Gerar e armazenar SBOMs

Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM) que lista as dependências nas imagens de contêiner.

Ao armazenar imagens de contêiner no Artifact Registry e verificar vulnerabilidades com o Artifact Analysis, você pode gerar uma SBOM usando a Google Cloud CLI.

Para informações sobre como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.

O Artifact Analysis armazena SBOMs no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.

Antes de começar

  1. Faça login na sua Conta do Google.

    Se você ainda não tiver uma, inscreva-se agora.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instale a Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instale a Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  13. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
  14. Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não estiver familiarizado com o Artifact Registry, consulte o Guia de início rápido do Docker.

Funções exigidas

Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos SBOM, peça ao administrador para conceder a você o papel do IAM de Administrador do Storage (roles/storage.admin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Gerar um arquivo SBOM

Para gerar um arquivo SBOM, use o seguinte comando:

gcloud artifacts sbom export --uri=URI

Onde

  • URI é o URI da imagem do Artifact Registry que o arquivo SBOM descreve, semelhante a us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de tag ou de resumo. As imagens fornecidas no formato de tag serão resolvidas no formato de resumo.

O Artifact Analysis armazena sua SBOM no Cloud Storage.

É possível visualizar SBOMs usando o Google Cloud console ou a CLI gcloud. Se você quiser localizar o bucket do Cloud Storage que contém suas SBOMs, você deve pesquisar por SBOMs usando a CLI gcloud.

Gerar uma SBOM sem verificação de vulnerabilidades

Se você quiser gerar uma SBOM, mas não quiser a verificação contínua de vulnerabilidades para seu projeto, ainda poderá exportar uma SBOM se ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você tiver exportado uma SBOM, desative a API Container Scanning para evitar cobranças por mais verificação de vulnerabilidades.

A seguir