Schweregrade in der Artefaktanalyse

In diesem Dokument wird beschrieben, wie Sicherheitslücken bei der Artefaktanalyse bewertet und Schweregrade zugewiesen werden.

Die Artefaktanalyse bewertet die Schwere von Sicherheitslücken anhand der folgenden Stufen:

• Kritisch
• Hoch
• Mittel
• Niedrig

Die Schweregrade sind qualitative Kennzeichnungen, die Faktoren wie Ausnutzbarkeit, Umfang, Auswirkungen und Fortschritt der Sicherheitslücke widerspiegeln. Wenn ein Remote-Nutzer beispielsweise aufgrund einer Sicherheitslücke problemlos auf ein System zugreifen und beliebigen Code ohne Authentifizierung oder Nutzerinteraktion ausführen kann, würde diese Sicherheitslücke als Critical eingestuft.

Mit jeder Sicherheitslücke sind zwei weitere Arten von Schweregraden verbunden:

• Effektiver Schweregrad – je nach Art der Sicherheitslücke:

  • Betriebssystempakete – der von der Linux-Distributionsverwaltung zugewiesene Schweregrad. Sind diese Schweregrade nicht verfügbar, verwendet die Artefaktanalyse den Schweregrad vom Hinweisgeber (NVD). Wenn die CVSS v2-Bewertung der NVD nicht verfügbar ist, wird in der Artefaktanalyse die CVSS v3-Bewertung der NVD verwendet.
  • Sprachpakete: Die Schweregradstufe, die von der GitHub Advisory Database zugewiesen wird, mit einer kleinen Abweichung: Mäßig wird als Mittel gemeldet.

• CVSS-Punktzahl – die Punktzahl des Common Vulnerability Scoring Systems und der zugehörige Schweregrad. Es gibt zwei Bewertungsversionen:

  • CVSS 2.0: Verfügbar bei Verwendung der API, der Google Cloud CLI und der Benutzeroberfläche.
  • CVSS 3.1: Verfügbar bei Verwendung der API und der gcloud CLI.

Nächste Schritte

• Sicherheitslücken untersuchen
• Gating von Builds in Ihrer Cloud Build-Pipeline basierend auf der Schwere der Sicherheitslücke