Artifact Analysis 中的嚴重性等級

本文說明 Artifact Analysis 如何評估漏洞並指派嚴重性等級。

構件分析會使用下列等級評估安全漏洞的嚴重性：

• 重大
• 高
• 中
• 低

這些嚴重性等級是定性標籤，反映了漏洞的可利用性、範圍、影響、成熟度等因素。舉例來說，如果使用者可透過某個安全漏洞在不需要驗證或互動的情況下，就能輕鬆存取系統並執行任意程式碼，則該漏洞就會歸類為 Critical。

每個安全漏洞皆與下列兩種嚴重性相關聯：

• 實際嚴重性：視安全漏洞類型而定：

  • OS 套件：Linux 發行版維護者指派的嚴重性等級。如果無法取得這些嚴重性等級，異構體分析就會使用註記供應商(NVD) 的嚴重性值。如果無法取得 NVD 的 CVSS v2 評分，Artifact Analysis 會使用 NVD 的 CVSS v3 評分。
  • 語言套件 - GitHub 建議資料庫指派的嚴重程度，但有輕微差異：中度會以中等回報。

• CVSS 分數：「一般安全漏洞評分系統」的分數以及相關聯的嚴重性等級，分數有兩種版本：

  • CVSS 2.0：使用 API、Google Cloud CLI 和 GUI 時可用。
  • CVSS 3.1 - 使用 API 和 gcloud CLI 時可用。

後續步驟

• 調查安全漏洞。
• 根據漏洞嚴重程度在 Cloud Build 管道中設定建構限制。