Artifact Analysis 中的严重级别

本文档介绍了工件分析如何评估漏洞并分配严重级别。

Artifact Analysis 使用以下级别对漏洞严重程度进行评分：

• 严重
• 高
• 中
• 低

这些严重级别是反映漏洞被利用可能性、范围、影响和成熟度等因素的定性标签。例如，如果某个漏洞允许远程用户在不进行身份验证或用户交互的情况下访问系统并运行任意代码，则该漏洞将归类为 Critical。

每种漏洞还有另外两种关联的严重程度指标：

• 有效严重程度 - 取决于漏洞类型：

  • 操作系统软件包 - 严重级别由 Linux 发行版维护者指定。如果这些严重级别不可用，Artifact Analysis 将使用备注提供商的严重级别值 (NVD)。如果 NVD 的 CVSS v2 评分不可用，Artifact Analysis 会使用 NVD 中的 CVSS v3 评分。
  • 语言软件包 - GitHub 咨询数据库分配的严重程度级别，存在细微差异：中等报告为中度。

• CVSS 评分 - 通用漏洞评分系统评分和关联的严重级别，具有两个评分版本：

  • CVSS 2.0 - 使用 API、Google Cloud CLI 和 GUI 时可用。
  • CVSS 3.1 - 使用 API 和 gcloud CLI 时可用。

后续步骤

• 调查漏洞。
• 根据漏洞严重程度在 Cloud Build 流水线中控制构建。