העלאת דוחות VEX

במאמר הזה מוסבר איך להעלות הצהרות קיימות של Vulnerability Exploitability eXchange (VEX) (החלפת מידע על פגיעויות שניתן לנצל) ל-Artifact Analysis. אפשר גם להעלות הצהרות שסופקו על ידי בעלי תוכן דיגיטלי אחרים.

ההצהרות של VEX צריכות להיות בפורמט JSON בהתאם לתקן Common Security Advisory Format (CSAF) 2.0.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות להעלאת הערכות VEX ולבדיקת סטטוס ה-VEX של נקודות חולשה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

העלאת דוחות VEX

מריצים את הפקודה artifacts vulnerabilities load-vex כדי להעלות נתוני VEX ולאחסן אותם ב-Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

כאשר:

  • CSAF_SOURCE הוא הנתיב לקובץ הצהרת ה-VEX שמאוחסן באופן מקומי. הקובץ חייב להיות קובץ JSON לפי סכימת CSAF.
  • הערך של RESOURCE_URI יכול להיות אחד מהערכים הבאים:
    • כתובת ה-URL המלאה של התמונה, למשל https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
    • כתובת ה-URL של התמונה, למשל https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

הכלי Artifact Analysis ממיר את הצהרות ה-VEX שלכם לפתקים של Grafeas VulnerabilityAssessment.

ב-Artifact Analysis, הערות של הערכת נקודות חולשה נשמרות כהערה אחת לכל CVE. ההערות מאוחסנות ב-Container Analysis API, באותו פרויקט כמו התמונה שצוינה.

כשמעלים הצהרות VEX, Artifact Analysis מעביר גם מידע על סטטוס VEX אל מקרים של פגיעויות שמשויכים להצהרות האלה, כדי שתוכלו לסנן פגיעויות לפי סטטוס VEX. אם הצהרת VEX מוחלת על תמונה, Artifact Analysis מעביר את סטטוס ה-VEX לכל הגרסאות של התמונה, כולל גרסאות חדשות שנדחפו.

אם לגרסה מסוימת יש שני הצהרות VEX, אחת שנכתבה עבור כתובת ה-URL של המשאב ואחת שנכתבה עבור כתובת ה-URL של התמונה המשויכת, הצהרת ה-VEX שנכתבה עבור כתובת ה-URL של המשאב תקבל עדיפות ותועבר למופע הפגיעות.

המאמרים הבאים