Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על SBOM

במסמך הזה מוסברים מושגים שקשורים ל-SBOM ומתוארות התכונות של Artifact Analysis שעוזרות להבין את התלות בשרשרת אספקת התוכנה.

כשמאחסנים קובץ אימג' של קונטיינר ב-Artifact Registry, אפשר ליצור רשימת רכיבים (SBOM) של תוכנה שמתארת את התוכן של קובץ האימג'. הבנה של התלות של התוכנה יכולה לעזור לכם לשפר את מצב האבטחה. בנוסף, SBOM יכול לעזור לכם לאשר את הרכב התוכנה שלכם כדי לעמוד בדרישות של תקנות אבטחה כמו הצו המנהלי (EO) מס' 14028.

SBOMs

‫SBOM הוא רשימת מלאי של אפליקציה שניתנת לקריאה על ידי מכונה, ומזהה את החבילות שהתוכנה מסתמכת עליהן. התוכן יכול לכלול תוכנות של צד שלישי מספקים, ארטיפקטים פנימיים וספריות קוד פתוח.

בעזרת Artifact Analysis אפשר ליצור SBOM או להעלות SBOM משלכם.

בין אם אתם יוצרים את ה-SBOM באמצעות Artifact Analysis או מעלים אותו בעצמכם,‏ Artifact Analysis מספק תהליכי אחסון ואחזור עקביים שיעזרו לכם לתאם ולהעריך את כל פרטי התלות במקום אחד.

פורמט ה-SBOM

הכלי Artifact Analysis יוצר SBOM בפורמט Software Package Data Exchange‏ (SPDX) 2.3.

אם רוצים להעלות SBOM קיים ממקור חיצוני Google Cloud, יש תמיכה בפורמטים נוספים. העלאת SBOM

אחסון של SBOM

ב-Artifact Analysis, ה-SBOMs מאוחסנים ב-Cloud Storage בGoogle Cloud פרויקט שלכם. ‫SBOMs נשארים מאוחסנים ב-Cloud Storage אלא אם מוחקים את אובייקטי ה-SBOM או מוחקים את הקטגוריה. מידע על תמחור זמין במאמר תמחור של Cloud Storage.

סוגי חבילות נתמכים

ה-SBOM מספק רשימה של כל החבילות שאפשר לזהות באמצעות סריקה של Artifact Analysis. חבילות צריכות להיות בקונטיינר ולאחסן אותן במאגר Docker ב-Artifact Registry.

מידע נוסף על סוגי החבילות הנתמכים זמין במאמר סקירה כללית על סריקת קונטיינרים.

SBOM reference occurrence

בנוסף ל-SBOM שספציפי לקונטיינר, הכלי Artifact Analysis יוצר הפניה ל-SBOM של Grafeas, שכוללת את המידע הבא:

מיקום ה-SBOM ב-Cloud Storage
גיבוב (Hash) של ה-SBOM
חתימה מעל SbomReferenceIntotoPayload

אפשר להשתמש בחתימה כדי לוודא ש-SBOM נוצר על ידי Artifact Analysis.

החתימה מתבצעת באמצעות פרוטוקול החתימה DSSE, עם סוג המטען הייעודי application/vnd.in-toto+json.המטען הייעודי הוא הערך בפורמט JSON של SbomReferenceIntotoPayload.

מופע של חבילה

כדי לספק מידע נוסף על יחסי תלות, הכלי Artifact Analysis יוצר גם אירוע חבילה של Grafeas לכל חבילה מותקנת. המופעים של החבילה כוללים את הפרטים הבאים:

גרסת החבילה
סוג החבילה
פרטי הרישיון של חבילות מותקנות

מגבלות

מעקב אחרי חבילות שהותקנו נתמך רק בקובצי אימג' של קונטיינרים שנשלחים ל-Artifact Registry ונבדקים על ידי Container Scanning API. כתוצאה מכך, חיפוש ב-CLI של gcloud על סמך חבילות מותקנות פועל רק עם תמונות שמאוחסנות ב-Artifact Registry, כי המעקב אחרי חבילות מותקנות מתבצע רק בתמונות האלה.

סקירה כללית על SBOM קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.