이 문서에서는 기존 Vulnerability Exploitability eXchange (VEX) 문을 Artifact Analysis에 업로드하는 방법을 설명합니다. 다른 게시자가 제공한 신고서를 업로드할 수도 있습니다.
VEX 문이 JSON의 공통 보안 알림 형식 (CSAF) 2.0 표준에 따라 형식이 지정되어야 합니다.
필요한 역할
VEX 평가를 업로드하고 취약점의 VEX 상태를 확인하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.
-
메모를 만들고 업데이트하려면 다음을 실행합니다.
컨테이너 분석 메모 편집기 (
roles/containeranalysis.notes.editor)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
VEX 문 업로드
artifacts vulnerabilities load-vex 명령어를 실행하여 VEX 데이터를 업로드하고 Artifact Analysis에 저장합니다.
gcloud artifacts vulnerabilities load-vex /
--source CSAF_SOURCE /
--uri RESOURCE_URI /
위치
- CSAF_SOURCE는 로컬에 저장된 VEX 문이 포함된 파일의 경로입니다. 이 파일은 CSAF 스키마를 따르는 JSON 파일이어야 합니다.
- RESOURCE_URI는 다음 중 하나일 수 있습니다.
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH과 비슷한 이미지의 전체 URL입니다.- 이미지 URL(
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID과 유사)
Artifact Analysis는 VEX 문을 Grafeas VulnerabilityAssessment 메모로 변환합니다.
Artifact Analysis는 취약점 평가 메모를 CVE당 하나의 메모로 저장합니다. 메모는 지정된 이미지와 동일한 프로젝트 내의 Container Analysis API에 저장됩니다.
VEX 문을 업로드하면 Artifact Analysis는 VEX 상태 정보를 연결된 취약점 발생으로 전달하므로 VEX 상태별로 취약점을 필터링할 수 있습니다. VEX 문이 이미지에 적용되면 Artifact Analysis는 새로 푸시된 버전을 포함하여 해당 이미지의 모든 버전에 VEX 상태를 전달합니다.
단일 버전에 리소스 URL용으로 작성된 VEX 문과 연결된 이미지 URL용으로 작성된 VEX 문 두 개가 있는 경우 리소스 URL용으로 작성된 VEX 문이 우선 적용되고 취약점 발생으로 전달됩니다.
다음 단계
- VEX를 사용하여 취약점 문제의 우선순위를 지정합니다. VEX 문을 확인하고 VEX 상태별로 취약점을 필터링하는 방법을 알아보세요.
- 규정 준수 요구사항을 지원하기 위해 소프트웨어 재료명세서 (SBOM)를 생성하는 방법을 알아보세요.
- Artifact Analysis를 사용하여 OS 패키지 및 언어 패키지에서 취약점을 스캔합니다.