VEX-Erklärungen hochladen

In diesem Dokument wird beschrieben, wie Sie vorhandene VEX-Erklärungen (Vulnerability Exploitability eXchange) in Artefaktanalyse hochladen. Sie können auch Erklärungen hochladen, die von anderen Verlagen und Webpublishern bereitgestellt wurden.

VEX-Anweisungen müssen gemäß dem Common Security Advisory Format (CSAF) 2.0-Standard in JSON formatiert sein.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Hochladen von VEX-Bewertungen und zum Prüfen des VEX-Status von Sicherheitslücken benötigen:

• So erstellen und aktualisieren Sie Hinweise: Bearbeiter von Container Analysis-Hinweisen (roles/containeranalysis.notes.editor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VEX-Erklärungen hochladen

Führen Sie den Befehl artifacts vulnerabilities load-vex aus, um VEX-Daten hochzuladen und in der Artefaktanalyse zu speichern:

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

Wo

• CSAF_SOURCE ist der Pfad zu Ihrer lokal gespeicherten VEX-Erklärung. Die Datei muss eine JSON-Datei sein, die dem CSAF-Schema entspricht.
• RESOURCE_URI kann einer der folgenden Werte sein:
  • die vollständige URL des Bildes, ähnlich wie https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • die Bild-URL, ähnlich wie https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

Bei der Artefaktanalyse werden Ihre VEX-Anweisungen in Grafeas-Hinweise vom Typ VulnerabilityAssessment umgewandelt.

In Artefaktanalyse werden Hinweise zur Sicherheitslückenbewertung als ein Hinweis pro CVE gespeichert. Hinweise werden in der Container Analysis API im selben Projekt wie das angegebene Image gespeichert.

Wenn Sie VEX-Anweisungen hochladen, überträgt Artefaktanalyse auch VEX-Statusinformationen in zugehörige Sicherheitslückenvorkommen, sodass Sie Sicherheitslücken nach VEX-Status filtern können. Wenn eine VEX-Erklärung auf ein Image angewendet wird, überträgt die Artefaktanalyse den VEX-Status auf alle Versionen dieses Images, einschließlich neu hochgeladener Versionen.

Wenn eine einzelne Version zwei VEX-Anweisungen hat, eine für die Ressourcen-URL und eine für die zugehörige Bild-URL, hat die VEX-Anweisung für die Ressourcen-URL Vorrang und wird auf das Auftreten der Sicherheitslücke übertragen.

Nächste Schritte

• VEX verwenden, um Probleme mit Sicherheitslücken zu priorisieren. VEX-Anweisungen ansehen und Sicherheitslücken nach ihrem VEX-Status filtern
• Software-Stückliste (Software Bill of Materials, SBOM) erstellen, um Compliance-Anforderungen zu erfüllen
• Mit der Artefaktanalyse nach Sicherheitslücken suchen: