Este documento apresenta os conceitos da SBOM e descreve as funcionalidades da análise de artefactos disponíveis para ajudar a compreender as dependências na sua cadeia de fornecimento de software.
Quando armazena uma imagem de contentor no Artifact Registry, pode criar uma lista de materiais de software (SBOM) que descreve o conteúdo dessa imagem. Conhecer as dependências do software pode ajudar a melhorar a sua postura de segurança. Uma SBOM também pode ajudar a atestar a composição do seu software em conformidade com os regulamentos de segurança, como a Ordem Executiva (EO) 14028.
SBOMs
Uma SBOM é um inventário legível por máquina de uma aplicação que identifica os pacotes dos quais o seu software depende. Os conteúdos podem incluir software de terceiros de fornecedores, artefactos internos e bibliotecas de código aberto.
A análise de artefactos permite-lhe gerar SBOMs ou carregar as suas próprias.
Quer gere a sua SBOM com a análise de artefactos ou carregue a sua própria, a análise de artefactos oferece processos de armazenamento e obtenção consistentes para ajudar a coordenar e avaliar todas as informações de dependência num único local.
Formato SBOM
A análise de artefactos produz SBOMs no formato Software Package Data Exchange (SPDX) 2.3.
Se quiser carregar uma SBOM existente a partir de uma fonte externa Google Cloud, são suportados formatos adicionais. Consulte Carregue SBOMs.
Armazenamento de SBOM
A Artifact Analysis armazena as suas SBOMs no Cloud Storage no seu Google Cloud projeto. As SBOMs permanecem armazenadas no Cloud Storage, a menos que elimine os objetos SBOM ou elimine o contentor. Para ver informações sobre preços, consulte os preços do Cloud Storage.
Tipos de pacotes suportados
A SBOM fornece uma lista de todos os pacotes que podem ser identificados pela análise de artefactos. Os pacotes têm de estar contentorizados e armazenados num repositório do Docker no Artifact Registry.
Para mais informações sobre os tipos de pacotes suportados, consulte o artigo Vista geral da análise de contentores.
Ocorrência de referência da SBOM
Além da SBOM específica do contentor, a análise de artefactos gera uma ocorrência de referência da SBOM do Grafeas que inclui as seguintes informações:
- A localização do Cloud Storage da SBOM
- Um hash da SBOM
- Uma assinatura sobre o
SbomReferenceIntotoPayload
Pode usar a assinatura para verificar se a SBOM foi gerada pela análise de artefactos.
A assinatura usa o protocolo de assinatura DSSE, com o tipo de payload application/vnd.in-toto+json.O payload é o valor jsonificado de SbomReferenceIntotoPayload.
Ocorrência de encomendas
Para fornecer mais informações de dependência, a Artifact Analysis também gera uma ocorrência de pacote do Grafeas para cada pacote instalado. As ocorrências de pacotes incluem as seguintes informações:
- Versão do pacote
- Tipo de pacote
- Informações de licença para pacotes instalados
Limitações
- O acompanhamento de pacotes instalados só é suportado para imagens de contentores que são enviadas para o Artifact Registry e avaliadas pela API Container Scanning. Por extensão, a pesquisa da CLI gcloud com base em pacotes instalados só funciona com imagens armazenadas no Artifact Registry, porque os pacotes instalados só são monitorizados nessas imagens.