Générer et stocker des SBOM

Ce document explique comment créer et stocker une nomenclature logicielle (SBOM) listant les dépendances dans vos images de conteneurs.

Lorsque vous stockez des images de conteneurs dans Artifact Registry et que vous les analysez pour détecter les failles avec Artifact Analysis, vous pouvez ensuite générer une SBOM à l'aide de la Google Cloud CLI.

Pour savoir comment utiliser l'analyse des failles, consultez Analyse automatique et Tarifs.

Artifact Analysis stocke les SBOM dans Cloud Storage. Pour en savoir plus sur les coûts de Cloud Storage, consultez la page Tarifs.

Les dépôts Container Registry (obsolètes) ne sont pas acceptés. Découvrez comment passer de Container Registry.

Avant de commencer

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
  14. Créez un dépôt Docker dans Artifact Registry et transférez-y une image de conteneur. Si vous ne connaissez pas Artifact Registry, consultez le guide de démarrage rapide Docker.

    15. Rôles requis

    Pour obtenir les autorisations nécessaires pour gérer les buckets Cloud Storage et importer des fichiers SBOM, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Storage (roles/storage.admin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

    Générer un fichier SBOM

    Pour générer un fichier SBOM, utilisez la commande suivante :

    gcloud artifacts sbom export --uri=URI

    • URI correspond à l'URI de l'image Artifact Registry que le fichier SBOM décrit, semblable à us-east1-docker.pkg.dev/my-image-repo/my-image. Les images peuvent être au format de tag ou au format de résumé. Les images fournies au format tag seront converties au format condensé.

    Artifact Analysis stocke votre SBOM dans Cloud Storage.

    Vous pouvez afficher les SBOM à l'aide de la console Google Cloud ou de la gcloud CLI. Si vous souhaitez localiser le bucket Cloud Storage contenant vos SBOM, vous devez rechercher les SBOM à l'aide de la gcloud CLI.

    Générer une SBOM sans analyse des failles

    Si vous souhaitez générer une SBOM, mais que vous ne voulez pas d'analyse continue des failles pour votre projet, vous pouvez toujours exporter une SBOM si vous activez l'API Container Scanning avant d'envoyer l'image à Artifact Registry. Une fois votre image transférée vers Artifact Registry et une SBOM exportée, vous devez désactiver l'API Container Scanning pour éviter d'être facturé pour d'autres analyses des failles.

    Étapes suivantes