Visualizzare lo stato VEX

Questo documento descrive come visualizzare le istruzioni Vulnerability Exploitability eXchange (VEX) memorizzate in Artifact Analysis e filtrare le vulnerabilità utilizzando lo stato VEX.

Gli addetti all'applicazione delle norme e della sicurezza possono utilizzare queste funzionalità per dare la priorità alle attività di mitigazione dei problemi di sicurezza. Puoi anche utilizzare i dati VEX per attestare la composizione degli artefatti per aiutare la tua organizzazione a soddisfare i requisiti normativi.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per caricare le valutazioni VEX e controllare lo stato VEX delle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Per visualizzare le occorrenze di vulnerabilità: Visualizzatore occorrenze Container Analysis (roles/containeranalysis.occurrences.viewer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizza lo stato VEX nella console Google Cloud

Per visualizzare le informazioni VEX per le immagini container archiviate in Artifact Registry:

1. Apri la pagina Repository di Artifact Registry.

   Apri la pagina Repository

   La pagina mostra un elenco dei tuoi repository.

2. Nell'elenco dei repository, fai clic sul nome di un repository.

3. Nell'elenco delle immagini, fai clic sul nome di un'immagine.

   Viene visualizzato un elenco dei digest delle immagini.

4. Nell'elenco dei riepiloghi, fai clic sul nome di un riepilogo.

   Si apre una pagina dei dettagli del riepilogo con una riga di schede. Per impostazione predefinita, è aperta la scheda Panoramica.

5. Nella riga delle schede, seleziona la scheda Vulnerabilità.

   La pagina mostra una panoramica dei Risultati della scansione con una sezione Stato VEX.

   La sezione di riepilogo Stato VEX mostra il numero di pacchetti classificati in base a ogni tipo di stato VEX. Per visualizzare tutti i pacchetti con uno stato VEX specifico, fai clic sul numero accanto al tipo di stato.

   La scheda Vulnerabilità mostra anche lo stato VEX per ogni pacchetto nell'elenco delle vulnerabilità.

   Per filtrare l'elenco delle vulnerabilità:

   1. Sopra l'elenco delle vulnerabilità, fai clic su Filtra vulnerabilità.
   2. Scegli un filtro dall'elenco.
   3. Specifica il valore da utilizzare per filtrare l'elenco.

Visualizzare lo stato VEX in Cloud Build

Se utilizzi Cloud Build, puoi visualizzare le informazioni VEX anche nel riquadro laterale Approfondimenti sulla sicurezza all'interno della console Google Cloud .

Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza all'interno della console Google Cloud .

Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica di alto livello delle informazioni sulla sicurezza della build per gli artefatti archiviati in Artifact Registry. Per saperne di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza delle build.

Visualizzazione tramite gcloud CLI

La sezione seguente spiega come recuperare le informazioni VEX e applicare filtri per limitare i risultati in base alle tue esigenze.

Visualizzare le informazioni VEX per un singolo artefatto

Per visualizzare le informazioni VEX caricate, puoi eseguire query sull'API ed elencare le note con il tipo di nota VULNERABILITY_ASSESSMENT.

Utilizza la seguente chiamata API per richiedere tutte le note di valutazione delle vulnerabilità per l'artefatto specificato:

curl -G -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    --data-urlencode "filter=(kind=\"VULNERABILITY_ASSESSMENT\" AND vulnerability_assessment.product.generic_uri=\"https://LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST\"" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/notes

Dove

• LOCATION è la località regionale o multiregionale del tuo repository.
• PROJECT_ID è l'ID del progetto Google Cloud in cui l'immagine è archiviata in un repository Artifact Registry.
• REPO_NAME è il nome del repository Artifact Registry che contiene l'immagine.
• IMAGE_NAME è il nome dell'immagine.
• DIGEST è il digest dell'immagine, una stringa che inizia con sha256:.

Filtrare le vulnerabilità in base allo stato VEX

Utilizzando gcloud, puoi filtrare i metadati delle vulnerabilità in base allo stato VEX. I filtri di Artifact Analysis si basano sullo stato archiviato in ogni occorrenza di vulnerabilità Grafeas.

Esegui questo comando per filtrare le occorrenze di vulnerabilità in base a uno stato VEX specificato:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"STATUS\""

Dove

• RESOURCE_URI è l'URL completo dell'immagine, simile a https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
• STATUS è lo stato VEX per cui filtrare, che può essere uno dei seguenti valori: known_affected, known_not_affected, under_investigation o fixed.

Ad esempio, esegui questo comando per filtrare le occorrenze di vulnerabilità con lo stato VEX AFFECTED:

gcloud artifacts vulnerabilities list RESOURCE_URI \
    --occurrence-filter="vulnDetails.vex_assessment.state=\"AFFECTED\""

Elenca vulnerabilità senza VEX

Per identificare le vulnerabilità a cui non sono ancora associate informazioni VEX, utilizza il seguente comando gcloud:

gcloud artifacts vulnerabilities list /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/IMAGE_NAME@DIGEST /--occurrence-filter="isNull(vulnDetails.vex_assessment.state)"

Dove

• LOCATION è la località regionale o multiregionale del tuo repository.
• PROJECT_ID è l'ID del progetto Google Cloud in cui l'immagine è archiviata in un repository Artifact Registry.
• REPO_NAME è il nome del repository Artifact Registry che contiene l'immagine.
• IMAGE_NAME è il nome dell'immagine.
• DIGEST è il digest dell'immagine, una stringa che inizia con sha256:.

Limitazioni

• Il caricamento delle istruzioni VEX è supportato solo per le immagini container.
• Le istruzioni VEX caricate non possono essere esportate negli standard CSAF, OpenVex o SPDX.

Passaggi successivi

• Scopri di più sulle SBOM.
• Esegui la scansione alla ricerca di vulnerabilità con Artifact Analysis.