Melihat dan memfilter SBOM

Dokumen ini menjelaskan cara mengakses catatan software bill of materials (SBOM) dan metadata dependensi terkait untuk membantu Anda memahami komponen image container yang disimpan di Artifact Registry.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  14. Menyimpan SBOM di Cloud Storage. Lihat petunjuk tentang cara membuat SBOM.

    15. Peran yang diperlukan

    Untuk mendapatkan izin yang Anda perlukan untuk melihat data SBOM dan memfilter hasil, minta administrator Anda untuk memberi Anda peran IAM berikut di project:

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    Melihat SBOM di konsol Google Cloud

    Untuk melihat SBOM dan metadata dependensi terkait untuk image container yang disimpan di Artifact Registry:

    1. Buka halaman Repositories Artifact Registry.

      Buka halaman Repositori

      Halaman ini menampilkan daftar repositori Anda.

    2. Di daftar repositori, klik nama repositori.

      Halaman Detail repositori akan terbuka dan menampilkan daftar gambar Anda.

    3. Di daftar gambar, klik nama gambar.

      Halaman ini menampilkan daftar ringkasan gambar Anda.

    4. Di daftar ringkasan gambar, klik nama ringkasan.

      Halaman menampilkan deretan tab dengan tab Ringkasan yang terbuka, yang menampilkan detail seperti format, lokasi, repositori, ukuran virtual, dan tag.

    5. Di baris tab, klik tab Dependencies.

      Tab dependensi akan terbuka dan menampilkan informasi berikut:

      • Bagian SBOM
      • Bagian lisensi
      • Daftar dependensi yang dapat difilter

    SBOM

    Bagian ringkasan SBOM menampilkan informasi berikut:

    • File: Nama file SBOM yang dapat diklik, yang membuka lokasi tempat SBOM Anda disimpan di Cloud Storage.
    • Jenis: Jenis standar SBOM yang digunakan, seperti Software Package Data Exchange (SPDX) atau Cyclone.
    • Versi: Versi standar SBOM yang digunakan.
    • Dibuat oleh: Asal data SBOM, baik dibuat oleh Analisis Artefak atau diupload secara manual.

    Lisensi

    Bagian ringkasan Lisensi menampilkan diagram batang yang disebut Lisensi paling umum. Bagian ini menampilkan jenis lisensi yang paling sering muncul dalam informasi dependensi Anda. Saat Anda menahan kursor di atas batang dalam grafik, konsol akan menampilkan jumlah pasti untuk instance jenis lisensi tersebut.

    Dependensi

    Daftar dependensi menampilkan isi ringkasan gambar Anda, termasuk:

    • Nama paket
    • Versi paket
    • Jenis paket
    • Jenis lisensi

    Anda dapat memfilter daftar dependensi menurut salah satu kategori ini.

    Melihat SBOM di Cloud Build

    Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Insight keamanan dalam konsol Google Cloud .

    Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.

    Melihat SBOM dengan gcloud CLI

    Gunakan perintah gcloud artifacts sbom list untuk menelusuri SBOM yang disimpan di Cloud Storage. Penelusuran ini berlaku untuk semua SBOM Anda di Cloud Storage, termasuk yang dibuat oleh Artifact Analysis dan yang Anda pilih untuk diupload dari sumber lain menggunakan format yang didukung.

    Anda dapat menggunakan filter dengan perintah gcloud untuk mempersempit hasil dan berfokus pada SBOM yang paling relevan dengan masalah keamanan atau permintaan kepatuhan tertentu.

    Misalnya, perintah berikut menunjukkan cara mendapatkan informasi tentang SBOM untuk image Docker my-image yang disimpan di Artifact Registry:

    gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

    Dengan:

    • --resource menentukan URI resource gambar untuk mencantumkan referensi file SBOM.

    Output mencakup hal berikut:

    • Lokasi Cloud Storage untuk SBOM. Dengan menggunakan lokasi Cloud Storage, Anda dapat melihat SBOM di gcloud CLI dengan menjalankan perintah gcloud storage cat.
    • Apakah SBOM masih ada di bucket Cloud Storage atau telah dihapus.
    • Hash SBOM yang dapat Anda gunakan untuk memverifikasi bahwa SBOM tidak dimodifikasi.

    Filter

    Anda dapat memfilter SBOM tertentu menggunakan salah satu flag opsional berikut:

    Flag Tujuan Nilai input
    --dependency Mencantumkan semua referensi file SBOM tempat resource telah menginstal paket yang ditentukan. Lihat jenis paket yang didukung. Nama paket yang diinstal
    --resource Mencantumkan referensi file SBOM yang terkait dengan gambar tertentu. URI resource
    --resource-prefix Mencantumkan referensi file SBOM yang terkait dengan awalan jalur resource. Jalur resource, yang akan digunakan sebagai awalan untuk penelusuran

    Contoh pemfilteran

    Memfilter hasil menurut URI resource:

    gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

    Filter menurut awalan resource:

    gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

    Batasan

    Langkah berikutnya