Gere e armazene SBOMs

Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM) que indica as dependências nas suas imagens de contentores.

Quando armazena imagens de contentores no Artifact Registry e as analisa quanto a vulnerabilidades com a Artifact Analysis, pode gerar uma SBOM através da CLI do Google Cloud.

Para obter informações sobre a utilização da análise de vulnerabilidades, consulte os artigos Análise automática e Preços.

A Artifact Analysis armazena SBOMs no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte a secção Preços.

Antes de começar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  13. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
  14. Crie um repositório Docker no Artifact Registry e envie uma imagem de contentor para o repositório. Se não conhece o Artifact Registry, consulte o início rápido do Docker.

    15. Funções necessárias

    Para receber as autorizações de que precisa para gerir contentores do Cloud Storage e carregar ficheiros SBOM, peça ao seu administrador para lhe conceder a função de IAM de Administrador de armazenamento (roles/storage.admin) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Gere um ficheiro SBOM

    Para gerar um ficheiro SBOM, use o seguinte comando:

    gcloud artifacts sbom export --uri=URI

    Onde

    • URI é o URI da imagem do Artifact Registry que o ficheiro SBOM descreve, semelhante a us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de etiqueta ou no formato de resumo. As imagens fornecidas no formato de etiqueta são resolvidas no formato de resumo.

    A análise de artefactos armazena a sua SBOM no Cloud Storage.

    Pode ver as SBOMs através da Google Cloud consola ou da CLI gcloud. Se quiser localizar o contentor do Cloud Storage que contém as suas SBOMs, tem de pesquisar SBOMs através da CLI gcloud.

    Gere uma SBOM sem análise de vulnerabilidades

    Se quiser gerar uma SBOM, mas não quiser uma análise de vulnerabilidades contínua para o seu projeto, pode exportar uma SBOM se ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois de enviar a imagem para o Artifact Registry e exportar uma SBOM, tem de desativar a API Container Scanning para evitar a faturação de análises de vulnerabilidades adicionais.

    O que se segue?