Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על ניהול מטא-נתונים

בדף הזה מוסברים מושגים מרכזיים בניהול מטא-נתונים והחשיבות שלו בשרשרת מאובטחת של אספקת תוכנה.

אחד ההיבטים של שרשרת אספקה מאובטחת הוא מעקב אחרי משך החיים של ארטיפקט תוכנה. למטרות תאימות, יכול להיות שיהיה צורך במידע המעקב הזה גם הרבה אחרי שהארטיפקט יצא משימוש. אפשר לעשות את זה על ידי יצירה ואחסון של מטא-נתונים שמתארים אירועים חשובים לגבי ארטיפקט או משאב תוכנה: קובץ אימג' של קונטיינר, מכונה וירטואלית או חבילת תוכנה.

באמצעות Artifact Analysis אפשר לאחסן מידע על מטא-נתונים שמשויכים למשאב. אפשר לאחזר את המטא-נתונים האלה מאוחר יותר כדי לבדוק את שרשרת אספקת התוכנה.

איך Artifact Analysis מאחסן מטא-נתונים

הכלי Artifact Analysis מבוסס על Grafeas, רכיב קוד פתוח של API למטא נתונים שיכול לשמש כמקור מרכזי של נתונים מהימנים למעקב אחר מדיניות ולאכיפתה. כלי בנייה, ביקורת ותאימות יכולים להשתמש ב-Grafeas כדי לאחסן, לשאול ולאחזר מטא-נתונים מקיפים על רכיבי תוכנה.

מכיוון ש-Grafeas הוא קוד פתוח, אתם לא מוגבלים לספק מסוים. ‫Grafeas משייך מטא-נתונים באמצעות מזהה תוכנה ייחודי. הוא מפריד את אחסון הארטיפקטים, כך שאפשר לאחסן מטא-נתונים על רכיבים ממספר רב של מאגרי מידע שונים. אותם עקרונות חלים על Artifact Analysis. אפשר להשתמש בו כמאגר מטא נתונים אוניברסלי מרכזי לרכיבי תוכנה ב-Artifact Registry או בכל מיקום אחר.

מודל Grafeas כולל שתי ישויות:

ספק שיוצר מטא-נתונים שמאוחסנים בהערות.
לקוח שמזהה אם המטא-נתונים שמאוחסנים בהערה רלוונטיים לארטיפקטים שלו. במקרה כזה, המטא-נתונים מיוצגים כמופע של הערה.

נתונים

תג note מתאר מטא-נתונים ברמה גבוהה. לדוגמה, אתם יכולים ליצור הערה לגבי מקור הבנייה כדי שהלקוחות יראו שארטיפקט נבנה באמצעות מערכת בנייה ספציפית ומהימנה. אפשר גם להשתמש בהערה כדי לאחסן מידע על יוצר תהליך build. בדרך כלל, הספקים שמבצעים את הניתוח הם הבעלים של ההערות ויוצרים אותן. לקוחות שרוצים להשתמש במטא-נתונים יכולים לזהות מקרים של הערות בפרויקטים שלהם.

מומלץ לאחסן הערות ומקרים בפרויקטים נפרדים, כדי לאפשר בקרת גישה מפורטת יותר.

רק הבעלים של ההערה יכול לערוך אותה, ולקוחות שיש להם גישה למופעים שמפנים אליה יכולים רק לקרוא אותה.

אירוע

מופע מייצג את המועד שבו נמצאה הערה בארטיפקט תוכנה. אפשר לחשוב על זה כעל יצירת מופע של הערה. לדוגמה, מופע של הערה לגבי פגיעות יתאר את החבילה שבה נמצאה הפגיעות ואת השלבים הספציפיים לתיקון. לחלופין, מופע של הערה לגבי פרטי בנייה יתאר את קובצי האימג' של הקונטיינרים שהתקבלו מבנייה.

בדרך כלל, המופעים מאוחסנים בפרויקטים נפרדים מאלה שבהם נוצרים ההערות. צריך להעניק הרשאת גישה לכתיבה למופעים רק למשתמשים שיש להם גישה לקישור הערה למופע. לכל משתמש יכולה להיות גישת קריאה למופעים.

סוגי מטא-נתונים נתמכים

בטבלה הבאה מפורטים סוגי המטא-נתונים שנתמכים ב-Artifact Analysis. ספקי מטא-נתונים של צד שלישי יכולים לאחסן ולאחזר את כל סוגי המטא-נתונים הבאים של תמונות הלקוחות שלהם.

סוג המטא-נתונים	שימוש בשירותים Google Cloud
Vulnerability מספק מידע על פגיעות בקבצים שנבדקו.	Artifact Analysis יוצר מקרים של נקודות חולשה על סמך מסדי נתונים חיצוניים של בעיות אבטחה שפורסמו באופן ציבורי.
Build מספק מידע על מקורות ה-build.	אם משתמשים ב-Cloud Build כדי ליצור את האימג', המערכת יוצרת את המטא-נתונים האלה, ו-Artifact Analysis מאחסן את המידע.
חבילה מכילה מידע על החבילות שמותקנות בתמונה.
Discovery (גילוי) מכיל מידע על הסריקה הראשונית של התמונות.	המידע הזה מסופק על ידי Artifact Analysis רק לסריקות של נקודות חולשה.
האימות מכיל מידע על אישור התמונה.	כן. ‫Binary Authorization קורא את המידע הזה ויכול להשתמש בו כדי לשלוט על פריסות.
הערכת נקודות חולשה מאחסנת הצהרת VEX שהועלתה בפורמט של הערת VulnerabilityAssessment ב-Grafeas.
הפניה ל-SBOM מספקת מטא-נתונים נוספים שיעזרו לכם לאתר ולאמת את ה-SBOM.

המאמרים הבאים

צריך לספק מטא-נתונים לתמונות.
כדי להעניק שליטה פרטנית במטא-נתונים, צריך להגדיר בקרת גישה.