SBOM 總覽

本文將介紹 SBOM 概念，並概略說明可用的 Artifact Analysis 功能，協助您瞭解軟體供應鏈中的依附元件。

將容器映像檔儲存在 Artifact Registry 中時，您可以建立軟體清單 (SBOM)，說明該映像檔的內容。瞭解軟體的依附元件有助於改善安全防護機制。SBOM 還可協助您驗證軟體組成，以便遵守行政命令 (EO) 14028 等安全性法規。

SBOM

SBOM 是應用程式的機器可讀清單，可識別軟體所依賴的套件。內容可能包含供應商的第三方軟體、內部構件和開放原始碼程式庫。

您可以使用 Artifact Analysis 產生 SBOM，也可以自行上傳。

無論您是使用 Artifact Analysis 產生 SBOM，還是自行上傳，Artifact Analysis 都會提供一致的儲存和擷取程序，協助您在單一位置協調及評估所有依附元件資訊。

SBOM 格式

Artifact Analysis 會以 Software Package Data Exchange (SPDX) 2.3 格式產生 SBOM。

如果您想從 Google Cloud以外的地方上傳現有的 SBOM，系統會支援其他格式。請參閱「上傳 SBOM」一文。

SBOM 儲存空間

構件分析會將 SBOM 儲存在Google Cloud 專案的 Cloud Storage 中。除非您刪除 SBOM 物件或刪除值區，否則 SBOM 會繼續儲存在 Cloud Storage 中。如要瞭解價格，請參閱「Cloud Storage 定價」。

支援的套件類型

SBOM 會提供清單，列出可透過「結構分析」掃描作業識別的所有套件。套件必須經過容器化，並儲存在 Artifact Registry 中的 Docker 存放區。

如要進一步瞭解支援的套件類型，請參閱容器掃描總覽。

SBOM 參照事件

除了容器專屬的 SBOM 之外，Artifact Analysis 也會產生 Grafeas SBOM 參照事件，其中包含下列資訊：

• SBOM 的 Cloud Storage 位置
• SBOM 的雜湊
• SbomReferenceIntotoPayload 上的簽名

您可以使用簽名驗證 SBOM 是否由「結構元件分析」產生。

簽署作業會使用 DSSE 簽署通訊協定，並採用酬載類型 application/vnd.in-toto+json。酬載是 SbomReferenceIntotoPayload 的 JSON 值。

套件出現次數

為了提供更多依附元件資訊，Artifact Analysis 也會為每個已安裝的套件產生 Grafeas 套件出現次數。套件出現次數包含以下資訊：

• 套件版本
• 套件類型
• 已安裝套件的授權資訊

限制

• 只有推送至 Artifact Registry 且由 Container Scanning API 評估的容器映像檔，才能支援已安裝套件追蹤功能。因此，以已安裝套件為基礎的 gcloud CLI 查詢功能只適用於儲存在 Artifact Registry 中的映像檔，因為已安裝的套件只會在這些映像檔中追蹤。
• 不支援 Container Registry (已淘汰) 存放區。瞭解如何從 Container Registry 轉換。

後續步驟

• 產生及儲存 SBOM。
• 上傳 SBOM。
• 查看 SBOM 和依附元件。