Halaman ini memperkenalkan konsep utama untuk pengelolaan metadata dan kepentingannya dalam rantai pengiriman software yang aman.
Salah satu aspek supply chain yang aman adalah melacak masa aktif artefak software. Untuk tujuan kepatuhan, informasi pelacakan ini mungkin perlu tersedia bahkan setelah artefak dihentikan. Hal ini dapat dicapai dengan membuat dan menyimpan metadata yang menjelaskan peristiwa penting tentang artefak atau resource software: image container, mesin virtual, atau paket software.
Analisis Artefak memungkinkan Anda menyimpan informasi metadata yang terkait dengan sumber daya. Metadata ini dapat diambil nanti untuk mengaudit rantai pasokan software Anda.
Cara Artifact Analysis menyimpan metadata
Analisis Artefak dibangun di atas Grafeas, API metadata komponen open source yang dapat berfungsi sebagai sumber kebenaran terpusat untuk melacak dan menerapkan kebijakan. Alat build, audit, dan kepatuhan dapat menggunakan Grafeas untuk menyimpan, membuat kueri, dan mengambil metadata komprehensif tentang komponen software.
Karena Grafeas bersifat open source, Anda tidak terikat pada vendor tertentu. Grafeas mengaitkan metadata menggunakan ID software unik. Hal ini memisahkan penyimpanan artefak, sehingga Anda dapat menyimpan metadata tentang komponen dari berbagai repositori. Prinsip yang sama berlaku untuk Analisis Artefak, Anda dapat menggunakannya sebagai penyimpanan metadata universal terpusat untuk komponen software di Artifact Registry atau lokasi lainnya.
Model Grafeas melibatkan dua entitas:
- Penyedia yang membuat metadata yang disimpan dalam catatan.
- Pelanggan yang mengidentifikasi apakah metadata yang disimpan dalam catatan berlaku untuk artefak mereka. Jika demikian, metadata direpresentasikan sebagai kemunculan catatan.
Catatan
Catatan menjelaskan metadata tingkat tinggi. Misalnya, Anda dapat membuat catatan tentang kerentanan tertentu untuk paket Linux. Anda juga dapat menggunakan catatan untuk menyimpan informasi tentang pembuat proses build. Penyedia yang melakukan analisis biasanya memiliki dan membuat catatan. Pelanggan yang ingin menggunakan metadata kemudian dapat mengidentifikasi kemunculan catatan dalam project mereka.
Sebaiknya simpan catatan dan kejadian dalam project terpisah, sehingga memungkinkan kontrol akses yang lebih terperinci.
Catatan hanya dapat diedit oleh pemilik catatan, dan hanya dapat dibaca oleh pelanggan yang memiliki akses ke kemunculan yang merujuknya.
Kemunculan
Kejadian menunjukkan kapan catatan ditemukan pada artefak software; dapat dianggap sebagai instansiasi catatan. Misalnya, kemunculan catatan tentang kerentanan akan menjelaskan paket tempat kerentanan ditemukan dan langkah-langkah perbaikan tertentu. Atau, kemunculan catatan tentang detail build akan menjelaskan image container yang dihasilkan dari build.
Biasanya, kemunculan disimpan dalam project terpisah dari project tempat catatan dibuat. Akses tulis ke kejadian hanya boleh diberikan kepada pengguna yang memiliki akses untuk menautkan catatan ke kejadian. Setiap pengguna dapat memiliki akses baca ke kejadian.
Jenis metadata yang didukung
Tabel berikut mencantumkan jenis metadata yang didukung Analisis Artefak. Penyedia metadata pihak ketiga dapat menyimpan dan mengambil semua jenis metadata berikut untuk gambar pelanggan mereka.
| Jenis metadata | Penggunaan di layanan Google Cloud |
|---|---|
| Kerentanan memberikan informasi kerentanan untuk file yang diaudit. | Artifact Analysis membuat kemunculan kerentanan berdasarkan database eksternal masalah keamanan yang diungkapkan secara publik. |
| Build memberikan informasi tentang provenance build. | Cloud Build menghasilkan metadata ini dan Artifact Analysis menyimpan informasi jika Anda menggunakan Cloud Build untuk membangun image. |
| Paket berisi informasi tentang paket yang diinstal di image Anda. | |
| Penemuan berisi informasi tentang pemindaian awal gambar. | Artifact Analysis menyediakan informasi ini hanya untuk pemindaian kerentanan. |
| Pengesahan berisi informasi sertifikasi gambar. | Ya. Otorisasi Biner membaca informasi ini dan dapat menggunakannya untuk mengontrol deployment. |
| Penilaian kerentanan menyimpan pernyataan VEX yang diupload dalam format catatan VulnerabilityAssessment Grafeas. | |
| Referensi SBOM memberikan metadata tambahan untuk membantu Anda menemukan dan memverifikasi SBOM. |
Langkah berikutnya
- Berikan metadata untuk gambar Anda.
- Berikan kontrol terperinci atas metadata Anda dengan mengonfigurasi kontrol akses.