Este documento apresenta os conceitos da lista de materiais de software (SBOM, na sigla em inglês) e descreve os recursos do Artifact Analysis disponíveis para ajudar você a entender as dependências na sua cadeia de suprimentos de software.
Ao armazenar uma imagem de contêiner no Artifact Registry, é possível criar uma lista de materiais de software (SBOM) que descreve o conteúdo dessa imagem. Conhecer as dependências do seu software pode ajudar a melhorar sua postura de segurança. Uma lista de materiais de software também pode ajudar você a atestar a composição do software em apoio à conformidade com regulamentações de segurança, como a Ordem Executiva (EO) 14028 (link em inglês).
SBOMs
Uma SBOM é um inventário legível por máquina de um aplicativo que identifica os pacotes de que seu software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Com o Artifact Analysis, é possível gerar ou fazer upload de listas de materiais de software (SBOMs, na sigla em inglês).
Se você gerar sua lista de materiais de software com o Artifact Analysis ou fizer upload da sua, Artifact Analysis oferece processos consistentes de armazenamento e recuperação para ajudar você a coordenar e avaliar todas as informações de dependência em um só lugar.
Formato da lista de materiais de software
Artifact Analysis produz SBOMs no formato Software Package Data Exchange (SPDX) 2.3.
Se você quiser fazer upload de uma lista de materiais de software (SBOM) de fora do Google Cloud, outros formatos serão aceitos. Consulte Fazer upload de SBOMs.
Armazenamento de SBOM
Artifact Analysis armazena suas listas de materiais de software no Cloud Storage no seu projetoGoogle Cloud . As SBOMs permanecem armazenadas no Cloud Storage, a menos que você exclua os objetos da SBOM ou exclua o bucket. Para informações sobre preços, consulte Preços do Cloud Storage.
Tipos de pacote compatíveis
A lista de materiais de software (SBOM, na sigla em inglês) fornece uma lista de todos os pacotes que podem ser identificados pela verificação do Artifact Analysis. Os pacotes precisam ser contidos e armazenados em um repositório do Docker no Artifact Registry.
Para mais informações sobre os tipos de pacotes aceitos, consulte Visão geral da verificação de contêineres.
Ocorrência de referência da lista de materiais de software (SBOM)
Além da lista de materiais de software específica do contêiner, Artifact Analysis gera uma ocorrência de referência da lista de materiais de software do Grafeas, que inclui as seguintes informações:
- O local do Cloud Storage da lista de materiais de software
- Um hash da lista de materiais de software
- Uma assinatura sobre o
SbomReferenceIntotoPayload
Use a assinatura para verificar se a lista de materiais de software foi gerada pela Artifact Analysis.
A assinatura usa o protocolo de assinatura DSSE (link em inglês), com o
tipo de payload application/vnd.in-toto+json.O payload é o valor jsonificado
do SbomReferenceIntotoPayload.
Ocorrência de pacote
Para fornecer mais informações de dependência, Artifact Analysis também gera uma ocorrência de pacote do Grafeas para cada pacote instalado. As ocorrências de pacote incluem as seguintes informações:
- Versão do pacote
- Tipo de pacote
- Informações de licença para pacotes instalados
Limitações
- O rastreamento de pacotes instalados só é compatível com imagens de contêiner enviadas para o Artifact Registry e avaliadas pela API Container Scanning. Por extensão, a pesquisa da CLI gcloud com base em pacotes instalados só funciona com imagens armazenadas no Artifact Registry, porque os pacotes instalados são rastreados apenas nessas imagens.
A seguir
- Gerar e armazenar SBOMs.
- Fazer upload de SBOMs.
- Ver listas de materiais de software (SBOMs, na sigla em inglês) e dependências.