Lizenzen und Abhängigkeiten ansehen

In diesem Dokument wird beschrieben, wie Sie Metadaten zu Abhängigkeiten ansehen und filtern, die von der Artefaktanalyse mit dem automatischen Scan erkannt werden.

Wenn Sie die Scanning API aktivieren, um Sicherheitslücken in Container-Images zu identifizieren, erfasst die Artefaktanalyse auch Informationen zu den in Ihren Images verwendeten Abhängigkeiten und Lizenzen.

Anhand dieser Metadaten können Sie die Komponenten Ihrer Container-Images nachvollziehen und Sicherheitsprobleme beheben.

Die Artefaktanalyse bietet die Erkennung von Abhängigkeiten und Lizenzen für Betriebssystempakete und unterstützte Sprachpakete in Container-Images , die in einem Artifact Registry-Repository im Docker-Format gespeichert sind. Weitere Informationen finden Sie unter Übersicht zum Scannen von Containern.

Wie Informationen zu Sicherheitslücken werden auch Lizenz- und Abhängigkeitsmetadaten jedes Mal generiert, wenn Sie ein Image in Artifact Registry übertragen. Anschließend werden sie in der Artefaktanalyse gespeichert.

Die Artefaktanalyse scannt Images und Pakete so lange, wie sie in den letzten 30 Tagen abgerufen wurden. Nach 30 Tagen werden die Metadaten für gescannte Images und Pakete nicht mehr aktualisiert und die Ergebnisse sind veraltet.

Die Artefaktanalyse archiviert Metadaten, die seit mehr als 90 Tagen veraltet sind. Diese archivierten Metadaten können nur mit der API ausgewertet werden. Sie können ein Image mit veralteten oder archivierten Metadaten noch einmal scannen, indem Sie es abrufen. Das Aktualisieren der Metadaten kann bis zu 24 Stunden dauern. Pakete mit veralteten oder archivierten Metadaten können nicht noch einmal gescannt werden.

Hinweis

Melden Sie sich in Ihrem Google-Konto an.

Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

1. Sie benötigen ein Docker-Repository in Artifact Registry . Eine Anleitung zum Generieren von SBOMs finden Sie hier.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ansehen von SBOM-Daten und zum Filtern von Ergebnissen benötigen:

• Betrachter von Container Analysis-Vorkommen (roles/containeranalysis.occurrences.viewer)
• Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
• Artifact Registry-Leser (roles/artifactregistry.reader)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Lizenzen und Abhängigkeiten in der Google Cloud Console ansehen

1. Öffnen Sie die Artifact Registry-Seite Repositories.

   Zur Seite „Repositories“

   Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

2. Klicken Sie in der Liste der Repositories auf einen Repository-Namen.

   Die Seite Repository-Details wird geöffnet und enthält eine Liste Ihrer Images.

3. Klicken Sie in der Liste der Images auf einen Image-Namen.

   Auf der Seite wird eine Liste Ihrer Image-Digests angezeigt.

4. Klicken Sie in der Liste der Image-Digests auf einen Digest-Namen.

   Auf der Seite wird eine Reihe von Tabs angezeigt. Der Tab Übersicht ist geöffnet und enthält Details wie Format, Speicherort, Repository, virtuelle Größe und Tags.

5. Klicken Sie in der Reihe von Tabs auf den Tab Abhängigkeiten.

   Der Tab „Abhängigkeiten“ wird geöffnet und enthält die folgenden Informationen:

   • SBOM-Bereich
   • Bereich „Lizenzen“
   • Eine filterbare Liste von Abhängigkeiten

SBOMs

Wenn Sie mit der Artefaktanalyse eine Software-Stückliste (Software Bill of Materials, SBOM) generieren oder hochladen, werden Ihre SBOM-Details in diesem Abschnitt angezeigt. SBOMs werden nicht automatisch wie Lizenz- und Abhängigkeitsinformationen generiert. Informationen zum Hinzufügen von SBOMs finden Sie unter SBOM-Übersicht.

Lizenzen

Im Übersichtsabschnitt Lizenzen wird ein Balkendiagramm mit dem Titel Häufigste Lizenzen angezeigt. Darin sind die Lizenztypen dargestellt, die in Ihren Abhängigkeitsinformationen am häufigsten vorkommen. Wenn Sie den Mauszeiger über einen Balken im Diagramm halten, wird in der Console die genaue Anzahl der Instanzen dieses Lizenztyps angezeigt.

Abhängigkeiten

Die Liste der Abhängigkeiten enthält den Inhalt Ihres Image-Digests, einschließlich:

• Paketname
• Paketversion
• Pakettyp
• Lizenztyp

Sie können die Liste der Abhängigkeiten nach einer dieser Kategorien filtern.

Lizenzen und Abhängigkeiten in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie Image-Metadaten im Seitenbereich Sicherheitsinformationen in der Google Cloud Console ansehen.

Der Seitenbereich Sicherheitsinformationen bietet einen allgemeinen Überblick über die Informationen zur Buildsicherheit für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie mit Cloud Build Ihre Softwarelieferkette schützen können, finden Sie unter Informationen zur Buildsicherheit ansehen.

Beschränkungen

Informationen zu Lizenzen und Abhängigkeiten sind nur beim automatischen Scannen verfügbar. Das Scannen auf Anfrage unterstützt diese Funktion nicht.

Nächste Schritte

• Erstellen Sie eine Software-Stückliste (Software Bill of Materials, SBOM), um Compliance-Anforderungen zu erfüllen.
• Suchen Sie mit gängigen Abfragemustern nach Sicherheitslücken.
• Erstellen Sie VEX-Anweisungen, um den Sicherheitsstatus Ihrer Images zu bestätigen.