上傳 VEX 陳述式

本文說明如何將現有的 Vulnerability Exploitability eXchange (VEX) 陳述式上傳至 Artifact Analysis。您也可以上傳其他發布者提供的聲明。

VEX 陳述式必須採用 JSON 中的 Common Security Advisory Format (CSAF) 2.0 標準格式。

必要的角色

如要取得上傳 VEX 評估項目和檢查 VEX 漏洞狀態所需的權限，請要求管理員為您授予專案的下列 IAM 角色：

• 如何建立及更新附註： 容器分析註記編輯者 (roles/containeranalysis.notes.editor)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

上傳 VEX 陳述式

執行 artifacts vulnerabilities load-vex 指令，上傳 VEX 資料並儲存在 Artifact Analysis 中：

gcloud artifacts vulnerabilities load-vex /
    --source CSAF_SOURCE /
    --uri RESOURCE_URI /

地點

• CSAF_SOURCE 是本機儲存的 VEX 陳述式檔案路徑。檔案必須是遵循 CSAF 結構定義的 JSON 檔案。
• RESOURCE_URI 可以是下列任一值：
  • 圖片的完整網址，類似 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH。
  • 圖片網址，類似 https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID。

外顯分析會將 VEX 陳述式轉換為 Grafeas VulnerabilityAssessment 筆記。

Artifact Analysis 會將安全漏洞評估附註儲存為每個 CVE 的一則附註。附註會儲存在 Container Analysis API 中，與指定映像檔位於相同專案。

上傳 VEX 陳述式時，Artifact Analysis 也會將 VEX 狀態資訊帶入相關的安全漏洞例項，讓您可以依 VEX 狀態篩選安全漏洞。如果 VEX 陳述式套用至映像檔，Artifact Analysis 就會將 VEX 狀態帶入該映像檔的所有版本，包括新推送的版本。

如果單一版本有兩個 VEX 陳述式，一個是為資源網址編寫，另一個是為相關聯圖片網址編寫，則為資源網址編寫的 VEX 陳述式會優先採用，並套用至漏洞事件。

後續步驟

• 使用 VEX 排定安全漏洞問題的優先順序。瞭解如何查看 VEX 陳述式，並依 VEX 狀態篩選安全漏洞。
• 瞭解如何產生軟體物料清單 (SBOM)，以符合法規遵循規定。
• 使用「Artifact Analysis」掃描 OS 套件和語言套件中的安全漏洞。