Membuat dan menyimpan SBOM

Dokumen ini menjelaskan cara membuat dan menyimpan daftar materi software (SBOM) yang mencantumkan dependensi dalam image container Anda.

Saat menyimpan image container di Artifact Registry dan memindainya untuk mendeteksi kerentanan dengan Artifact Analysis, Anda dapat membuat SBOM menggunakan Google Cloud CLI.

Untuk mengetahui informasi tentang penggunaan pemindaian kerentanan, lihat Pemindaian otomatis dan Harga.

Analisis Artefak menyimpan SBOM di Cloud Storage. Untuk mengetahui informasi selengkapnya tentang biaya Cloud Storage, lihat Harga.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  14. Buat repositori Docker di Artifact Registry dan kirim image container ke repositori. Jika Anda belum terbiasa dengan Artifact Registry, lihat Panduan memulai Docker.

    15. Peran yang diperlukan

    Untuk mendapatkan izin yang diperlukan untuk mengelola bucket Cloud Storage dan mengupload file SBOM, minta administrator Anda untuk memberi Anda peran IAM Storage Admin (roles/storage.admin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    Membuat file SBOM

    Untuk membuat file SBOM, gunakan perintah berikut:

    gcloud artifacts sbom export --uri=URI

    Di mana

    • URI adalah URI image Artifact Registry yang dijelaskan oleh file SBOM, mirip dengan us-east1-docker.pkg.dev/my-image-repo/my-image. Gambar dapat berupa format tag, atau format ringkasan. Gambar yang diberikan dalam format tag akan di-resolve ke dalam format ringkasan.

    Analisis Artefak menyimpan SBOM Anda di Cloud Storage.

    Anda dapat melihat SBOM menggunakan konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM Anda, Anda harus menelusuri SBOM menggunakan gcloud CLI.

    Membuat SBOM tanpa pemindaian kerentanan

    Jika ingin membuat SBOM, tetapi tidak ingin melakukan pemindaian kerentanan berkelanjutan untuk project, Anda tetap dapat mengekspor SBOM jika mengaktifkan Container Scanning API sebelum mengirim image ke Artifact Registry. Setelah image Anda dikirim ke Artifact Registry, dan Anda telah mengekspor SBOM, Anda harus menonaktifkan Container Scanning API untuk mencegah penagihan lebih lanjut untuk pemindaian kerentanan.

    Langkah berikutnya