VEX-Status ansehen

In diesem Dokument wird beschrieben, wie Sie die VEX-Statements (Vulnerability Exploitability eXchange) , die in der Artefaktanalyse gespeichert sind, aufrufen und Sicherheitslücken nach VEX -Status filtern.

Sicherheits- und Richtlinienerzwingungsbeauftragte können diese Funktionen verwenden, um die Aufgaben zur Behebung von Sicherheitsproblemen zu priorisieren. Sie können VEX-Daten auch verwenden, um die Zusammensetzung Ihrer Artefakte zu bestätigen und so die Einhaltung der gesetzlichen Anforderungen durch Ihre Organisation zu unterstützen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Hochladen von VEX-Bewertungen und zum Prüfen des VEX-Status von Sicherheitslücken benötigen:

• Zum Aufrufen von Vorkommen von Sicherheitslücken: Betrachter von Container Analysis-Vorkommen (roles/containeranalysis.occurrences.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VEX-Status in der Google Cloud Konsole aufrufen

So rufen Sie VEX-Informationen für Container-Images auf, die in Artifact Registry gespeichert sind:

1. Öffnen Sie die Seite Repositories von Artifact Registry.

   Zur Seite „Repositories“

   Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

2. Klicken Sie in der Liste der Repositories auf einen Repository-Namen.

3. Klicken Sie in der Liste der Images auf einen Image-Namen.

   Eine Liste der Image-Digests wird geöffnet.

4. Klicken Sie in der Liste der Digests auf einen Digest-Namen.

   Eine Seite mit Digest-Details wird mit einer Reihe von Tabs geöffnet. Standardmäßig ist der Tab Übersicht geöffnet.

5. Wählen Sie in der Reihe der Tabs den Tab Sicherheitslücken aus.

   Auf der Seite wird eine Übersicht der Scanergebnisse mit einem Abschnitt VEX-Status angezeigt.

   Im Übersichtsabschnitt VEX-Status wird die Anzahl der Pakete angezeigt, die nach VEX-Statustyp kategorisiert sind. Wenn Sie alle Pakete mit einem bestimmten VEX-Status sehen möchten, klicken Sie auf die Zahl neben dem Statustyp.

   Auf dem Tab Sicherheitslücken wird auch der VEX-Status für jedes Paket in der Liste der Sicherheitslücken angezeigt.

   So filtern Sie die Liste der Sicherheitslücken:

   1. Klicken Sie über der Liste der Sicherheitslücken auf Sicherheitslücken filtern.
   2. Wählen Sie einen Filter aus der Filterliste aus.
   3. Geben Sie den Wert an, den Sie zum Filtern der Liste verwenden möchten.

VEX-Status in Cloud Build aufrufen

Wenn Sie Cloud Build verwenden, können Sie VEX-Informationen auch im Seitenbereich Sicherheitsinformationen in der Google Cloud Konsole aufrufen.

Wenn Sie Cloud Build verwenden, können Sie Image-Metadaten im Seitenbereich Sicherheitsinformationen in der Google Cloud Konsole aufrufen.

Der Seitenbereich Sicherheitsinformationen bietet eine allgemeine Übersicht über die Informationen zur Buildsicherheit für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie Cloud Build verwenden können, um Ihre Softwarelieferkette zu schützen, finden Sie unter Informationen zur Buildsicherheit aufrufen.

Mit der gcloud CLI aufrufen

Im folgenden Abschnitt wird beschrieben, wie Sie VEX-Informationen abrufen und Filter anwenden, um die Ergebnisse nach Bedarf einzuschränken.

VEX-Informationen für ein einzelnes Artefakt aufrufen

Wenn Sie hochgeladene VEX-Informationen aufrufen möchten, können Sie die API abfragen und Notizen mit dem Notizentyp VULNERABILITY_ASSESSMENT auflisten.

Verwenden Sie den folgenden API-Aufruf, um alle Notizen zur Bewertung von Sicherheitslücken für das angegebene Artefakt anzufordern:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Wo

• LOCATION ist die Region oder der multiregionale Standort Ihres Repositorys.
• PROJECT_ID ist die ID für das Google Cloud Projekt, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Sicherheitslücken nach VEX-Status filtern

Mit gcloud können Sie Metadaten zu Sicherheitslücken nach VEX-Status filtern. Die Artefaktanalyse filtert basierend auf dem Status, der in jedem Grafeas-Vorkommen von Sicherheitslücken gespeichert ist.

Führen Sie den folgenden Befehl aus, um Vorkommen von Sicherheitslücken nach einem bestimmten VEX-Status zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Wo

• RESOURCE_URI ist die vollständige URL des Images, ähnlich wie https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS ist der VEX-Status, nach dem gefiltert werden soll. Er kann einen der folgenden Werte haben: known_affected, known_not_affected, under_investigation oder fixed.

Führen Sie beispielsweise den folgenden Befehl aus, um nach Vorkommen von Sicherheitslücken mit dem VEX-Status AFFECTED zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Sicherheitslücken ohne VEX auflisten

Mit dem folgenden gcloud-Befehl können Sie ermitteln, für welche Sicherheitslücken noch keine VEX-Informationen vorhanden sind:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Wo

• LOCATION ist die Region oder der multiregionale Standort Ihres Repositorys.
• PROJECT_ID ist die ID für das Google Cloud Projekt, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Beschränkungen

• Das Hochladen von VEX-Statements wird nur für Container-Images unterstützt.
• Hochgeladene VEX-Statements können nicht in die Standards CSAF, OpenVEX oder SPDX exportiert werden.

Nächste Schritte

• Informationen zu SBOMs.
• Mit der Artefaktanalyse nach Sicherheitslücken suchen