VEX-Status ansehen

In diesem Dokument wird beschrieben, wie Sie die VEX-Statements (Vulnerability Exploitability eXchange) , die in der Artefaktanalyse gespeichert sind, aufrufen und Sicherheitslücken nach VEX -Status filtern.

Sicherheits- und Richtlinienerzwingungsstellen können diese Funktionen verwenden, um die Aufgaben zur Behebung von Sicherheitsproblemen zu priorisieren. Sie können VEX-Daten auch verwenden, um die Zusammensetzung Ihrer Artefakte zu bestätigen und so Ihrer Organisation zu helfen, die gesetzlichen Anforderungen zu erfüllen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Hochladen von VEX-Bewertungen und zum Prüfen des VEX-Status von Sicherheitslücken benötigen:

• Zum Aufrufen von Vorkommen von Sicherheitslücken: Betrachter von Container Analysis-Vorkommen (roles/containeranalysis.occurrences.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VEX-Status in der Google Cloud Konsole ansehen

So rufen Sie VEX-Informationen für Container-Images auf, die in Artifact Registry gespeichert sind:

1. Öffnen Sie die Seite Repositories von Artifact Registry.

   Zur Seite „Repositories“

   Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

2. Klicken Sie in der Liste der Repositories auf einen Repository-Namen.

3. Klicken Sie in der Liste der Images auf einen Image-Namen.

   Eine Liste der Image-Digests wird geöffnet.

4. Klicken Sie in der Liste der Digests auf einen Digest-Namen.

   Eine Digest-Detailseite wird mit einer Reihe von Tabs geöffnet. Standardmäßig ist der Tab Übersicht geöffnet.

5. Wählen Sie in der Reihe der Tabs den Tab Sicherheitslücken aus.

   Auf der Seite wird eine Übersicht der Scanergebnisse mit einem Abschnitt VEX-Status angezeigt.

   Im Zusammenfassungsbereich VEX-Status wird die Anzahl der Pakete angezeigt, die nach VEX-Statustyp kategorisiert sind. Wenn Sie alle Pakete mit einem bestimmten VEX-Status sehen möchten, klicken Sie auf die Zahl neben dem Statustyp.

   Auf dem Tab Sicherheitslücken wird auch der VEX-Status für jedes Paket in der Liste der Sicherheitslücken angezeigt.

   So filtern Sie die Liste der Sicherheitslücken:

   1. Klicken Sie über der Liste der Sicherheitslücken auf Sicherheitslücken filtern.
   2. Wählen Sie einen Filter aus der Filterliste aus.
   3. Geben Sie den Wert an, den Sie zum Filtern der Liste verwenden möchten.

VEX-Status in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie VEX-Informationen auch im Seitenleiste Sicherheitsinformationen in der Google Cloud Konsole ansehen.

Wenn Sie Cloud Build verwenden, können Sie Image-Metadaten im Seitenleiste Sicherheitsinformationen in der Google Cloud Konsole ansehen.

Der Seitenbereich Sicherheitsinformationen bietet eine allgemeine Übersicht über Informationen zur Buildsicherheit für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie Cloud Build verwenden können, um Ihre Softwarelieferkette zu schützen, finden Sie unter Informationen zur Buildsicherheit ansehen.

Mit der gcloud CLI ansehen

Im folgenden Abschnitt wird erläutert, wie Sie VEX-Informationen abrufen und Filter anwenden, um die Ergebnisse nach Bedarf zu begrenzen.

VEX-Informationen für ein einzelnes Artefakt ansehen

Wenn Sie hochgeladene VEX-Informationen ansehen möchten, können Sie die API abfragen und Notizen mit dem Notizentyp VULNERABILITY_ASSESSMENT auflisten.

Verwenden Sie den folgenden API-Aufruf, um alle Notizen zur Bewertung von Sicherheitslücken für das angegebene Artefakt anzufordern:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Wo

• LOCATION ist die Region oder der multiregionale Standort Ihres Repositorys.
• PROJECT_ID ist die ID für das Google Cloud Projekt, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Sicherheitslücken nach VEX-Status filtern

Mit gcloud können Sie Metadaten zu Sicherheitslücken nach VEX-Status filtern. Die Artefaktanalyse filtert basierend auf dem Status, der in jedem Grafeas-Vorkommen von Sicherheitslücken gespeichert ist.

Führen Sie den folgenden Befehl aus, um Vorkommen von Sicherheitslücken nach einem bestimmten VEX-Status zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Wo

• RESOURCE_URI ist die vollständige URL des Images, ähnlich wie https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS ist der VEX-Status, nach dem gefiltert werden soll. Er kann einen der folgenden Werte haben: known_affected, known_not_affected, under_investigation oder fixed.

Führen Sie beispielsweise den folgenden Befehl aus, um nach Vorkommen von Sicherheitslücken mit dem VEX-Status AFFECTED zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Sicherheitslücken ohne VEX auflisten

Verwenden Sie den folgenden gcloud-Befehl, um herauszufinden, für welche Sicherheitslücken noch keine VEX-Informationen vorhanden sind:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Wo

• LOCATION ist die Region oder der multiregionale Standort Ihres Repositorys.
• PROJECT_ID ist die ID für das Google Cloud Projekt, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Beschränkungen

• Das Hochladen von VEX-Statements wird nur für Container-Images unterstützt.
• Hochgeladene VEX-Statements können nicht in CSAF-, OpenVex- oder SPDX-Standards exportiert werden.

Nächste Schritte

• Informationen zu SBOMs.
• Mit der Artefaktanalyse nach Sicherheitslücken suchen