ライセンスと依存関係を表示する

このドキュメントでは、Artifact Analysis が自動スキャンで検出する依存関係メタデータを表示してフィルタリングする方法について説明します。

スキャン API を有効にしてコンテナイメージの脆弱性を特定すると、Artifact Analysis はイメージで使用されている依存関係とライセンスに関する情報も収集します。

このメタデータを使用して、コンテナイメージのコンポーネントを把握し、セキュリティの問題を修復できます。

Artifact Analysis は、Docker 形式の Artifact Registry リポジトリに保存されているコンテナイメージ内の OS パッケージとサポートされている言語パッケージの依存関係とライセンスを検出します。詳細については、コンテナスキャンの概要をご覧ください。

脆弱性情報と同様に、ライセンスと依存関係のメタデータは、イメージを Artifact Registry に push するたびに生成され、Artifact Analysis に保存されます。

Artifact Analysis は、過去 30 日以内に pull されたイメージとパッケージをスキャンし続けます。30 日経過すると、スキャンされたイメージとパッケージのメタデータは更新されなくなり、結果は古くなります。

Artifact Analysis は、90 日以上前のメタデータをアーカイブします。このアーカイブされたメタデータは、API を使用してのみ評価できます。古いメタデータまたはアーカイブされたメタデータを含むイメージを再スキャンするには、そのイメージを pull します。メタデータの更新には、最長で 24 時間ほどかかることがあります。古いメタデータまたはアーカイブされたメタデータを含むパッケージを再スキャンすることはできません。

始める前に

ログイン Google アカウントにログインします。

Google アカウントをまだお持ちでない場合は、新しいアカウントを登録します。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Google Cloud CLI をインストールします。

注: すでに gcloud CLI をインストールしている場合は、 gcloud components update を実行して、最新バージョンがインストールされていることを確認してください。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Google Cloud CLI をインストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

Artifact Registry に Docker リポジトリがある。SBOM の生成手順をご覧ください。

必要なロール

SBOM データを表示して結果をフィルタリングするために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

Container Analysis のオカレンスの閲覧者（roles/containeranalysis.occurrences.viewer）
Service Usage ユーザー（roles/serviceusage.serviceUsageConsumer）
Artifact Registry 読み取り (roles/artifactregistry.reader)

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

コンソールでライセンスと依存関係を表示する Google Cloud

Artifact Registry の [リポジトリ] ページを開きます。

[リポジトリ] ページを開く

このページには、リポジトリのリストが表示されます。
リポジトリリストで、リポジトリ名をクリックします。

[リポジトリの詳細] ページが開き、イメージのリストが表示されます。
イメージリストで、イメージ名をクリックします。

このページには、イメージダイジェストのリストが表示されます。
イメージダイジェストリストで、ダイジェスト名をクリックします。

このページには、タブの行が表示されます。[概要] タブが開き、形式、ロケーション、リポジトリ、仮想サイズ、タグなどの詳細が表示されます。
タブの行で [依存関係] タブをクリックします。

[依存関係] タブが開き、次の情報が表示されます。
- SBOM セクション
- ライセンスセクション
- フィルタ可能な依存関係のリスト

SBOM

Artifact Analysis でソフトウェア部品構成表（SBOM）を生成またはアップロードすると、このセクションに SBOM の詳細が表示されます。ライセンスや依存関係の情報とは異なり、SBOM は自動的に生成されません。SBOM の追加方法については、SBOM の概要をご覧ください。