Questo documento introduce i concetti di SBOM e illustra le funzionalità di Artifact Analysis disponibili per aiutarti a comprendere le dipendenze nella catena di approvvigionamento del software.
Quando archivi un'immagine container in Artifact Registry, puoi creare una distinta dei materiali di software (SBOM) che descriva i contenuti dell'immagine. Conoscere le dipendenze del software può aiutarti a migliorare la tua postura di sicurezza. Un SBOM può anche aiutarti ad attestare la composizione del tuo software a supporto della conformità a normative sulla sicurezza come l'Executive Order (EO) 14028.
SBOM
Un SBOM è un inventario di un'applicazione leggibile dalla macchina che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti di fornitori, elementi interni e librerie open source.
Artifact Analysis ti consente di generare SBOM o di caricarne una.
Che tu generi la tua SBOM con Artifact Analysis o ne carichi una tua, Artifact Analysis fornisce procedure di archiviazione e recupero coerenti per aiutarti a coordinare e valutare tutte le informazioni sulle dipendenze in un'unica posizione.
Formato SBOM
Artifact Analysis genera SBOM nel formato Software Package Data Exchange (SPDX) 2.3.
Se vuoi caricare un SBOM esistente dall'esterno di Google Cloud, sono supportati altri formati. Consulta la sezione Caricare SBOM.
Spazio di archiviazione SBOM
L'Artifact Analysis archivia le SBOM in Cloud Storage nel tuo progetto Google Cloud. Le SBOM rimangono archiviate in Cloud Storage, a meno che non elimini gli oggetti SBOM o elimini il bucket. Per informazioni sui prezzi, consulta la pagina Prezzi di Cloud Storage.
Tipi di pacchetti supportati
L'SBOM fornisce un elenco di tutti i pacchetti che possono essere identificati dalla scansione di Artifact Analysis. I pacchetti devono essere containerizzati e archiviati in un repository Docker in Artifact Registry.
L'Artifact Analysis supporta i seguenti tipi di pacchetti:
- Sistema operativo
- Java (Maven)
- Vai
- Python
- Node.js (npm)
Occorrenza del riferimento SBOM
Oltre alla SBOM specifica del contenitore, l'Artifact Analysis genera un'occorrenza di riferimento SBOM Grafeas che include le seguenti informazioni:
- La posizione di Cloud Storage della SBOM
- Un hash della SBOM
- Una firma sopra il
SbomReferenceIntotoPayload
Puoi utilizzare la firma per verificare che l'SBOM sia stata generata da l'Artifact Analysis.
La firma utilizza il protocollo di firma DSSE, con il
tipo di payload application/vnd.in-toto+json
.Il payload è il valore jsonizzato
del SbomReferenceIntotoPayload
.
PackageOccurrence
Per fornire ulteriori informazioni sulle dipendenze, l'Artifact Analysis genera anche un'occorrenza del pacchetto Grafeas per ogni pacchetto installato. Le occorrenze del pacchetto includono le seguenti informazioni:
- Versione pacchetto
- Tipo di pacchetto
- Informazioni sulla licenza per i pacchetti installati
Limitazioni
- Il monitoraggio dei pacchetti installati è supportato solo per le immagini container che vengono trasferite ad Artifact Registry e valutate dall'API Container Scanning. Per estensione, la ricerca dell'interfaccia a riga di comando gcloud in base ai pacchetti installati funziona solo con le immagini archiviate in Artifact Registry, perché i pacchetti installati vengono monitorati solo su queste immagini.
- I repository di Container Registry (deprecato) non sono supportati. Scopri come eseguire la transizione da Container Registry.