Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document explique comment l'analyse des artefacts évalue les failles et attribue des niveaux de gravité.
Artifact Analysis évalue la gravité des failles à l'aide des niveaux suivants:
Critique
Élevée
Moyen
Faible
Ces niveaux de gravité sont des libellés qualitatifs qui reflètent des facteurs tels que l'exploitabilité, le champ d'application, l'impact et la maturité de la faille. Par exemple, si une faille permet à un utilisateur distant d'accéder à un système et d'exécuter du code arbitraire sans authentification ni interaction de l'utilisateur, cette faille est classée comme Critical.
Deux types de gravité supplémentaires sont associés à chaque faille:
Gravité effective : en fonction du type de faille :
Packages de l'OS : niveau de gravité attribué par le responsable de la distribution Linux. Si ces niveaux de gravité ne sont pas disponibles, l'analyse des artefacts utilise la valeur de gravité du fournisseur de notes(NVD). Si l'évaluation CVSS v2 de la NVD n'est pas disponible, Artifact Analysis utilise l'évaluation CVSS v3 de la NVD.
Packages de langues : niveau de gravité attribué par la base de données Advisory GitHub, avec une légère différence : Modéré est indiqué comme Moyen.
Score CVSS : score Common Vulnerability Scoring System et niveau de gravité associé, avec deux versions de notation :
CVSS 2.0 : disponible lorsque vous utilisez l'API, la Google Cloud CLI et l'IUG.
CVSS 3.1 : disponible lorsque vous utilisez l'API et la gcloud CLI.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/19 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/19 (UTC)."],[[["\u003cp\u003eArtifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact.\u003c/p\u003e\n"],["\u003cp\u003eSeverity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability.\u003c/p\u003e\n"],["\u003cp\u003eEffective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels.\u003c/p\u003e\n"],["\u003cp\u003eThe CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels.\u003c/p\u003e\n"]]],[],null,["# Severity levels in Artifact Analysis\n\nThis document describes how Artifact Analysis evaluates vulnerabilities and\nassigns severity levels.\n\nArtifact Analysis rates vulnerability severity using the following levels:\n\n- Critical\n- High\n- Medium\n- Low\n\nThese severity levels are qualitative labels that reflect factors such as\nexploitability, scope, impact, and maturity of the vulnerability. For example,\nif a vulnerability enables a remote user to access a system and run arbitrary\ncode without authentication or user interaction, that vulnerability\nwould be classified as `Critical`.\n\nTwo additional types of severity are associated with each vulnerability:\n\n- Effective severity - Depending on the vulnerability type:\n\n - OS packages - The severity level assigned by the Linux distribution maintainer. If these severity levels are unavailable, Artifact Analysis uses the severity value from the note provider, [(NVD)](https://nvd.nist.gov/vuln-metrics). If NVD's CVSS v2 rating is unavailable, Artifact Analysis uses the CVSS v3 rating from NVD.\n - Language packages - The [severity level](https://docs.github.com/en/graphql/reference/enums#securityadvisoryseverity) assigned by the GitHub Advisory Database, with a slight difference: *Moderate* is reported as *Medium*.\n- [CVSS score](https://www.first.org/cvss/v3.1/user-guide#Scoring-Guide) - The Common\n Vulnerability Scoring System score and associated severity level, with two\n scoring versions:\n\n - [CVSS 2.0](https://www.first.org/cvss/v2/guide) - Available when using the API, the Google Cloud CLI, and the GUI.\n - [CVSS 3.1](https://first.org/cvss/v3.1/user-guide) - Available when using the API and the gcloud CLI.\n\nWhat's next\n-----------\n\n- [Investigate vulnerabilities](/artifact-analysis/docs/investigate-vulnerabilities).\n- [Gate builds in your Cloud Build pipeline](/artifact-analysis/docs/ods-cloudbuild) based on vulnerability severity."]]
