Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengupload pernyataan VEX

Dokumen ini menjelaskan cara mengupload pernyataan Vulnerability Exploitability eXchange (VEX) yang ada ke Artifact Analysis. Anda juga dapat mengupload pernyataan yang disediakan oleh penayang lain.

Pernyataan VEX harus diformat sesuai dengan standar Common Security Advisory Format (CSAF) 2.0 dalam JSON.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengupload penilaian VEX dan memeriksa status VEX kerentanan, minta administrator untuk memberi Anda peran IAM berikut pada project:

Untuk membuat dan memperbarui catatan: Editor Catatan Container Analysis (roles/containeranalysis.notes.editor)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengupload pernyataan VEX

Jalankan perintah artifacts vulnerabilities load-vex untuk mengupload data VEX dan menyimpannya di Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Di mana

CSAF_SOURCE adalah jalur ke file pernyataan VEX Anda yang disimpan secara lokal. File tersebut harus berupa file JSON yang mengikuti skema CSAF.
RESOURCE_URI dapat berupa salah satu dari:
- URL lengkap gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
- URL gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Artifact Analysis mengonversi pernyataan VEX Anda menjadi catatan VulnerabilityAssessment Grafeas.

Artifact Analysis menyimpan catatan penilaian kerentanan sebagai satu catatan per CVE. Catatan disimpan di Container Analysis API, dalam project yang sama dengan gambar yang ditentukan.

Saat Anda mengupload pernyataan VEX, Artifact Analysis juga membawa informasi status VEX ke kemunculan kerentanan terkait sehingga Anda dapat memfilter kerentanan berdasarkan status VEX. Jika pernyataan VEX diterapkan ke gambar, Artifact Analysis akan meneruskan status VEX ke semua versi gambar tersebut, termasuk versi yang baru di-push.

Jika satu versi memiliki dua pernyataan VEX, satu ditulis untuk URL resource dan satu ditulis untuk URL gambar terkait, pernyataan VEX yang ditulis untuk URL resource akan diprioritaskan dan akan diteruskan ke kemunculan kerentanan.

Langkah berikutnya

Memprioritaskan masalah kerentanan menggunakan VEX. Pelajari cara melihat pernyataan VEX dan memfilter kerentanan berdasarkan status VEX -nya.
Pelajari cara membuat software bill of materials (SBOM) untuk mendukung persyaratan kepatuhan.
Memindai kerentanan dalam paket OS dan paket bahasa dengan Artifact Analysis.

Mengupload pernyataan VEX Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Peran yang diperlukan

Mengupload pernyataan VEX

Langkah berikutnya

Mengupload pernyataan VEX