Cómo ver y filtrar SBOM

En este documento, se describe cómo acceder a los registros de la lista de materiales de software (SBOM) y a los metadatos de dependencia relacionados para ayudarte a comprender los componentes de las imágenes de contenedor almacenadas en Artifact Registry.

Antes de comenzar

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

1. Tener SBOM almacenadas en Cloud Storage Consulta las instrucciones para generar SBOMs.

Roles obligatorios

Para obtener los permisos que necesitas para ver los datos de la SBOM y filtrar los resultados, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

• Visualizador de casos de Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)
• Lector de Artifact Registry (roles/artifactregistry.reader)
• Para verificar las SBOMS, haz lo siguiente: Visualizador de objetos de Storage (roles/storage.objectViewer): Un bucket específico de Cloud Storage

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Cómo ver las SBOM en la consola de Google Cloud

Para ver las SBOM y los metadatos de dependencia relacionados de las imágenes de contenedor almacenadas en Artifact Registry, haz lo siguiente:

1. Abre la página Repositorios de Artifact Registry.

   Abrir la página repositorios

   En la página, se muestra una lista de tus repositorios.

2. En la lista de repositorios, haz clic en el nombre de uno.

   Se abre la página Detalles del repositorio, en la que se muestra una lista de tus imágenes.

3. En la lista de imágenes, haz clic en el nombre de una imagen.

   En la página, se muestra una lista de los resúmenes de tus imágenes.

4. En la lista de resúmenes de imágenes, haz clic en el nombre de un resumen.

   En la página, se muestra una fila de pestañas en la que está abierta la pestaña Descripción general, con detalles como el formato, la ubicación, el repositorio, el tamaño virtual y las etiquetas.

5. En la fila de pestañas, haz clic en la pestaña Dependencies.

   Se abrirá la pestaña Dependencies y se mostrará la siguiente información:

   • Sección de SBOM
   • Sección de licencias
   • Una lista de dependencias que se puede filtrar

SBOM

En la sección de resumen del SBOM, se muestra la siguiente información:

• Archivo: Es un nombre de archivo de SBOM en el que se puede hacer clic y que abre la ubicación en la que se guarda la SBOM en Cloud Storage.
• Tipo: Es el tipo de estándar de SBOM que se usa, como Software Package Data Exchange (SPDX) o Cyclone.
• Versión: Es la versión del estándar de SBOM que se usó.
• Generado por: Es el origen de los datos del SBOM, ya sea que se hayan generado con Artifact Analysis o se hayan subido de forma manual.

Licencias

En la sección de resumen Licencias, se muestra un gráfico de barras llamado Licencias más comunes. Representa los tipos de licencias que aparecen con mayor frecuencia en la información de dependencia. Cuando mantienes el puntero sobre una barra del gráfico, la consola muestra el recuento exacto de las instancias de ese tipo de licencia.

Dependencias

La lista de dependencias muestra el contenido del resumen de la imagen, incluidos los siguientes elementos:

• Nombre del paquete
• Versión del paquete
• Tipo de paquete
• Tipo de licencia

Puedes filtrar la lista de dependencias por cualquiera de estas categorías.

Cómo ver SBOM en Cloud Build

Si usas Cloud Build, puedes ver los metadatos de la imagen en el panel lateral Estadísticas de seguridad dentro de la consola de Google Cloud .

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de la información de seguridad de la compilación para los artefactos almacenados en Artifact Registry. Para obtener más información sobre el panel lateral y cómo puedes usar Cloud Build para proteger tu cadena de suministro de software, consulta Cómo ver estadísticas de seguridad de la compilación.

Visualiza SBOM con gcloud CLI

Usa el comando de gcloud artifacts sbom list para buscar SBOM almacenadas en Cloud Storage. Esta búsqueda se aplica a todas tus SBOM en Cloud Storage, incluidas las que generó Artifact Analysis y las que elijas subir desde otra fuente con un formato compatible.

Puedes usar filtros con el comando gcloud para acotar los resultados y enfocarte en las SBOM más relevantes para una inquietud de seguridad o una solicitud de cumplimiento específicas.

Por ejemplo, el siguiente comando muestra cómo obtener información sobre la SBOM de una imagen de Docker my-image almacenada en Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Aquí:

• --resource especifica el URI del recurso de imagen para el que se enumerarán las referencias de archivos de SBOM.

El resultado incluye lo siguiente:

• Ubicación de Cloud Storage para la SBOM. Con la ubicación de Cloud Storage, puedes ver la SBOM en gcloud CLI ejecutando el comando gcloud storage cat.
• Indica si la SBOM aún está en el bucket de Cloud Storage o si se quitó.
• Es un hash de la SBOM que puedes usar para verificar que no se haya modificado.

Filtros

Puedes filtrar SBOMs específicos con cualquiera de las siguientes marcas opcionales:

Marcar	Objetivo	Valor de entrada
--dependency	Enumera todas las referencias de archivos de SBOM en las que un recurso tiene instalado el paquete especificado. Consulta los tipos de paquetes admitidos.	Nombre de un paquete instalado
--resource	Enumera las referencias de archivos de SBOM relacionadas con una imagen específica.	Es el URI del recurso.
--resource-prefix	Enumera las referencias de archivos SBOM relacionadas con el prefijo de la ruta de acceso al recurso.	Es la ruta de acceso a un recurso que se usará como prefijo para la búsqueda.

Ejemplos de filtros

Filtrar los resultados por URI de recurso:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtra por prefijo de recurso:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limitaciones

• La información de la licencia solo se proporciona para los paquetes de SO y los paquetes de idiomas admitidos.

¿Qué sigue?

• Genera SBOM.
• Obtén más información para usar las declaraciones de VEX.