Melihat status VEX

Dokumen ini menjelaskan cara melihat pernyataan Vulnerability Exploitability eXchange (VEX) yang disimpan di Artifact Analysis dan memfilter kerentanan menggunakan status VEX.

Penegak keamanan dan kebijakan dapat menggunakan fitur ini untuk memprioritaskan tugas mitigasi masalah keamanan. Anda juga dapat menggunakan data VEX untuk membuktikan komposisi artefak Anda guna membantu organisasi Anda memenuhi persyaratan peraturan.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengupload penilaian VEX dan memeriksa status VEX kerentanan, minta administrator Anda untuk memberi Anda peran IAM berikut di project:

• Untuk melihat kejadian kerentanan: Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Melihat status VEX di konsol Google Cloud

Untuk melihat informasi VEX bagi image container yang disimpan di Artifact Registry:

1. Buka halaman Repositories Artifact Registry.

   Buka halaman Repositori

   Halaman ini menampilkan daftar repositori Anda.

2. Di daftar repositori, klik nama repositori.

3. Di daftar gambar, klik nama gambar.

   Daftar ringkasan gambar akan terbuka.

4. Dalam daftar ringkasan, klik nama ringkasan.

   Halaman detail ringkasan akan terbuka dengan baris tab. Secara default, tab Ringkasan terbuka.

5. Di baris tab, pilih tab Kerentanan.

   Halaman ini menampilkan ringkasan Hasil pemindaian dengan bagian Status VEX.

   Bagian ringkasan Status VEX menampilkan jumlah paket yang dikategorikan menurut setiap jenis status VEX. Untuk melihat semua paket dengan status VEX tertentu, klik angka di samping jenis status.

   Tab Kerentanan juga menampilkan status VEX untuk setiap paket dalam daftar kerentanan.

   Untuk memfilter daftar kerentanan:

   1. Di atas daftar kerentanan, klik Filter kerentanan.
   2. Pilih filter dari daftar filter.
   3. Tentukan nilai yang ingin Anda gunakan untuk memfilter daftar.

Melihat status VEX di Cloud Build

Jika menggunakan Cloud Build, Anda juga dapat melihat informasi VEX di panel samping Insight keamanan dalam konsol Google Cloud .

Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Insight keamanan dalam konsol Google Cloud .

Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.

Melihat menggunakan gcloud CLI

Bagian berikut menjelaskan cara mengambil informasi VEX dan menerapkan filter untuk membatasi hasil berdasarkan kebutuhan Anda.

Melihat info VEX untuk satu artefak

Untuk melihat info VEX yang diupload, Anda dapat membuat kueri API dan mencantumkan catatan dengan jenis catatan VULNERABILITY_ASSESSMENT.

Gunakan panggilan API berikut untuk meminta semua catatan penilaian kerentanan untuk artefak yang ditentukan:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Di mana

• LOCATION adalah lokasi regional atau multi-regional repositori Anda.
• PROJECT_ID adalah ID untuk project Google Cloud tempat image Anda disimpan di repositori Artifact Registry.
• REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
• IMAGE_NAME adalah nama gambar.
• DIGEST adalah ringkasan gambar, string yang dimulai dengan sha256:.

Memfilter kerentanan menurut status VEX

Dengan gcloud, Anda dapat memfilter metadata kerentanan menurut status VEX. Artifact Analysis memfilter berdasarkan status yang disimpan di setiap kemunculan kerentanan Grafeas.

Jalankan perintah berikut untuk memfilter kemunculan kerentanan berdasarkan status VEX yang ditentukan:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Di mana

• RESOURCE_URI adalah URL lengkap gambar, mirip dengan https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS adalah status VEX yang akan difilter, yang dapat berupa salah satu nilai berikut: known_affected, known_not_affected, under_investigation, atau fixed.

Misalnya, jalankan perintah berikut untuk memfilter kemunculan kerentanan dengan status VEX AFFECTED:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Mencantumkan kerentanan tanpa VEX

Untuk mengidentifikasi kerentanan yang belum memiliki informasi VEX yang terkait dengannya, gunakan perintah gcloud berikut:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Di mana

• LOCATION adalah lokasi regional atau multi-regional repositori Anda.
• PROJECT_ID adalah ID untuk project Google Cloud tempat image Anda disimpan di repositori Artifact Registry.
• REPO_NAME adalah nama repositori Artifact Registry yang berisi image.
• IMAGE_NAME adalah nama gambar.
• DIGEST adalah ringkasan gambar, string yang dimulai dengan sha256:.

Batasan

• Pernyataan VEX hanya dapat diupload untuk image container.
• Pernyataan VEX yang diupload tidak dapat diekspor ke standar CSAF, OpenVex, atau SPDX.

Langkah berikutnya

• Pelajari SBOM.
• Pindai kerentanan dengan Artifact Analysis.