このドキュメントでは、SBOM のコンセプトを紹介し、ソフトウェア サプライ チェーンの依存関係を把握するのに役立つ Artifact Analysis の機能の概要を説明します。
Artifact Registry にコンテナ イメージを保存するときに、そのイメージの内容を記述するソフトウェア部品構成表(SBOM)を作成できます。ソフトウェアの依存関係を把握することで、セキュリティ ポスチャーを強化できます。SBOM は、大統領令(EO)14028 などのセキュリティ規制の遵守をサポートするソフトウェアの構成を証明するうえでも役立ちます。
SBOM
SBOM は、ソフトウェアが依存するパッケージを特定する、アプリケーションの機械可読インベントリです。その内容には、ベンダーのサードパーティ ソフトウェア、内部アーティファクト、オープンソース ライブラリが含まれます。
Artifact Analysis を使用すると、SBOM を生成したり、独自の SBOM をアップロードしたりできます。
Artifact Analysis で SBOM を生成する場合でも、独自の SBOM をアップロードする場合でも、Artifact Analysis は一貫した保存プロセスと取得プロセスを提供し、すべての依存関係情報を 1 か所で調整して評価できるようにします。
SBOM 形式
Artifact Analysis は、Software Package Data Exchange(SPDX)2.3 形式で SBOM を生成します。
Google Cloudの外部から既存の SBOM をアップロードする場合は、追加の形式がサポートされます。SBOM をアップロードするをご覧ください。
SBOM ストレージ
Artifact Analysis は、SBOM をGoogle Cloud プロジェクトの Cloud Storage に保存します。SBOM は、SBOM オブジェクトを削除するか、バケットを削除しない限り、Cloud Storage に保存されたままになります。料金については、Cloud Storage の料金をご覧ください。
サポートされているパッケージ タイプ
SBOM には、Artifact Analysis スキャンで特定できるすべてのパッケージのリストが記載されています。パッケージはコンテナ化され、Artifact Registry の Docker リポジトリに保存されている必要があります。
サポートされているパッケージ タイプの詳細については、コンテナ スキャンの概要をご覧ください。
SBOM リファレンス オカレンス
コンテナ固有の SBOM に加えて、Artifact Analysis は次の情報を含む Grafeas SBOM 参照オカレンスを生成します。
- SBOM の Cloud Storage のロケーション
- SBOM のハッシュ
SbomReferenceIntotoPayloadの署名
署名を使用して、SBOM が Artifact Analysis によって生成されたことを確認できます。
署名には、ペイロード タイプ application/vnd.in-toto+json の DSSE 署名プロトコルが使用されます。ペイロードは SbomReferenceIntotoPayload の JSON 化された値です。
パッケージの発生
依存関係に関する詳細情報を提供するため、Artifact Analysis はインストール済みパッケージごとに Grafeas パッケージ オカレンスも生成します。パッケージ オカレンスには次の情報が含まれます。
- パッケージのバージョン
- パッケージ タイプ
- インストールされているパッケージのライセンス情報
制限事項
- インストールされたパッケージの追跡は、Artifact Registry に push され、Container Scanning API によって評価されたコンテナ イメージでのみサポートされます。拡張機能として、インストールされたパッケージに基づく gcloud CLI ルックアップは、Artifact Registry に保存されたイメージでのみ機能します。これは、インストールされたパッケージがこれらのイメージでのみ追跡されるためです。