In diesem Dokument wird beschrieben, wie Sie eine Software-Stückliste (Software Bill of Materials, SBOM) erstellen und speichern, in der die Abhängigkeiten in Ihren Container-Images aufgeführt sind.
Wenn Sie Container-Images in Artifact Registry speichern und mit der Artefaktanalyse auf Sicherheitslücken scannen, können Sie mit der Google Cloud CLI eine SBOM generieren.
Informationen zur Verwendung des Scannens auf Sicherheitslücken finden Sie unter Automatisches Scannen und Preise.
Bei der Artefaktanalyse werden SBOMs in Cloud Storage gespeichert. Weitere Informationen zu Cloud Storage-Kosten finden Sie unter Preise.
Container Registry-Repositories (verworfen) werden nicht unterstützt. Informationen zur Umstellung von Container Registry
Hinweise
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Erstellen Sie ein Docker-Repository in Artifact Registry und übertragen Sie ein Container-Image per Push in das Repository. Wenn Sie mit Artifact Registry nicht vertraut sind, lesen Sie die Docker-Kurzanleitung.
- URI ist der Artifact Registry-Image-URI, den die SBOM-Datei beschreibt, ähnlich wie
us-east1-docker.pkg.dev/my-image-repo/my-image. Bilder können entweder im Tag-Format oder im Digest-Format vorliegen. Bilder, die im Tag-Format angegeben werden, werden in das Digest-Format aufgelöst.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Storage Admin (roles/storage.admin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Cloud Storage-Buckets und zum Hochladen von SBOM-Dateien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
SBOM-Datei generieren
Verwenden Sie den folgenden Befehl, um eine SBOM-Datei zu generieren:
gcloud artifacts sbom export --uri=URI
Wo
Bei der Artefaktanalyse wird Ihre SBOM in Cloud Storage gespeichert.
Sie können SBOMs über die Google Cloud -Konsole oder die gcloud CLI aufrufen. Wenn Sie den Cloud Storage-Bucket mit Ihren SBOMs finden möchten, müssen Sie mit der gcloud CLI nach SBOMs suchen.
SBOM ohne Scannen auf Sicherheitslücken erstellen
Wenn Sie eine SBOM generieren möchten, aber kein fortlaufendes Scannen auf Sicherheitslücken für Ihr Projekt wünschen, können Sie trotzdem eine SBOM exportieren, wenn Sie die Container Scanning API aktivieren, bevor Sie das Image in Artifact Registry übertragen. Nachdem Ihr Image per Push in Artifact Registry übertragen wurde und Sie eine SBOM exportiert haben, müssen Sie die Container Scanning API deaktivieren, um zu verhindern, dass weitere Scans auf Sicherheitslücken in Rechnung gestellt werden.