Dokumen ini menjelaskan cara mengupload pernyataan Vulnerability Exploitability eXchange (VEX) yang ada ke Artifact Analysis. Anda juga dapat mengupload pernyataan yang disediakan oleh penayang lain.
Pernyataan VEX harus diformat sesuai dengan standar Common Security Advisory Format (CSAF) 2.0 dalam JSON.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk mengupload penilaian VEX dan memeriksa status VEX kerentanan, minta administrator untuk memberi Anda peran IAM berikut pada project:
-
Untuk membuat dan memperbarui catatan:
Editor Catatan Container Analysis (
roles/containeranalysis.notes.editor)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengupload pernyataan VEX
Jalankan perintah
artifacts vulnerabilities load-vex
untuk mengupload data VEX dan menyimpannya di Artifact Analysis:
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
Di mana
- CSAF_SOURCE adalah jalur ke file pernyataan VEX Anda yang disimpan secara lokal. File tersebut harus berupa file JSON yang mengikuti skema CSAF.
- RESOURCE_URI dapat berupa salah satu dari:
- URL lengkap gambar, mirip dengan
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH. - URL gambar, mirip dengan
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.
- URL lengkap gambar, mirip dengan
Artifact Analysis mengonversi pernyataan VEX Anda menjadi
catatan VulnerabilityAssessment Grafeas.
Artifact Analysis menyimpan catatan penilaian kerentanan sebagai satu catatan per CVE. Catatan disimpan di Container Analysis API, dalam project yang sama dengan gambar yang ditentukan.
Saat Anda mengupload pernyataan VEX, Artifact Analysis juga membawa informasi status VEX ke kemunculan kerentanan terkait sehingga Anda dapat memfilter kerentanan berdasarkan status VEX. Jika pernyataan VEX diterapkan ke gambar, Artifact Analysis akan meneruskan status VEX ke semua versi gambar tersebut, termasuk versi yang baru di-push.
Jika satu versi memiliki dua pernyataan VEX, satu ditulis untuk URL resource dan satu ditulis untuk URL gambar terkait, pernyataan VEX yang ditulis untuk URL resource akan diprioritaskan dan akan diteruskan ke kemunculan kerentanan.
Langkah berikutnya
- Memprioritaskan masalah kerentanan menggunakan VEX. Pelajari cara melihat pernyataan VEX dan memfilter kerentanan berdasarkan status VEX -nya.
- Pelajari cara membuat software bill of materials (SBOM) untuk mendukung persyaratan kepatuhan.
- Memindai kerentanan dalam paket OS dan paket bahasa dengan Artifact Analysis.