Este documento descreve como aceder aos registos da lista de materiais de software (SBOM) e aos metadados de dependências relacionados para ajudar a compreender os componentes das suas imagens de contentores armazenadas no Artifact Registry.
Antes de começar
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init - Ter SBOMs armazenadas no Cloud Storage. Consulte as instruções sobre como gerar SBOMs.
-
Visualizador de ocorrências da Container Analysis (
roles/containeranalysis.occurrences.viewer) -
Consumidor de utilização do serviço (
roles/serviceusage.serviceUsageConsumer) -
Leitor do Artifact Registry (
roles/artifactregistry.reader) -
Para validar SBOMS:
Storage Object Viewer (
roles/storage.objectViewer) – um contentor específico do Cloud Storage Abra a página Repositórios do Artifact Registry.
A página apresenta uma lista dos seus repositórios.
Na lista de repositórios, clique no nome de um repositório.
A página Detalhes do repositório é aberta e apresenta uma lista das suas imagens.
Na lista de imagens, clique no nome de uma imagem.
A página apresenta uma lista dos seus resumos de imagens.
Na lista de resumos de imagens, clique no nome de um resumo.
A página apresenta uma linha de separadores com o separador Vista geral aberto, que mostra detalhes como o formato, a localização, o repositório, o tamanho virtual e as etiquetas.
Na linha de separadores, clique no separador Dependencies.
O separador Dependências é aberto e apresenta as seguintes informações:
- Secção SBOM
- Secção Licenças
- Uma lista filtrável de dependências
- Ficheiro: um nome de ficheiro SBOM clicável, que abre a localização onde a sua SBOM está guardada no Cloud Storage.
- Tipo: o tipo de norma SBOM usada, como Software Package Data Exchange (SPDX) ou Cyclone.
- Versão: a versão da norma SBOM usada.
- Gerado por: a origem dos dados da SBOM, quer tenham sido gerados pela análise de artefactos ou carregados manualmente.
- Nome do pacote
- Versão do pacote
- Tipo de pacote
- Tipo de licença
--resourceespecifica o URI do recurso de imagem para listar referências de ficheiros SBOM.- A localização do Cloud Storage para a SBOM. Usando a localização do Cloud Storage, pode ver a SBOM na CLI gcloud executando o comando gcloud storage cat.
- Se a SBOM ainda está no contentor do Cloud Storage ou foi removida.
- Um hash da SBOM que pode usar para verificar se não foi modificada.
- As informações de licença só são fornecidas para pacotes de SO e pacotes de idiomas suportados.
- Gere SBOMs.
- Saiba como usar declarações VEX.
Funções necessárias
Para receber as autorizações de que precisa para ver dados da SBOM e filtrar resultados, peça ao seu administrador que lhe conceda as seguintes funções da IAM no projeto:
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Veja as SBOMs na Google Cloud consola
Para ver as SBOMs e os metadados de dependências relacionados para imagens de contentores armazenadas no Artifact Registry:
SBOM
A secção de resumo da SBOM apresenta as seguintes informações:
Licenças
A secção de resumo Licenças apresenta um gráfico de barras denominado Licenças mais comuns. Isto representa os tipos de licenças que aparecem com mais frequência nas suas informações de dependência. Quando passa o ponteiro do rato sobre uma barra no gráfico, a consola apresenta a contagem exata das instâncias desse tipo de licença.
Dependências
A lista de dependências apresenta o conteúdo do resumo da imagem, incluindo:
Pode filtrar a lista de dependências por qualquer uma destas categorias.
Veja SBOMs no Cloud Build
Se estiver a usar o Cloud Build, pode ver os metadados das imagens no painel lateral Estatísticas de segurança na Google Cloud consola.
O painel lateral Estatísticas de segurança oferece uma vista geral das informações de segurança de compilação para artefactos armazenados no Artifact Registry. Para saber mais acerca do painel lateral e como pode usar o Cloud Build para ajudar a proteger a sua cadeia de fornecimento de software, consulte Veja estatísticas de segurança de compilação.
Veja SBOMs com a CLI gcloud
Use o comando
gcloud artifacts sbom list
para pesquisar SBOMs armazenadas no Cloud Storage. Esta pesquisa aplica-se a todas as suas SBOMs no Cloud Storage, incluindo as geradas pela análise de artefactos e as que optar por carregar a partir de outra origem através de um formato suportado.
Pode usar filtros com o comando gcloud para restringir os resultados e focar-se nas SBOMs mais relevantes para uma preocupação de segurança específica ou um pedido de conformidade.
Por exemplo, o comando seguinte demonstra como obter informações sobre a SBOM de uma imagem do Docker my-image armazenada no Artifact Registry:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"
Onde:
A saída inclui o seguinte:
Filtros
Pode filtrar SBOMs específicas através de qualquer uma das seguintes flags opcionais:
| Bandeira | Finalidade | Valor da entrada |
|---|---|---|
--dependency |
Apresenta todas as referências de ficheiros SBOM onde um recurso tem o pacote especificado instalado. Consulte os tipos de pacotes suportados. | O nome de um pacote instalado |
--resource |
Liste referências de ficheiros SBOM relacionadas com uma imagem específica. | O URI do recurso |
--resource-prefix |
Liste as referências de ficheiros SBOM relacionadas com o prefixo do caminho do recurso. | Um caminho de recurso que vai ser usado como prefixo para a pesquisa |
Exemplos de filtragem
Filtre os resultados por URI do recurso:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"
Filtrar por prefixo de recurso:
gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"