In diesem Dokument werden SBOM-Konzepte vorgestellt und die Funktionen von Artefaktanalyse beschrieben, mit denen Sie die Abhängigkeiten in Ihrer Software-Lieferkette nachvollziehen können.
Wenn Sie ein Container-Image in Artifact Registry speichern, können Sie eine Software-Stückliste (Software Bill of Materials, SBOM) erstellen, die den Inhalt dieses Images beschreibt. Wenn Sie die Abhängigkeiten Ihrer Software kennen, können Sie Ihren Sicherheitsstatus verbessern. Eine SBOM kann Ihnen auch dabei helfen, die Zusammensetzung Ihrer Software zu bestätigen, um die Einhaltung von Sicherheitsvorschriften wie der Executive Order (EO) 14028 zu unterstützen.
SBOMs
Eine SBOM ist ein maschinenlesbares Inventar einer Anwendung, in dem die Pakete identifiziert werden, auf die Ihre Software angewiesen ist. Die Inhalte können Drittanbieter-Software von Anbietern, interne Artefakte und Open-Source-Bibliotheken enthalten.
Mit der Artefaktanalyse können Sie SBOMs generieren oder eigene hochladen.
Unabhängig davon, ob Sie Ihre SBOM mit Artefaktanalyse generieren oder Ihre eigene hochladen, bietet Artefaktanalyse konsistente Speicher- und Abrufprozesse, mit denen Sie alle Ihre Abhängigkeitsinformationen an einem Ort koordinieren und bewerten können.
SBOM-Format
Die Artefaktanalyse erstellt SBOMs im Format Software Package Data Exchange (SPDX) 2.3.
Wenn Sie eine vorhandene SBOM von außerhalb von Google Cloudhochladen möchten, werden zusätzliche Formate unterstützt. Weitere Informationen finden Sie unter SBOMs hochladen.
SBOM-Speicher
Bei der Artefaktanalyse werden Ihre SBOMs in Cloud Storage in IhremGoogle Cloud -Projekt gespeichert. SBOMs bleiben in Cloud Storage gespeichert, bis Sie die SBOM-Objekte löschen oder den Bucket löschen. Informationen zu den Preisen finden Sie unter Cloud Storage – Preise.
Unterstützte Pakettypen
Die SBOM enthält eine Liste aller Pakete, die durch das Scannen der Artefaktanalyse identifiziert werden können. Pakete müssen in Containern gespeichert und in einem Docker-Repository in Artifact Registry gespeichert werden.
Weitere Informationen zu unterstützten Pakettypen finden Sie unter Container-Scanning – Übersicht.
SBOM-Referenzvorkommen
Zusätzlich zur containerspezifischen SBOM generiert Artefaktanalyse ein Referenz-Vorkommen für die Grafeas-SBOM, das die folgenden Informationen enthält:
- Den Cloud Storage-Speicherort der SBOM
- Ein Hash der SBOM
- Eine Signatur über dem
SbomReferenceIntotoPayload
Mit der Signatur können Sie prüfen, ob die SBOM von der Artefaktanalyse generiert wurde.
Für die Signierung wird das DSSE-Signaturprotokoll mit dem Nutzlasttyp application/vnd.in-toto+json verwendet.Die Nutzlast ist der JSON-Wert von SbomReferenceIntotoPayload.
PackageOccurrence
Um weitere Informationen zu Abhängigkeiten bereitzustellen, generiert Artefaktanalyse auch ein Paketvorkommen von Grafeas für jedes installierte Paket. Paketvorkommen enthalten die folgenden Informationen:
- Paketversion
- Pakettyp
- Lizenzinformationen für installierte Pakete
Beschränkungen
- Die Nachverfolgung installierter Pakete wird nur für Container-Images unterstützt, die per Push an Artifact Registry übertragen und von der Container Scanning API bewertet werden. Die gcloud CLI-Suche basierend auf installierten Paketen funktioniert daher nur mit Images, die in Artifact Registry gespeichert sind, da installierte Pakete nur für diese Images erfasst werden.