Tingkat keparahan di Artifact Analysis

Dokumen ini menjelaskan cara Artifact Analysis mengevaluasi kerentanan dan menetapkan tingkat keparahan.

Artifact Analysis menilai tingkat keparahan kerentanan menggunakan tingkat berikut:

• Kritis
• Tinggi
• Sedang
• Rendah

Tingkat keparahan ini adalah label kualitatif yang mencerminkan faktor-faktor seperti eksploitasi, cakupan, dampak, dan kematangan kerentanan. Misalnya, jika kerentanan memungkinkan pengguna jarak jauh mengakses sistem dan menjalankan kode arbitrer tanpa autentikasi atau interaksi pengguna, kerentanan tersebut akan diklasifikasikan sebagai Critical.

Ada dua jenis keparahan tambahan yang terkait dengan setiap kerentanan:

• Keparahan efektif - Bergantung pada jenis kerentanan:

  • Paket OS - Tingkat keparahan yang ditetapkan oleh pengelola distribusi Linux. Jika tingkat keparahan ini tidak tersedia, Analisis Artefak akan menggunakan nilai keparahan dari penyedia catatan, (NVD). Jika rating CVSS v2 NVD tidak tersedia, Artifact Analysis akan menggunakan rating CVSS v3 dari NVD.
  • Paket bahasa - Tingkat keparahan yang ditetapkan oleh GitHub Advisory Database, dengan sedikit perbedaan: Sedang dilaporkan sebagai Sedang.

• Skor CVSS - Skor Sistem Penskoran Kerentanan Umum dan tingkat keparahan terkait, dengan dua versi penskoran:

  • CVSS 2.0 - Tersedia saat menggunakan API, Google Cloud CLI, dan GUI.
  • CVSS 3.1 - Tersedia saat menggunakan API dan gcloud CLI.

Langkah berikutnya

• Investigasi kerentanan.
• Mengontrol build di pipeline Cloud Build Anda berdasarkan tingkat keparahan kerentanan.