En este documento, se describe cómo subir declaraciones de Vulnerability Exploitability eXchange (VEX) existentes a Artifact Analysis. También puedes subir declaraciones proporcionadas por otros publicadores.
Las declaraciones de VEX deben tener el formato de Common Security Advisory Format (CSAF) 2.0 en JSON.
Roles obligatorios
Para obtener los permisos que necesitas para subir evaluaciones de VEX y verificar el estado de VEX de las vulnerabilidades, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:
-
Para crear y actualizar notas:
Editor de notas de Container Analysis (
roles/containeranalysis.notes.editor)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Sube declaraciones de VEX
Ejecuta el
artifacts vulnerabilities load-vex
comando para subir datos de VEX y almacenarlos en Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dónde
- CSAF_SOURCE es la ruta de acceso a tu archivo de declaración de VEX almacenado de forma local. El archivo debe ser un archivo JSON según el esquema de CSAF.
- RESOURCE_URI puede ser uno de los siguientes:
- La URL completa de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH. - La URL de la imagen, similar a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- La URL completa de la imagen, similar a
Artifact Analysis convierte tus declaraciones de VEX en
notas VulnerabilityAssessment de Grafeas.
Artifact Analysis almacena las notas de evaluación de vulnerabilidades como una nota por CVE. Las notas se almacenan en la API de Container Analysis, dentro del mismo proyecto que la imagen especificada.
Cuando subes declaraciones de VEX, Artifact Analysis también incluye información de estado de VEX en las ocurrencias de vulnerabilidades asociadas para que puedas filtrar las vulnerabilidades por estado de VEX. Si se aplica una declaración de VEX a una imagen, Artifact Analysis transferirá el estado de VEX a todas las versiones de esa imagen, incluidas las versiones recién enviadas.
Si una sola versión tiene dos declaraciones de VEX, una escrita para la URL del recurso y otra para la URL de la imagen asociada, la declaración de VEX escrita para la URL del recurso tendrá prioridad y se transferirá a la ocurrencia de vulnerabilidad.
¿Qué sigue?
- Prioriza los problemas de vulnerabilidad con VEX. Obtén información para ver las declaraciones de VEX y filtrar las vulnerabilidades por su estado de VEX.
- Obtén información para generar una lista de materiales de software (SBOM) para admitir los requisitos de cumplimiento.
- Busca vulnerabilidades en paquetes de SO y paquetes de idiomas con Artifact Analysis.