Dokumen ini memperkenalkan konsep SBOM dan menguraikan fitur Analisis Artefak yang tersedia untuk membantu Anda memahami dependensi dalam rantai pasokan software Anda.
Saat menyimpan image container di Artifact Registry, Anda dapat membuat software bill of materials (SBOM) yang menjelaskan konten image tersebut. Mengetahui dependensi software Anda dapat membantu meningkatkan postur keamanan Anda. SBOM juga dapat membantu Anda membuktikan komposisi software Anda untuk mendukung kepatuhan terhadap peraturan keamanan seperti Executive Order (EO) 14028.
SBOM
SBOM adalah inventaris aplikasi yang dapat dibaca mesin, yang mengidentifikasi paket yang diandalkan software Anda. Konten dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.
Analisis Artefak memungkinkan Anda membuat SBOM atau mengupload SBOM Anda sendiri.
Baik Anda membuat SBOM dengan Analisis Artefak atau mengupload SBOM Anda sendiri, Analisis Artefak menyediakan proses penyimpanan dan pengambilan yang konsisten untuk membantu Anda mengoordinasikan dan menilai semua informasi dependensi di satu tempat.
Format SBOM
Artifact Analysis menghasilkan SBOM dalam format Software Package Data Exchange (SPDX) 2.3.
Jika Anda ingin mengupload SBOM yang ada dari luar Google Cloud, format tambahan didukung. Lihat Mengupload SBOM.
Penyimpanan SBOM
Analisis Artefak menyimpan SBOM Anda di Cloud Storage di Google Cloud project Anda. SBOM tetap disimpan di Cloud Storage kecuali jika Anda menghapus objek SBOM atau menghapus bucket. Untuk mengetahui informasi tentang harga, lihat Harga Cloud Storage.
Jenis paket yang didukung
SBOM menyediakan daftar semua paket yang dapat diidentifikasi oleh pemindaian Analisis Artefak. Paket harus di-containerisasi dan disimpan di repositori Docker di Artifact Registry.
Untuk mengetahui informasi selengkapnya tentang jenis paket yang didukung, lihat Ringkasan pemindaian penampung.
Kejadian referensi SBOM
Selain SBOM khusus penampung, Artifact Analysis menghasilkan kemunculan referensi SBOM Grafeas yang mencakup informasi berikut:
- Lokasi SBOM di Cloud Storage
- Hash SBOM
- Tanda tangan di atas
SbomReferenceIntotoPayload
Anda dapat menggunakan tanda tangan untuk memverifikasi bahwa SBOM dibuat oleh Analisis Artefak.
Penandatanganan menggunakan protokol tanda tangan DSSE, dengan
jenis payload application/vnd.in-toto+json.Payload adalah nilai yang di-JSON-kan
dari SbomReferenceIntotoPayload.
Kemunculan paket
Untuk memberikan informasi dependensi lainnya, Analisis Artefak juga membuat kemunculan paket Grafeas untuk setiap paket yang diinstal. Kemunculan paket mencakup informasi berikut:
- Versi paket
- Jenis paket
- Informasi lisensi untuk paket yang diinstal
Batasan
- Pelacakan paket yang diinstal hanya didukung untuk image container yang dikirim ke Artifact Registry dan dinilai oleh Container Scanning API. Dengan demikian, pencarian gcloud CLI berdasarkan paket yang diinstal hanya berfungsi dengan image yang disimpan di Artifact Registry, karena paket yang diinstal hanya dilacak pada image tersebut.