artifact Analysis는 새로 푸시된 버전을 비롯한 해당 이미지의 모든 버전에 VEX 상태를 전달합니다.

단일 버전에 두 개의 VEX 문이 있는 경우(하나는 리소스 URL용으로 작성되고 다른 하나는 연결된 이미지 URL용으로 작성됨) 리소스 URL용으로 작성된 VEX 문이 우선하며 취약점 발생으로 전달됩니다.

다음 단계

• VEX를 사용하여 취약점 문제의 우선순위를 지정합니다. VEX 문을 확인하고 VEX 상태별로 취약점을 필터링하는 방법을 알아보세요.
• 규정 준수 요구사항을 지원하기 위해 소프트웨어 재료명세서 (SBOM)를 생성하는 방법을 알아보세요.
• Artifact Analysis를 사용하여 OS 패키지 및 언어 패키지의 취약점을 스캔합니다.