Membuat dan menyimpan SBOM

Dokumen ini menjelaskan cara membuat dan menyimpan daftar materi software (SBOM) yang mencantumkan dependensi dalam image container Anda.

Saat menyimpan image container di Artifact Registry dan memindainya untuk mendeteksi kerentanan dengan Artifact Analysis, Anda dapat membuat SBOM menggunakan Google Cloud CLI.

Untuk mengetahui informasi tentang penggunaan pemindaian kerentanan, lihat Pemindaian otomatis dan Harga.

Analisis Artefak menyimpan SBOM di Cloud Storage. Untuk mengetahui informasi selengkapnya tentang biaya Cloud Storage, lihat Harga.

Repositori Container Registry (Tidak digunakan lagi) tidak didukung. Pelajari cara melakukan transisi dari Container Registry.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
  14. Buat repositori Docker di Artifact Registry dan kirim image container ke repositori. Jika Anda belum terbiasa dengan Artifact Registry, lihat Panduan memulai Docker.

    15. Peran yang diperlukan

    Untuk mendapatkan izin yang diperlukan untuk mengelola bucket Cloud Storage dan mengupload file SBOM, minta administrator Anda untuk memberi Anda peran IAM Storage Admin (roles/storage.admin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    Membuat file SBOM

    Untuk membuat file SBOM, gunakan perintah berikut:

    gcloud artifacts sbom export --uri=URI

    Di mana

    • URI adalah URI image Artifact Registry yang dijelaskan oleh file SBOM, mirip dengan us-east1-docker.pkg.dev/my-image-repo/my-image. Gambar dapat berupa format tag, atau format ringkasan. Gambar yang diberikan dalam format tag akan di-resolve ke dalam format ringkasan.

    Analisis Artefak menyimpan SBOM Anda di Cloud Storage.

    Anda dapat melihat SBOM menggunakan konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM Anda, Anda harus menelusuri SBOM menggunakan gcloud CLI.

    Membuat SBOM tanpa pemindaian kerentanan

    Jika ingin membuat SBOM, tetapi tidak ingin melakukan pemindaian kerentanan berkelanjutan untuk project, Anda tetap dapat mengekspor SBOM jika mengaktifkan Container Scanning API sebelum mengirim image ke Artifact Registry. Setelah image Anda dikirim ke Artifact Registry, dan Anda telah mengekspor SBOM, Anda harus menonaktifkan Container Scanning API agar tidak ditagih untuk pemindaian kerentanan lebih lanjut.

    Langkah berikutnya