Ce document présente les concepts de la SBOM et décrit les fonctionnalités d'Artifact Analysis disponibles pour vous aider à comprendre les dépendances de votre chaîne d'approvisionnement logicielle.
Lorsque vous stockez une image de conteneur dans Artifact Registry, vous pouvez créer une nomenclature logicielle (SBOM) décrivant le contenu de cette image. Connaître les dépendances de votre logiciel peut vous aider à améliorer votre stratégie de sécurité. Une SBOM peut également vous aider à attester de la composition de votre logiciel pour assurer la conformité avec les réglementations de sécurité telles que l'Executive Order (EO) 14028.
SBOM
Une SBOM est un inventaire lisible par machine d'une application, qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers provenant de fournisseurs, des artefacts internes et des bibliothèques Open Source.
Artifact Analysis vous permet de générer des SBOM ou d'importer les vôtres.
Que vous génériez votre SBOM avec Artifact Analysis ou que vous importiez le vôtre, Artifact Analysis fournit des processus de stockage et de récupération cohérents pour vous aider à coordonner et à évaluer toutes vos informations de dépendance au même endroit.
Format SBOM
Artifact Analysis génère des SBOM au format SPDX (Software Package Data Exchange) 2.3.
Si vous souhaitez importer une SBOM existante depuis l'extérieur de Google Cloud, d'autres formats sont acceptés. Consultez Importer des SBOM.
Stockage des SBOM
Artifact Analysis stocke vos SBOM dans Cloud Storage, dans votre projetGoogle Cloud . Les SBOM restent stockées dans Cloud Storage, sauf si vous supprimez les objets SBOM ou supprimez le bucket. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Cloud Storage.
Types de packages acceptés
La SBOM fournit la liste de tous les packages pouvant être identifiés par l'analyse Artifact Analysis. Les packages doivent être conteneurisés et stockés dans un dépôt Docker dans Artifact Registry.
Pour en savoir plus sur les types de packages compatibles, consultez Présentation de l'analyse des conteneurs.
Occurrence de référence SBOM
En plus de la SBOM spécifique au conteneur, Artifact Analysis génère une occurrence de référence Grafeas SBOM qui inclut les informations suivantes :
- Emplacement Cloud Storage de la SBOM
- Hachage de la SBOM
- Une signature sur le
SbomReferenceIntotoPayload
Vous pouvez utiliser la signature pour vérifier que la SBOM a été générée par Artifact Analysis.
La signature utilise le protocole de signature DSSE, avec le type de charge utile application/vnd.in-toto+json.La charge utile est la valeur jsonifiée de SbomReferenceIntotoPayload.
Occurrence de package
Pour fournir plus d'informations sur les dépendances, Artifact Analysis génère également une occurrence de package Grafeas pour chaque package installé. Les occurrences de package incluent les informations suivantes :
- Version du package
- Type de package
- Informations sur la licence des packages installés
Limites
- Le suivi des packages installés n'est compatible qu'avec les images de conteneurs transférées vers Artifact Registry et évaluées par l'API Container Scanning. Par extension, la recherche de gcloud CLI basée sur les packages installés ne fonctionne qu'avec les images stockées dans Artifact Registry, car les packages installés ne sont suivis que sur ces images.