En este documento se presentan los conceptos de la lista de materiales de software y se describen las funciones de Análisis de artefactos disponibles para ayudarle a comprender las dependencias de su cadena de suministro de software.
Cuando almacenas una imagen de contenedor en Artifact Registry, puedes crear una lista de materiales de software (SBOM) que describa el contenido de esa imagen. Conocer las dependencias de tu software puede ayudarte a mejorar tu estrategia de seguridad. Una lista de materiales de software también puede ayudarte a certificar la composición de tu software para cumplir normativas de seguridad como la orden ejecutiva (EO) 14028.
SBOMs
Una lista de materiales de software es un inventario legible por máquina de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.
Artifact Analysis le permite generar listas de materiales de software o subir las suyas.
Tanto si genera su lista de materiales de software con Artifact Analysis como si sube una, Artifact Analysis le ofrece procesos de almacenamiento y recuperación coherentes para ayudarle a coordinar y evaluar toda la información de sus dependencias en un mismo lugar.
Formato de lista de materiales de software
Artifact Analysis genera SBOMs en formato Software Package Data Exchange (SPDX) 2.3.
Si quieres subir una lista de materiales (SBOM) que ya tengas desde fuera de Google Cloud, se admiten otros formatos. Consulta Subir SBOMs.
Almacenamiento de SBOM
Artifact Analysis almacena tus listas de materiales de software en Cloud Storage en tuGoogle Cloud proyecto. Las listas de materiales de software se almacenan en Cloud Storage a menos que elimines los objetos de la lista o elimines el segmento. Para obtener información sobre los precios, consulta la página Precios de Cloud Storage.
Tipos de paquetes admitidos
La lista de materiales (SBOM) proporciona una lista de todos los paquetes que se pueden identificar mediante el análisis de artefactos. Los paquetes deben estar en contenedores y almacenarse en un repositorio de Docker en Artifact Registry.
Para obtener más información sobre los tipos de paquetes admitidos, consulta el artículo Introducción al análisis de contenedores.
Referencia de ocurrencia de SBOM
Además de la lista de materiales de software específica del contenedor, Análisis de artefactos genera una referencia de la lista de materiales de software de Grafeas, que incluye la siguiente información:
- Ubicación de Cloud Storage de la lista de materiales de software
- Un hash de la lista de materiales
- Una firma sobre el
SbomReferenceIntotoPayload
Puede usar la firma para verificar que la lista de materiales se ha generado con Artifact Analysis.
La firma usa el protocolo de firma DSSE, con el tipo de carga útil application/vnd.in-toto+json.La carga útil es el valor jsonificado de SbomReferenceIntotoPayload.
PackageOccurrence
Para proporcionar más información sobre las dependencias, Artifact Analysis también genera una ocurrencia de paquete de Grafeas para cada paquete instalado. Las incidencias de paquetes incluyen la siguiente información:
- Versión de paquete
- Tipo de paquete
- Información de licencia de los paquetes instalados
Limitaciones
- El seguimiento de paquetes instalados solo se admite en imágenes de contenedor que se envían a Artifact Registry y se evalúan con la API Container Scanning. Por extensión, la búsqueda de la CLI de gcloud basada en paquetes instalados solo funciona con imágenes almacenadas en Artifact Registry, ya que los paquetes instalados solo se monitorizan en esas imágenes.
Siguientes pasos
- Generar y almacenar SBOMs.
- Subir SBOMs.
- Ver las listas de materiales de software y las dependencias.