此页面由 Cloud Translation API 翻译。

上传 VEX 声明
使用集合让一切井井有条根据您的偏好保存内容并对其进行分类。

本文档介绍了如何将现有的 Vulnerability Exploitability eXchange (VEX) 语句上传到工件分析。您还可以上传其他发布商提供的声明。

VEX 语句的格式必须符合 JSON 中的 Common Security Advisory Format (CSAF) 2.0 标准。

所需的角色

如需获得上传 VEX 评估和检查漏洞的 VEX 状态所需的权限，请让您的管理员为您授予项目的以下 IAM 角色：

如需创建和更新备注，请使用 Container Analysis Notes Editor (roles/containeranalysis.notes.editor)

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

运行 artifacts vulnerabilities load-vex 命令以上传 VEX 数据并将其存储在工件分析中：

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

地点

CSAF_SOURCE 是存储在本地的 VEX 语句文件的路径。该文件必须是遵循 CSAF 架构的 JSON 文件。
RESOURCE_URI 可以是以下各项之一：
- 图片的完整网址，类似于 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH。
- 图片网址，类似于 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID。

Artifact Analysis 会将您的 VEX 语句转换为 Grafeas VulnerabilityAssessment 备注。

Artifact Analysis 会按 CVE 存储一个漏洞评估备注。备注存储在 Container Analysis API 中，与指定映像位于同一项目中。

当您上传 VEX 语句时，Artifact Analysis 还会将 VEX 状态信息传入关联的漏洞出现情况，以便您按 VEX 状态过滤漏洞。如果对映像应用 VEX 语句，Artifact Analysis 会将 VEX 状态传递到该映像的所有版本，包括新推送的版本。

如果单个版本有两个 VEX 语句，一个针对资源网址编写，另一个针对关联的图片网址编写，则针对资源网址编写的 VEX 语句将优先，并会传递到漏洞出现情况。