Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM, na sigla em inglês) com as dependências nas imagens de contêiner.
Ao armazenar imagens de contêiner no Artifact Registry e verificar se há vulnerabilidades com o Artifact Analysis, é possível gerar uma lista de materiais de software usando a Google Cloud CLI.
Para informações sobre como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.
Artifact Analysis armazena as listas de materiais de software no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.
Os repositórios do Container Registry (descontinuado) não são compatíveis. Aprenda a fazer a transição do Container Registry.
Antes de começar
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não estiver familiarizado com o Artifact Registry, consulte o Guia de início rápido do Docker.
- URI é o URI da imagem do Artifact Registry que o arquivo SBOM descreve, semelhante a
us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de tag ou formato de resumo. As imagens fornecidas no formato de tag serão convertidas para o formato de resumo. - Fazer upload da sua própria lista de materiais de software (SBOM)
- Ver lista de materiais de software e dependências
Funções exigidas
Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos da lista de materiais de software (SBOM), peça ao administrador para conceder a você o papel do IAM de Administrador do Storage (roles/storage.admin) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Gerar um arquivo de lista de materiais de software
Para gerar um arquivo de lista de materiais de software (SBOM, na sigla em inglês), use o seguinte comando:
gcloud artifacts sbom export --uri=URI
Onde
Artifact Analysis armazena sua lista de materiais de software no Cloud Storage.
É possível conferir as listas de materiais de software usando o console Google Cloud ou a CLI gcloud. Se você quiser localizar o bucket do Cloud Storage que contém suas SBOMs, pesquise SBOMs usando a CLI gcloud.
Gerar uma lista de materiais de software sem verificação de vulnerabilidades
Se você quiser gerar uma lista de materiais de software, mas não quiser fazer verificações contínuas de vulnerabilidade no seu projeto, ainda poderá exportar uma lista se ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você exportar uma lista de materiais de software (SBOM), desative a API Container Scanning para evitar cobranças por outras verificação de vulnerabilidades.