Mengupload pernyataan VEX

Dokumen ini menjelaskan cara mengupload pernyataan Vulnerability Exploitability eXchange (VEX) yang ada ke Artifact Analysis. Anda juga dapat mengupload pernyataan yang diberikan oleh penerbit lain.

Pernyataan VEX harus diformat sesuai dengan standar Common Security Advisory Format (CSAF) 2.0 dalam JSON.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengupload penilaian VEX dan memeriksa status VEX kerentanan, minta administrator Anda untuk memberi Anda peran IAM berikut di project:

• Untuk membuat dan memperbarui catatan: Editor Catatan Container Analysis (roles/containeranalysis.notes.editor)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengupload pernyataan VEX

Jalankan perintah artifacts vulnerabilities load-vex untuk mengupload data VEX dan menyimpannya di Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Di mana

• CSAF_SOURCE adalah jalur ke file pernyataan VEX Anda yang disimpan secara lokal. File harus berupa file JSON yang mengikuti skema CSAF.
• RESOURCE_URI dapat berupa salah satu dari:
  • URL lengkap gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • URL gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Analisis Artefak mengonversi pernyataan VEX Anda menjadi catatan Grafeas VulnerabilityAssessment.

Artifact Analysis menyimpan catatan penilaian kerentanan sebagai satu catatan per CVE. Catatan disimpan di Container Analysis API, dalam project yang sama dengan image yang ditentukan.

Saat Anda mengupload pernyataan VEX, Artifact Analysis juga membawa informasi status VEX ke kemunculan kerentanan terkait sehingga Anda dapat memfilter kerentanan menurut status VEX. Jika pernyataan VEX diterapkan ke image, Artifact Analysis akan meneruskan status VEX ke semua versi image tersebut, termasuk versi yang baru dikirim.

Jika satu versi memiliki dua pernyataan VEX, satu ditulis untuk URL resource dan satu ditulis untuk URL gambar terkait, pernyataan VEX yang ditulis untuk URL resource akan diprioritaskan dan akan diteruskan ke kemunculan kerentanan.

Langkah berikutnya

• Memprioritaskan masalah kerentanan menggunakan VEX. Pelajari cara melihat pernyataan VEX dan memfilter kerentanan menurut status VEX-nya.
• Pelajari cara membuat software bill of materials (SBOM) untuk mendukung persyaratan kepatuhan.
• Pindai kerentanan dalam paket OS dan paket bahasa dengan Artifact Analysis.