רמות החומרה ב-Artifact Analysis

במאמר הזה מוסבר איך Artifact Analysis מעריך נקודות חולשה ומקצה רמות חומרה.

Artifact Analysis מדרג את חומרת נקודות החולשה לפי הרמות הבאות:

• קריטית
• גבוהה
• בינוני
• נמוכה

רמות החומרה האלה הן תוויות איכותיות שמשקפות גורמים כמו פגיעות לניצול, היקף, השפעה ומידת הבשלות של הפגיעות. לדוגמה, אם פגיעות מאפשרת למשתמש מרוחק לגשת למערכת ולהריץ קוד שרירותי ללא אימות או אינטראקציה עם המשתמש, הפגיעות הזו תסווג כCritical.

לכל פגיעות משויכים שני סוגים נוספים של חומרה:

• רמת החומרה בפועל – בהתאם לסוג הפגיעות:

  • חבילות של מערכת הפעלה – רמת החומרה שהוקצתה על ידי האחראי על הפצת Linux. אם רמות החומרה האלה לא זמינות, הכלי לניתוח ארטיפקטים משתמש בערך החומרה מספק ההערות, (NVD). אם דירוג CVSS v2 של NVD לא זמין, Artifact Analysis משתמש בדירוג CVSS v3 מ-NVD.
  • חבילות שפה – רמת החומרה שמוקצית על ידי GitHub Advisory Database, עם הבדל קל: Moderate מדווחת כ-Medium.

• ציון CVSS – הציון של מערכת הדירוג הנפוצה לחולשות (CVSS) ורמת החומרה המשויכת, עם שתי גרסאות דירוג:

  • ‫CVSS 2.0 – זמין כשמשתמשים ב-API, ב-Google Cloud CLI ובממשק המשתמש הגרפי.
  • ‫CVSS 3.1 – זמין כשמשתמשים ב-API וב-CLI של gcloud.

המאמרים הבאים

• חקירת נקודות חולשה
• הגדרת שערים לגרסאות ה-build בצינור Cloud Build על סמך רמת החומרה של נקודות החולשה.