Fazer upload de declarações do VEX

Este documento descreve como fazer upload de declarações Vulnerability Exploitability eXchange (VEX) para o Artifact Analysis. Também é possível fazer upload de declarações fornecidas por outros editores.

As declarações VEX precisam ser formatadas de acordo com o padrão 2.0 do Common Security Advisory Format (CSAF) em JSON.

Funções exigidas

Para ter as permissões necessárias para fazer upload de avaliações do VEX e verificar o status de vulnerabilidades do VEX, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

• Para criar e atualizar notas: Editor de notas do Container Analysis (roles/containeranalysis.notes.editor)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Fazer upload de declarações do VEX

Execute o comando artifacts vulnerabilities load-vex para fazer upload dos dados de VEX e armazená-los no Artifact Analysis:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Onde

• CSAF_SOURCE é o caminho para o arquivo de declaração VEX armazenado localmente. O arquivo precisa ser um arquivo JSON seguindo o esquema CSAF.
• RESOURCE_URI pode ser um dos seguintes:
  • o URL completo da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • o URL da imagem, semelhante a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

O Artifact Analysis converte suas declarações VEX em notas do Grafeas VulnerabilityAssessment.

O Artifact Analysis armazena as notas de avaliação de vulnerabilidade como uma nota por CVE. As notas são armazenadas na API Container Analysis, no mesmo projeto da imagem especificada.

Ao fazer upload de declarações VEX, o Artifact Analysis também transfere informações de status VEX para ocorrências de vulnerabilidade associadas para que você possa filtrar vulnerabilidades por status VEX. Se uma declaração VEX for aplicada a uma imagem, o Artifact Analysis vai transferir o status VEX para todas as versões dessa imagem, incluindo as versões enviadas recentemente.

Se uma única versão tiver duas declarações VEX, uma escrita para o URL do recurso e outra para o URL da imagem associada, a declaração VEX escrita para o URL do recurso terá precedência e será transferida para a ocorrência de vulnerabilidade.

A seguir

• Priorize problemas de vulnerabilidade usando o VEX. Saiba como ver declarações VEX e filtrar vulnerabilidades pelo status VEX.
• Saiba como gerar uma lista de materiais de software (SBOM) para atender aos requisitos de compliance.
• Verifique se há vulnerabilidades em pacotes do SO e de linguagens com Artifact Analysis.