En este documento, se presentan los conceptos de la SBOM y se describen las funciones de Artifact Analysis disponibles para ayudarte a comprender las dependencias en tu cadena de suministro de software.
Cuando almacenas una imagen de contenedor en Artifact Registry, puedes crear una lista de materiales de software (SBOM) que describa el contenido de esa imagen. Conocer las dependencias de tu software puede ayudarte a mejorar tu postura de seguridad. Una SBOM también puede ayudarte a certificar la composición de tu software para cumplir con las reglamentaciones de seguridad, como la Orden Ejecutiva (OE) 14028.
SBOMs
Una SBOM es un inventario legible por máquina de una aplicación que identifica los paquetes de los que depende tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.
Artifact Analysis te permite generar SBOM o subir las tuyas.
Ya sea que generes tu SBOM con Artifact Analysis o subas la tuya, Artifact Analysis proporciona procesos coherentes de almacenamiento y recuperación para ayudarte a coordinar y evaluar toda la información de tus dependencias en un solo lugar.
Formato de SBOM
Artifact Analysis produce SBOM en el formato Software Package Data Exchange (SPDX) 2.3.
Si quieres subir una SBOM existente desde fuera de Google Cloud, se admiten formatos adicionales. Consulta Cómo subir SBOMs.
Almacenamiento de SBOM
Artifact Analysis almacena tus SBOM en Cloud Storage en tu proyecto deGoogle Cloud . Las SBOM permanecen almacenadas en Cloud Storage, a menos que borres los objetos de SBOM o borres el bucket. Para obtener información sobre los precios, consulta Precios de Cloud Storage.
Tipos de paquetes admitidos
La SBOM proporciona una lista de todos los paquetes que se pueden identificar con el análisis de Artifact Analysis. Los paquetes deben estar en contenedores y almacenarse en un repositorio de Docker en Artifact Registry.
Para obtener más información sobre los tipos de paquetes compatibles, consulta la Descripción general del análisis de contenedores.
Referencia de ocurrencia de SBOM
Además de la SBOM específica del contenedor, Artifact Analysis genera una ocurrencia de referencia de la SBOM de Grafeas que incluye la siguiente información:
- Ubicación de Cloud Storage de la SBOM
- Es un hash de la SBOM.
- Una firma sobre el
SbomReferenceIntotoPayload
Puedes usar la firma para verificar que Artifact Analysis generó la SBOM.
La firma usa el protocolo de firma DSSE, con el tipo de carga útil application/vnd.in-toto+json.La carga útil es el valor jsonificado de SbomReferenceIntotoPayload.
Ocurrencia del paquete
Para proporcionar más información sobre las dependencias, Artifact Analysis también genera una ocurrencia de paquete de Grafeas para cada paquete instalado. Las ocurrencias de paquetes incluyen la siguiente información:
- Versión del paquete
- Tipo de paquete
- Información de licencia de los paquetes instalados
Limitaciones
- El seguimiento de paquetes instalados solo se admite para las imágenes de contenedor que se envían a Artifact Registry y se evalúan con la API de Container Scanning. Por extensión, la búsqueda de gcloud CLI basada en paquetes instalados solo funciona con imágenes almacenadas en Artifact Registry, ya que los paquetes instalados solo se rastrean en esas imágenes.