Mengupload SBOM

Halaman ini menjelaskan cara mengupload file software bill of materials (SBOM) ke Cloud Storage untuk membantu melacak dan membuktikan komponen image container yang Anda simpan di Artifact Registry.

Untuk mengetahui informasi tentang harga Cloud Storage, lihat Harga.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
  14. Memiliki repositori Docker di Artifact Registry dengan image container yang dijelaskan oleh SBOM Anda. Jika Anda belum terbiasa dengan Artifact Registry, lihat Panduan memulai Docker.
  15. Siapkan file SBOM untuk diupload dalam salah satu format yang didukung.

    16. Peran yang diperlukan

    Untuk mendapatkan izin yang diperlukan untuk membuat dan mengelola bucket Cloud Storage dan file SBOM, minta administrator Anda untuk memberi Anda peran IAM berikut pada project:

    • Jika Anda menggunakan bucket Cloud Storage default, untuk mengelola bucket penyimpanan: Admin Penyimpanan(roles/storage.admin)
    • Jika Anda menentukan bucket Cloud Storage, untuk mengelola bucket penyimpanan: Storage Object Admin(roles/storage.objectAdmin)
    • Jika catatan untuk referensi SBOM sudah ada: Container Analysis Notes Attacher (roles/containeranalysis.notes.attacher)
    • Untuk membuat catatan baru untuk kemunculan referensi SBOM di project saat ini: Container Analysis Notes Editor((roles/containeranalysis.notes.editor)
    • Untuk membuat kejadian referensi SBOM: Container Analysis Occurrences Editor(roles/containeranalysis.occurrences.editor)

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    Format yang didukung

    File SBOM Anda harus berupa file JSON dalam salah satu format berikut:

    Mengupload SBOM Anda

    Gunakan perintah berikut untuk mengupload SBOM Anda:

    gcloud artifacts sbom load /
    --source SOURCE /
    --uri URI

    Dengan:

    • SOURCE: jalur ke file SBOM yang akan diupload.
    • URI: URI untuk image Docker yang dijelaskan oleh file SBOM. Gambar dapat berupa format tag, atau format ringkasan. Gambar yang diberikan dalam format tag akan di-resolve menjadi format ringkasan.

    Flag opsional

    • --destination: menentukan bucket Cloud Storage yang akan digunakan, bukan bucket default.
    • --kms-key-version: menyediakan versi kunci untuk menandatangani payload kemunculan referensi SBOM. Anda dapat menggunakan kunci ini untuk memverifikasi asal SBOM.

    Misalnya, perintah berikut mengupload file JSON my-sbom.bom.json yang dibuat dari gambar yang diberi tag us-east1-docker.pkg.dev/my-image-repo/my-image, dan menandatangani kemunculan referensi SBOM dengan versi kunci KMS yang diakhiri dengan my-key/cryptoKeyVersions/1.

    gcloud artifacts sbom load /
--source=my-sbom.bom.json
--uri=us-east1-docker.pkg.dev/my-image-repo/my-image
--kms-key-version=projects/my-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/1

    Perintah berikut mengupload file JSON my-sbom.spdx.json yang terkait dengan ringkasan gambar my-local-image@sha256:abcxyz, dan menyimpan file di bucket Cloud Storage gs://my-sbom-bucket.

    gcloud artifacts sbom load /
    --source=my-sbom.spdx.json /
    --uri=my-local-image@sha256:abcxyz /
    --destination=gs://my-sbom-bucket

    Artifact Analysis mengupload SBOM Anda ke Cloud Storage dan membuat kemunculan referensi SBOM.

    Anda dapat melihat SBOM menggunakan konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM Anda, Anda harus menelusuri SBOM menggunakan gcloud CLI.

    Langkah berikutnya