もしTrend Micro Artifact Scannerが誤検出と判断された脆弱性、または無視したい他の脆弱性を報告した場合、オーバーライド構成ファイル(例:
~/tmas_vuln_overrides.yml)で1つ以上のルールを定義することで、Trend Micro Artifactにこれらの結果を上書きするよう指示することができます。これらのルールを使用してトレンドマイクロを実行するには、
--オーバーライドフラグ。tmas scan<artifact_to_scan>--override path/to/tmas_vuln_overrides.ymlオーバーライドファイルは、ルールのリストとして構成されます。各ルールでは、次の条件を任意に組み合わせて指定できます。
- 脆弱性ID (例:
「CVE-2008-4318」) - 修正状態 (使用可能な値:
「修正済み」,「未修正」,「修正なし」、または「不明」) - パッケージ名 (例:
「libcurl」) - パッケージのバージョン (例:
「1.5.1」) - パッケージの種類 (例:
"npm",「ゴーパッケージ」,"rpm"、またはトレンドマイクロ Artifact Scanner JSON脆弱性レポートに表示されるパッケージタイプ) - パッケージの場所 (例:
"/usr/local/lib/node_modules/**"; globパターンをサポート)
各ルールには、そのルールが実装された理由を示す必要があります (たとえば、「誤検出」、「軽減」、「脆弱性のあるパッケージ関数が呼び出されていない」など)。
vulnerabilities: # This is the full set of supported rule fields: - rule: vulnerability: CVE-0000-0000 fixState: unknown package: name: libcurl version: 1.5.1 type: npm location: "/usr/local/lib/node_modules/**" reason: A descriptor specifying why the override rule implemented
上書きファイルで指定されたルールのいずれかが検出結果に適用される場合、特定の脆弱性検出結果は上書きされます。ルールのすべてのフィールドが脆弱性結果で見つかったフィールドと一致する場合にのみ、ルールが結果に適用されたと見なされます。
脆弱性: # CVE-IDがCVE-0000-0000の脆弱性検出結果をオーバーライド - ルール: 脆弱性: CVE-0000-0000理由: 未実行 # libcurlバージョン1.5.1で検出された脆弱性検出をオーバーライド - ルール: パッケージ: 名前: libcurlバージョン: 1.5.1 reason: Dev依存関係
ルールに一致する脆弱性検出結果は、JSONレポートの
「オーバーライド」セクションではなく、重要度で分類されます。{ "totalVulnCount": 1, "criticalCount": 0, "highCount": 0, "mediumCount": 0, "lowCount": 0, "negligibleCount": 0, "unknownCount": 0, "overriddenCount": 1, "findings": { "High": [], "Low": [], "Medium": [], "Negligible": [], "Overridden": [ { "name": "libcurl", "type": "npm", "version": "1.5.1", "id": "CVE-0000-0000", "source": "https://nvd.nist.gov/vuln/detail/CVE-0000-0000", "severity": "Low", "fix": "not-fixed", "locations": ["/usr/local/lib/node_modules/**"], "cvssSummaries": [], "relatedVulnerabilities": [] } ] } }