本頁面介紹中繼資料管理的重要概念,以及中繼資料管理在安全軟體交付鏈中的重要性。
安全供應鏈的其中一個層面,就是追蹤軟體構件的生命週期。為符合法規要求,即使構件已停用,這類追蹤資訊可能仍須保留一段時間。方法是產生並儲存中繼資料,說明構件或軟體資源的重要事件,例如容器映像檔、虛擬機器或軟體套件。
您可以透過構件分析功能儲存與資源相關聯的中繼資料資訊,之後即可擷取這些中繼資料,稽核軟體供應鏈。
構件分析如何儲存中繼資料
構件分析是以 Grafeas 為基礎建構而成,這是一項開放原始碼元件中繼資料 API,可做為追蹤及強制執行政策的集中式資料來源。建構、稽核和法規遵循工具可以使用 Grafeas,儲存、查詢及擷取軟體元件的完整中繼資料。
由於 Grafeas 是開放原始碼,您不會受限於特定供應商。Grafeas 會使用專屬軟體 ID 關聯中繼資料。這項功能會將構件儲存空間分離,因此您可以儲存多個不同存放區的元件中繼資料。Artifact Analysis 也是如此,您可以將其做為軟體元件的集中式通用中繼資料儲存空間,無論這些元件位於 Artifact Registry 或任何其他位置都適用。
Grafeas 模型包含兩種實體:
- 建立儲存在「附註」中的中繼資料的供應商。
- 客戶:識別附註中儲存的中繼資料是否適用於構件。如果是這種情況,中繼資料會以註記的例項表示。
注意事項
註記是用於描述中繼資料的一種基本說明資訊。舉例來說,您可以為 Linux 套件建立有關特定安全漏洞的註記,也可以使用註記來儲存建構程序中有關製作工具的資訊。執行分析的供應商通常擁有及建立註記。想要使用中繼資料的客戶,就能在專案中找出附註的出現位置。
建議您將註記和例項儲存在不同的專案中,以便更精細地控管存取權。
註記必須是只能由註記擁有者編輯,如果客戶有權存取參照這些註記的例項,則必須只能有註記的唯讀權限。
Google Cloud出現次數
例項代表的是軟體構件中出現註記的情況,也就是註記的例項。舉例來說,安全漏洞相關註記的例項會描述安全漏洞所在的套件和特定補救步驟。此外,有關建構詳情的註記例項則會描述建構作業產生的容器映像檔。
用來儲存例項的專案通常會與建立註記的專案不同。您應該只將例項的寫入權限授予有權將註記連結至例項的使用者。所有使用者都具備例項的讀取權限。
支援的中繼資料類型
下表列出 Artifact Analysis 支援的中繼資料類型。第三方中繼資料供應商可以為客戶的映像檔儲存及擷取下列所有的中繼資料類型。
| 中繼資料類型 | 在 Google Cloud 服務中的使用情形 |
|---|---|
| 「安全漏洞」提供稽核檔案的安全漏洞資訊。 | Artifact Analysis 會根據外部資料庫中公開揭露的安全問題,產生安全漏洞事件。 |
| 版本,提供版本來源的資訊。 | 如果您使用 Cloud Build 建構映像檔,Cloud Build 會產生這項中繼資料,Artifact Analysis 則會儲存這項資訊。 |
| 套件包含映像檔中所安裝套件的資訊。 | |
| 掃描結果包含映像檔的初始掃描資訊。 | Artifact Analysis 只會在掃描到安全漏洞時提供這項資訊。 |
| 認證包含圖片認證資訊。 | 可以。二進位授權會讀取這項資訊,並可用於控管部署作業。 |
| 安全漏洞評估會以 Grafeas VulnerabilityAssessment 記事格式儲存上傳的 VEX 陳述式。 | |
| SBOM 參照提供額外的中繼資料,協助您尋找及驗證 SBOM。 |