VEX-Status ansehen

In diesem Dokument wird beschrieben, wie Sie die in Artefaktanalyse gespeicherten VEX-Anweisungen (Vulnerability Exploitability eXchange) aufrufen und Sicherheitslücken nach VEX-Status filtern.

Sicherheits- und Richtliniendurchsetzungsstellen können diese Funktionen verwenden, um die Aufgaben zur Behebung von Sicherheitsproblemen zu priorisieren. Sie können VEX-Daten auch verwenden, um die Zusammensetzung Ihrer Artefakte zu bestätigen und so Ihrer Organisation zu helfen, behördliche Anforderungen zu erfüllen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Hochladen von VEX-Bewertungen und zum Prüfen des VEX-Status von Sicherheitslücken benötigen:

• So rufen Sie Ereignisse zu Sicherheitslücken auf: Betrachter von Container Analysis-Ereignissen (roles/containeranalysis.occurrences.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VEX-Status in der Google Cloud -Konsole ansehen

So rufen Sie VEX-Informationen für Container-Images auf, die in Artifact Registry gespeichert sind:

1. Öffnen Sie die Seite Repositories in Artifact Registry.

   Zur Seite „Repositories“

   Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

2. Klicken Sie in der Liste der Repositories auf einen Repository-Namen.

3. Klicken Sie in der Liste der Bilder auf einen Bildnamen.

   Eine Liste der Bild-Digests wird geöffnet.

4. Klicken Sie in der Liste der Digests auf einen Digest-Namen.

   Eine Seite mit Details zum Digest wird geöffnet. Sie enthält eine Reihe von Tabs. Standardmäßig ist der Tab Übersicht geöffnet.

5. Wählen Sie in der Tab-Leiste den Tab Sicherheitslücken aus.

   Auf der Seite wird eine Übersicht der Scanergebnisse mit einem Abschnitt VEX-Status angezeigt.

   Im Übersichtsabschnitt VEX-Status wird die Anzahl der Pakete angezeigt, die nach den einzelnen VEX-Statustypen kategorisiert sind. Wenn Sie alle Pakete mit einem bestimmten VEX-Status aufrufen möchten, klicken Sie auf die Zahl neben dem Statustyp.

   Auf dem Tab Sicherheitslücken wird auch der VEX-Status für jedes Paket in der Liste der Sicherheitslücken angezeigt.

   So filtern Sie die Liste der Sicherheitslücken:

   1. Klicken Sie über der Liste der Sicherheitslücken auf Sicherheitslücken filtern.
   2. Wählen Sie einen Filter aus der Filterliste aus.
   3. Geben Sie den Wert an, den Sie zum Filtern der Liste verwenden möchten.

VEX-Status in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie VEX-Informationen auch in der Seitenleiste Sicherheitsinformationen in der Google Cloud Console aufrufen.

Wenn Sie Cloud Build verwenden, können Sie die Metadaten von Images in der Seitenleiste Sicherheitsinformationen in der Google Cloud -Konsole ansehen.

Die Seitenleiste Sicherheitsinformationen bietet einen allgemeinen Überblick über die Buildsicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zur Seitenleiste und dazu, wie Sie Cloud Build verwenden können, um Ihre Softwarelieferkette zu schützen, finden Sie unter Sicherheitserkenntnisse für Builds ansehen.

Mit der gcloud CLI aufrufen

Im folgenden Abschnitt wird erläutert, wie Sie VEX-Informationen abrufen und Filter anwenden, um die Ergebnisse nach Bedarf einzuschränken.

VEX-Informationen für ein einzelnes Artefakt ansehen

Wenn Sie hochgeladene VEX-Informationen aufrufen möchten, können Sie die API abfragen und Notizen mit dem Notiztyp VULNERABILITY_ASSESSMENT auflisten.

Verwenden Sie den folgenden API-Aufruf, um alle Hinweise zur Sicherheitsrisikobewertung für das angegebene Artefakt anzufordern:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Wo

• LOCATION ist der regionale oder multiregionale Speicherort Ihres Repositorys.
• PROJECT_ID ist die ID des Google Cloud -Projekts, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Sicherheitslücken nach VEX-Status filtern

Mit gcloud können Sie Sicherheitslücken-Metadaten nach VEX-Status filtern. Die Artefaktanalyse filtert basierend auf dem Status, der in jedem Grafeas-Vorkommen von Sicherheitslücken gespeichert ist.

Führen Sie den folgenden Befehl aus, um Sicherheitslücken basierend auf einem angegebenen VEX-Status zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Wo

• RESOURCE_URI ist die vollständige URL des Bildes, ähnlich wie https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS ist der VEX-Status, nach dem gefiltert werden soll. Er kann einer der folgenden Werte sein: known_affected, known_not_affected, under_investigation oder fixed.

Führen Sie beispielsweise den folgenden Befehl aus, um nach Sicherheitslücken mit dem VEX-Status AFFECTED zu filtern:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Sicherheitslücken ohne VEX auflisten

Mit dem folgenden gcloud-Befehl können Sie ermitteln, für welche Sicherheitslücken noch keine VEX-Informationen vorhanden sind:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Wo

• LOCATION ist der regionale oder multiregionale Speicherort Ihres Repositorys.
• PROJECT_ID ist die ID des Google Cloud -Projekts, in dem Ihr Image in einem Artifact Registry-Repository gespeichert ist.
• REPO_NAME ist der Name des Artifact Registry-Repositorys, das das Image enthält.
• IMAGE_NAME ist der Name des Images.
• DIGEST ist der Image-Digest, ein String, der mit sha256: beginnt.

Beschränkungen

• Das Hochladen von VEX-Anweisungen wird nur für Container-Images unterstützt.
• Hochgeladene VEX-Erklärungen können nicht in CSAF-, OpenVex- oder SPDX-Standards exportiert werden.

Nächste Schritte

• Weitere Informationen zu SBOMs
• Mit Artefaktanalyse nach Sicherheitslücken scannen