Melihat status VEX

Dokumen ini menjelaskan cara melihat pernyataan Vulnerability Exploitability eXchange (VEX) yang disimpan di Artifact Analysis dan memfilter kerentanan menggunakan status VEX.

Penegak keamanan dan kebijakan dapat menggunakan fitur ini untuk memprioritaskan tugas mitigasi masalah keamanan. Anda juga dapat menggunakan data VEX untuk membuktikan komposisi artefak Anda guna membantu organisasi Anda memenuhi persyaratan peraturan.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengupload penilaian VEX dan memeriksa status VEX kerentanan, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

• Untuk melihat kemunculan kerentanan: Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Melihat status VEX di Google Cloud konsol

Untuk melihat informasi VEX untuk image container yang disimpan di Artifact Registry:

1. Buka halaman Repositories Artifact Registry.

   Buka halaman Repositori

   Halaman ini menampilkan daftar repositori Anda.

2. Di daftar repositori, klik nama repositori.

3. Di daftar image, klik nama image.

   Daftar ringkasan image akan terbuka.

4. Di daftar ringkasan, klik nama ringkasan.

   Halaman detail ringkasan akan terbuka dengan baris tab. Secara default, tab Overview akan terbuka.

5. Di baris tab, pilih tab Vulnerabilities.

   Halaman ini menampilkan ringkasan Scan results dengan bagian VEX Status.

   Bagian ringkasan VEX Status menampilkan jumlah paket yang dikategorikan menurut setiap jenis status VEX. Untuk melihat semua paket dengan status VEX tertentu, klik angka di samping jenis status.

   Tab Vulnerabilities juga menampilkan status VEX untuk setiap paket dalam daftar kerentanan.

   Untuk memfilter daftar kerentanan:

   1. Di atas daftar kerentanan, klik Filter vulnerabilities.
   2. Pilih filter dari daftar filter.
   3. Tentukan nilai yang ingin Anda gunakan untuk memfilter daftar.

Melihat status VEX di Cloud Build

Jika menggunakan Cloud Build, Anda juga dapat melihat informasi VEX di Security insights panel samping dalam Google Cloud konsol.

Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Security insights dalam Google Cloud konsol.

Panel samping Security insights memberikan ringkasan tingkat tinggi informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut tentang panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.

Melihat menggunakan gcloud CLI

Bagian berikut menjelaskan cara mengambil informasi VEX dan menerapkan filter untuk membatasi hasil berdasarkan kebutuhan Anda.

Melihat info VEX untuk satu artefak

Untuk melihat info VEX yang diupload, Anda dapat membuat kueri API dan mencantumkan catatan dengan jenis catatan VULNERABILITY_ASSESSMENT.

Gunakan panggilan API berikut untuk meminta semua catatan penilaian kerentanan untuk artefak yang ditentukan:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Di mana

• LOCATION adalah region atau lokasi multi-region repositori Anda.
• PROJECT_ID adalah ID untuk Google Cloud project tempat image Anda disimpan di repositori Artifact Registry.
• REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
• IMAGE_NAME adalah nama image.
• DIGEST adalah ringkasan image, string yang dimulai dengan sha256:.

Memfilter kerentanan menurut status VEX

Dengan gcloud, Anda dapat memfilter metadata kerentanan menurut status VEX. Filter Artifact Analysis berdasarkan status yang disimpan di setiap kemunculan kerentanan Grafeas.

Jalankan perintah berikut untuk memfilter kemunculan kerentanan berdasarkan status VEX yang ditentukan:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Di mana

• RESOURCE_URI adalah URL lengkap image, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS adalah status VEX yang akan difilter, yang dapat berupa salah satu nilai berikut: known_affected, known_not_affected, under_investigation, atau fixed.

Misalnya, jalankan perintah berikut untuk memfilter kemunculan kerentanan dengan status VEX AFFECTED:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Mencantumkan kerentanan tanpa VEX

Untuk mengidentifikasi kerentanan mana yang belum memiliki informasi VEX terkait, gunakan perintah gcloud berikut:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Di mana

• LOCATION adalah region atau lokasi multi-region repositori Anda.
• PROJECT_ID adalah ID untuk Google Cloud project tempat image Anda disimpan di repositori Artifact Registry.
• REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
• IMAGE_NAME adalah nama image.
• DIGEST adalah ringkasan image, string yang dimulai dengan sha256:.

Batasan

• Mengupload pernyataan VEX hanya didukung untuk image container.
• Pernyataan VEX yang diupload tidak dapat diekspor ke standar CSAF, OpenVex, atau SPDX.

Langkah berikutnya

• Pelajari SBOM.
• Pindai kerentanan dengan Artifact Analysis.