Dokumen ini menjelaskan cara melihat pernyataan Vulnerability Exploitability eXchange (VEX) yang disimpan di Artifact Analysis dan memfilter kerentanan menggunakan status VEX.
Penegakan keamanan dan kebijakan dapat menggunakan fitur ini untuk memprioritaskan tugas mitigasi masalah keamanan. Anda juga dapat menggunakan data VEX untuk membuktikan komposisi artefak guna membantu organisasi Anda memenuhi persyaratan peraturan.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna mengupload penilaian VEX dan memeriksa status kerentanan VEX, minta administrator untuk memberi Anda peran IAM berikut pada project:
-
Untuk melihat kemunculan kerentanan:
Container Analysis Occurrences Viewer (
roles/containeranalysis.occurrences.viewer
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Melihat status VEX di konsol Google Cloud
Untuk melihat informasi VEX untuk image container yang disimpan di Artifact Registry:
Buka halaman Repositori Artifact Registry.
Halaman ini menampilkan daftar repositori Anda.
Di daftar repositori, klik nama repositori.
Di daftar gambar, klik nama gambar.
Daftar ringkasan gambar akan terbuka.
Di daftar ringkasan, klik nama ringkasan.
Halaman detail ringkasan akan terbuka dengan baris tab. Secara default, tab Ringkasan terbuka.
Di baris tab, pilih tab Vulnerabilities.
Halaman ini menampilkan ringkasan Hasil pemindaian dengan bagian VEX Status.
Bagian ringkasan Status VEX menampilkan jumlah paket yang dikategorikan menurut setiap jenis status VEX. Untuk melihat semua paket dengan status VEX tertentu, klik angka di samping jenis status.
Tab Vulnerabilities juga menampilkan status VEX untuk setiap paket dalam daftar kerentanan.
Untuk memfilter daftar kerentanan:
- Di atas daftar kerentanan, klik Filter kerentanan.
- Pilih filter dari daftar filter.
- Tentukan nilai yang ingin digunakan untuk memfilter daftar.
Melihat status VEX di Cloud Build
Jika menggunakan Cloud Build, Anda juga dapat melihat informasi VEX di panel samping Insight keamanan dalam konsol Google Cloud.
Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Security insights dalam konsol Google Cloud.
Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.
Melihat menggunakan gcloud CLI
Bagian berikut menjelaskan cara mengambil informasi VEX dan menerapkan filter untuk membatasi hasil berdasarkan kebutuhan Anda.
Melihat info VEX untuk satu artefak
Untuk melihat info VEX yang diupload, Anda dapat membuat kueri API dan mencantumkan catatan dengan
jenis catatan VULNERABILITY_ASSESSMENT
.
Gunakan panggilan API berikut untuk meminta semua catatan penilaian kerentanan untuk artefak yang ditentukan:
curl --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes
Dari mana
- LOCATION adalah lokasi region atau multi-region repositori Anda.
- PROJECT_ID adalah ID untuk project Google Cloud tempat image Anda disimpan di repositori Artifact Registry.
- REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
- IMAGE_NAME adalah nama gambar.
- DIGEST adalah ringkasan gambar, string yang dimulai dengan
sha256:
.
Memfilter kerentanan menurut status VEX
Dengan gcloud, Anda dapat memfilter metadata kerentanan menurut status VEX. Artifact Analysis memfilter berdasarkan status yang disimpan di setiap kejadian kerentanan Grafeas.
Jalankan perintah berikut untuk memfilter kemunculan kerentanan berdasarkan status VEX yang ditentukan:
gcloud artifacts vulnerabilities list RESOURCE_URI \
--occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""
Dari mana
- RESOURCE_URI adalah URL lengkap gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
- STATUS adalah status VEX yang akan difilter, yang dapat berupa salah satu
nilai berikut:
known_affected
,known_not_affected
,under_investigation
, ataufixed
.
Misalnya, jalankan perintah berikut untuk memfilter kemunculan kerentanan
dengan status VEX AFFECTED
:
gcloud artifacts vulnerabilities list RESOURCE_URI \
--occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""
Mencantumkan kerentanan tanpa VEX
Untuk mengidentifikasi kerentanan yang belum memiliki informasi VEX yang terkait, gunakan perintah gcloud berikut:
gcloud artifacts vulnerabilities list /
LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"
Dari mana
- LOCATION adalah lokasi region atau multi-region repositori Anda.
- PROJECT_ID adalah ID untuk project Google Cloud tempat image Anda disimpan di repositori Artifact Registry.
- REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
- IMAGE_NAME adalah nama gambar.
- DIGEST adalah ringkasan gambar, string yang dimulai dengan
sha256:
.
Batasan
- Mengupload pernyataan VEX hanya didukung untuk image container.
- Pernyataan VEX yang diupload tidak dapat diekspor ke dalam standar CSAF, OpenVex, atau SPDX.
Langkah selanjutnya
- Pelajari SBOM.
- Memindai kerentanan dengan Artifact Analysis.