Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describe cómo evalúa las vulnerabilidades Artifact Analysis y cómo asigna niveles de gravedad.
Artifact Analysis clasifica la gravedad de las vulnerabilidades según los siguientes niveles:
Crítica
Alta
Medio
Bajo
Estos niveles de gravedad son etiquetas cualitativas que reflejan factores como la capacidad de explotación, el alcance, el impacto y la antigüedad de la vulnerabilidad. Por ejemplo, si una vulnerabilidad permite que un usuario remoto acceda a un sistema y ejecute código arbitrario sin autenticación ni interacción del usuario, esa vulnerabilidad se clasificaría como Critical.
A cada vulnerabilidad se asocian dos tipos de gravedad adicionales:
Gravedad efectiva: según el tipo de vulnerabilidad:
Paquetes del SO: el nivel de gravedad asignado por el mantenedor de la distribución de Linux. Si estos niveles de gravedad no están disponibles, el análisis de artefactos usa el valor de gravedad del proveedor de notas, (NVD). Si la puntuación de CVSS v2 del NVD no está disponible, Análisis de artefactos usa la puntuación de CVSS v3 del NVD.
Paquetes de idiomas: el nivel de gravedad asignado por la base de datos de avisos de GitHub, con una ligera diferencia: Moderado se indica como Medio.
Puntuación del CVSS: puntuación del Common Vulnerability Scoring System y nivel de gravedad asociado, con dos versiones de puntuación:
CVSS 2.0: disponible al usar la API, la CLI de Google Cloud y la interfaz gráfica de usuario.
CVSS 3.1: disponible al usar la API y la CLI de gcloud.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eArtifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact.\u003c/p\u003e\n"],["\u003cp\u003eSeverity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability.\u003c/p\u003e\n"],["\u003cp\u003eEffective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels.\u003c/p\u003e\n"],["\u003cp\u003eThe CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels.\u003c/p\u003e\n"]]],[],null,["# Severity levels in Artifact Analysis\n\nThis document describes how Artifact Analysis evaluates vulnerabilities and\nassigns severity levels.\n\nArtifact Analysis rates vulnerability severity using the following levels:\n\n- Critical\n- High\n- Medium\n- Low\n\nThese severity levels are qualitative labels that reflect factors such as\nexploitability, scope, impact, and maturity of the vulnerability. For example,\nif a vulnerability enables a remote user to access a system and run arbitrary\ncode without authentication or user interaction, that vulnerability\nwould be classified as `Critical`.\n\nTwo additional types of severity are associated with each vulnerability:\n\n- Effective severity - Depending on the vulnerability type:\n\n - OS packages - The severity level assigned by the Linux distribution maintainer. If these severity levels are unavailable, Artifact Analysis uses the severity value from the note provider, [(NVD)](https://nvd.nist.gov/vuln-metrics). If NVD's CVSS v2 rating is unavailable, Artifact Analysis uses the CVSS v3 rating from NVD.\n - Language packages - The [severity level](https://docs.github.com/en/graphql/reference/enums#securityadvisoryseverity) assigned by the GitHub Advisory Database, with a slight difference: *Moderate* is reported as *Medium*.\n- [CVSS score](https://www.first.org/cvss/v3.1/user-guide#Scoring-Guide) - The Common\n Vulnerability Scoring System score and associated severity level, with two\n scoring versions:\n\n - [CVSS 2.0](https://www.first.org/cvss/v2/guide) - Available when using the API, the Google Cloud CLI, and the GUI.\n - [CVSS 3.1](https://first.org/cvss/v3.1/user-guide) - Available when using the API and the gcloud CLI.\n\nWhat's next\n-----------\n\n- [Investigate vulnerabilities](/artifact-analysis/docs/investigate-vulnerabilities).\n- [Gate builds in your Cloud Build pipeline](/artifact-analysis/docs/ods-cloudbuild) based on vulnerability severity."]]
