Questo documento descrive come caricare le istruzioni Vulnerability Exploitability eXchange (VEX) esistenti in Artifact Analysis. Puoi anche caricare le istruzioni fornite da altri publisher.
Le istruzioni VEX devono essere formattate in base allo standard Common Security Advisory Format (CSAF) 2.0 in JSON.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per caricare le valutazioni VEX e controllare lo stato VEX delle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Per creare e aggiornare le note:
Container Analysis Notes Editor (
roles/containeranalysis.notes.editor)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Caricare le istruzioni VEX
Esegui il
artifacts vulnerabilities load-vex
comando per caricare i dati VEX e archiviarli in Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Dove
- CSAF_SOURCE è il percorso del file di istruzioni VEX archiviato localmente. Il file deve essere un file JSON che segue lo schema CSAF.
- RESOURCE_URI può essere uno dei seguenti:
- L'URL completo dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH. - L'URL dell'immagine, simile a
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- L'URL completo dell'immagine, simile a
Artifact Analysis converte le istruzioni VEX in
note VulnerabilityAssessment di Grafeas.
Artifact Analysis archivia le note di valutazione delle vulnerabilità come una nota per ogni CVE. Le note vengono archiviate nell'API Container Analysis, nello stesso progetto dell'immagine specificata.
Quando carichi le istruzioni VEX, Artifact Analysis riporta anche le informazioni sullo stato VEX nelle occorrenze di vulnerabilità associate, in modo che tu possa filtrare le vulnerabilità in base allo stato VEX. Se un'istruzione VEX viene applicata a un'immagine, Artifact Analysis riporta lo stato VEX a tutte le versioni dell'immagine, incluse le versioni appena inviate.
Se una singola versione ha due istruzioni VEX, una scritta per l'URL della risorsa e una scritta per l'URL dell'immagine associata, l'istruzione VEX scritta per l'URL della risorsa avrà la precedenza e verrà riportata all'occorrenza della vulnerabilità.
Passaggi successivi
- Dai la priorità ai problemi di vulnerabilità utilizzando VEX. Scopri come visualizzare le istruzioni VEX e filtrare le vulnerabilità in base al loro stato VEX.
- Scopri come generare una distinta base software (SBOM) per supportare i requisiti di conformità.
- Esegui la scansione delle vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di linguaggio con Artifact Analysis.