Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento descreve como a análise de artefactos avalia as vulnerabilidades e atribui níveis de gravidade.
A análise de artefactos classifica a gravidade das vulnerabilidades através dos seguintes níveis:
Crítico
Alto
Médio
Baixo
Estes níveis de gravidade são etiquetas qualitativas que refletem fatores como a
explorabilidade, o âmbito, o impacto e a maturidade da vulnerabilidade. Por exemplo, se uma vulnerabilidade permitir que um utilizador remoto aceda a um sistema e execute código arbitrário sem autenticação ou interação do utilizador, essa vulnerabilidade seria classificada como Critical.
Existem dois tipos de gravidade adicionais associados a cada vulnerabilidade:
Gravidade efetiva: consoante o tipo de vulnerabilidade:
Pacotes do SO: o nível de gravidade atribuído pelo responsável pela manutenção da distribuição do Linux. Se estes níveis de gravidade não estiverem disponíveis,
a análise de artefactos usa o valor de gravidade do fornecedor de notas,
(NVD). Se a classificação CVSS v2 do NVD estiver indisponível, a análise de artefactos usa a classificação CVSS v3 do NVD.
Pacotes de idiomas: o nível de gravidade atribuído pela
base de dados de avisos do GitHub, com uma ligeira diferença:
Moderado é comunicado como Médio.
Pontuação CVSS: a pontuação do sistema de pontuação de vulnerabilidades comuns e o nível de gravidade associado, com duas versões de pontuação:
CVSS 2.0: disponível quando usa a API, a CLI do Google Cloud e a GUI.
CVSS 3.1: disponível quando usa a API e a CLI gcloud.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eArtifact Analysis evaluates and assigns severity levels to vulnerabilities based on factors like exploitability and impact.\u003c/p\u003e\n"],["\u003cp\u003eSeverity levels include Critical, High, Medium, and Low, providing a qualitative assessment of each vulnerability.\u003c/p\u003e\n"],["\u003cp\u003eEffective severity is determined by either the Linux distribution maintainer for OS packages or the GitHub Advisory Database for language packages, and it differs slightly from the severity levels.\u003c/p\u003e\n"],["\u003cp\u003eThe CVSS score, available in versions 2.0 and 3.1, provides a quantitative measure of vulnerability severity, complementing the qualitative severity levels.\u003c/p\u003e\n"]]],[],null,["# Severity levels in Artifact Analysis\n\nThis document describes how Artifact Analysis evaluates vulnerabilities and\nassigns severity levels.\n\nArtifact Analysis rates vulnerability severity using the following levels:\n\n- Critical\n- High\n- Medium\n- Low\n\nThese severity levels are qualitative labels that reflect factors such as\nexploitability, scope, impact, and maturity of the vulnerability. For example,\nif a vulnerability enables a remote user to access a system and run arbitrary\ncode without authentication or user interaction, that vulnerability\nwould be classified as `Critical`.\n\nTwo additional types of severity are associated with each vulnerability:\n\n- Effective severity - Depending on the vulnerability type:\n\n - OS packages - The severity level assigned by the Linux distribution maintainer. If these severity levels are unavailable, Artifact Analysis uses the severity value from the note provider, [(NVD)](https://nvd.nist.gov/vuln-metrics). If NVD's CVSS v2 rating is unavailable, Artifact Analysis uses the CVSS v3 rating from NVD.\n - Language packages - The [severity level](https://docs.github.com/en/graphql/reference/enums#securityadvisoryseverity) assigned by the GitHub Advisory Database, with a slight difference: *Moderate* is reported as *Medium*.\n- [CVSS score](https://www.first.org/cvss/v3.1/user-guide#Scoring-Guide) - The Common\n Vulnerability Scoring System score and associated severity level, with two\n scoring versions:\n\n - [CVSS 2.0](https://www.first.org/cvss/v2/guide) - Available when using the API, the Google Cloud CLI, and the GUI.\n - [CVSS 3.1](https://first.org/cvss/v3.1/user-guide) - Available when using the API and the gcloud CLI.\n\nWhat's next\n-----------\n\n- [Investigate vulnerabilities](/artifact-analysis/docs/investigate-vulnerabilities).\n- [Gate builds in your Cloud Build pipeline](/artifact-analysis/docs/ods-cloudbuild) based on vulnerability severity."]]
