文档首页/ 容器镜像服务 SWR/ API参考(企业版)/ API/ 制品扫描/ 获取制品扫描的漏洞信息 - ListInstanceArtifactVulnerabilities
更新时间:2025-11-28 GMT+08:00
在线调试
CLI示例
查看PDF
分享

获取制品扫描的漏洞信息 - ListInstanceArtifactVulnerabilities

功能介绍

获取制品扫描的漏洞信息

接口约束

此接口只在企业仓库实例版本25.7.20以上的版本才支持

调用方法

请参见如何调用API

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,当前API调用无需身份策略权限。

URI

GET /v2/{project_id}/instances/{instance_id}/namespaces/{namespace_name}/repositories/{repository_name}/artifacts/{reference}/vulnerabilities

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

项目ID

instance_id

String

企业仓库实例ID

namespace_name

String

命名空间名称

repository_name

String

制品仓库名称, 如果您的镜像名称repository_name参数中有/,请先把 / 替换成 %2F 再进行请求。注意:使用curl命令请求,需要把 / 替换成 %252F(即 %2F 的 % 被编码为 %25)再次请求。

reference

String

制品摘要

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token。

通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。

响应参数

状态码:200

表3 响应Body参数

参数

参数类型

描述

{自定义key}

Map<String,VulnerabilityReports>

支持漏洞报告类型为application/vnd.security.vulnerability.report; version=1.1的漏洞报告
表4 VulnerabilityReports

参数

参数类型

描述

generated_at

String

漏洞报告生成时间

severity

String

制品扫描报告的总体严重程度,None(无评分), Low(低危), Medium(中危), High(高危), Critical(严重), Security(安全)

scanner

Scanner object

扫描器的信息

vulnerabilities

Array of vulnerability objects

漏洞列表
表5 Scanner

参数

参数类型

描述

name

String

扫描器的名称

vendor

String

扫描器的提供商

version

String

扫描器的版本号
表6 vulnerability

参数

参数类型

描述

id

String

漏洞ID

package

String

含有漏洞的软件包名称

version

String

含有漏洞的软件包版本号

fix_version

String

漏洞修复的软件包版本号

severity

String

漏洞的严重程度,Low(低危), Medium(中危), High(高危), Critical(严重)

description

String

漏洞的描述信息

links

Array of strings

漏洞的相关链接信息

artifact_digests

Array of strings

哪些镜像层包含此漏洞

preferred_cvss

preferred_cvss object

基于CVSS3和CVSS2的漏洞项评分及攻击向量

cwe_ids

Array of strings

与此漏洞相关的CWE ID列表
表7 preferred_cvss

参数

参数类型

描述

score_v3

Number

漏洞的CVSS-3评分

score_v2

Number

漏洞的CVSS-2评分

vector_v3

String

漏洞的CVSS-3攻击向量

vector_v2

String

漏洞的CVSS-2攻击向量

状态码:400

表8 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

encoded_authorization_message

String

加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。

状态码:401

表9 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

encoded_authorization_message

String

加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。

状态码:403

表10 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

encoded_authorization_message

String

加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。

状态码:404

表11 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

encoded_authorization_message

String

加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。

状态码:500

表12 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

encoded_authorization_message

String

加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。

请求示例

GET https://{endpoint}/v2/{project_id}/instances/{instance_id}/namespaces/{namespace_name}/repositories/{repository_name}/artifacts/{reference}/vulnerabilities

响应示例

状态码:200

查询制品的漏洞信息成功

{
  "application/vnd.security.vulnerability.report; version=1.1" : {
    "generated_at" : "2025-09-12:06:44:31",
    "scanner" : {
      "name" : "HSS",
      "vendor" : "HSS",
      "version" : "v5"
    },
    "severity" : "High",
    "vulnerabilities" : [ {
      "id" : "CVE-2020-2755",
      "package" : "openjdk-8-jre",
      "version" : "8u181-b13-2~deb9u1",
      "fix_version" : "",
      "severity" : "High",
      "description" : "Vulnerability in the Java SE, Java SE Embedded product of Oracle Java SE (component: Scripting). Supported versions that are affected are Java SE: 8u241, 11.0.6 and 14; Java SE Embedded: 8u241. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Java SE, Java SE Embedded. Note: Applies to client and server deployment of Java. This vulnerability can be exploited through sandboxed Java Web Start applications and sandboxed Java applets. It can also be exploited by supplying data to APIs in the specified Component without using sandboxed Java Web Start applications or sandboxed Java applets, such as through a web service. CVSS 3.0 Base Score 3.7 (Availability impacts). CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).",
      "links" : [ "https://security-tracker.debian.org/tracker/DSA-4668-1" ],
      "artifact_digests" : [ "sha256:a48d150ffd2faf9ea63217a7774a75cd3b4a252413810c2239d1ee257efc9e13" ],
      "preferred_cvss" : {
        "score_v3" : 3.700000047683716,
        "score_v2" : 3.7,
        "vector_v3" : "",
        "vector_v2" : ""
      },
      "cwe_ids" : [ "" ]
    } ]
  }
}

状态码

状态码

描述

200

查询制品的漏洞信息成功

400

错误的请求

401

鉴权失败

403

禁止访问

404

未找到资源

500

内部错误

错误码

请参见错误码

父主题: 制品扫描

相关文档