Questo documento descrive come accedere ai record della distinta base del software (SBOM) e ai metadati delle dipendenze correlati per aiutarti a comprendere i componenti delle immagini container archiviate in Artifact Registry.
Prima di iniziare
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Avere SBOM archiviate in Cloud Storage. Consulta le istruzioni per la generazione di SBOM.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per visualizzare i dati SBOM e filtrare i risultati, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Visualizzatore delle occorrenze di Container Analysis (
roles/containeranalysis.occurrences.viewer
) -
Consumatore di utilizzo del servizio (
roles/serviceusage.serviceUsageConsumer
) -
Artifact Registry Reader (
roles/artifactregistry.reader
) -
Per verificare gli SBOMS:
Visualizzatore oggetti Storage (
roles/storage.objectViewer
): un bucket Cloud Storage specifico
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Visualizzare gli SBOM nella console Google Cloud
Per visualizzare gli SBOM e i metadati delle dipendenze correlati per le immagini container archiviate in Artifact Registry:
Apri la pagina Repository di Artifact Registry.
La pagina mostra un elenco dei tuoi repository.
Nell'elenco dei repository, fai clic sul nome di un repository.
Viene visualizzata la pagina Dettagli del repository, che mostra un elenco delle tue immagini.
Nell'elenco delle immagini, fai clic sul nome di un'immagine.
La pagina mostra un elenco dei digest delle immagini.
Nell'elenco dei digest delle immagini, fai clic sul nome di un digest.
Nella pagina viene visualizzata una riga di schede in cui è aperta la scheda Panoramica, che mostra dettagli come formato, posizione, repository, dimensioni virtuali e tag.
Nella riga delle schede, fai clic sulla scheda Dipendenze.
Si apre la scheda Dipendenze, che mostra le seguenti informazioni:
- Sezione SBOM
- Sezione Licenze
- Un elenco filtrabile di dipendenze
SBOM
La sezione di riepilogo SBOM mostra le seguenti informazioni:
- File: un nome file SBOM cliccabile che apre la posizione in cui è salvata la SBOM in Cloud Storage.
- Tipo: il tipo di standard SBOM utilizzato, ad esempio Software Package Data Exchange (SPDX) o Cyclone.
- Versione: la versione dello standard SBOM utilizzato.
- Generato da: l'origine dei dati SBOM, generati da Artifact Analysis o caricati manualmente.
Licenze
La sezione di riepilogo Licenze mostra un grafico a barre denominato Licenze più comuni. Questi sono i tipi di licenze che compaiono più spesso nelle informazioni sulle dipendenze. Quando passi il cursore sopra una barra del grafico, la console mostra il conteggio esatto delle istanze di quel tipo di licenza.
Dipendenze
L'elenco delle dipendenze mostra i contenuti del digest delle immagini, tra cui:
- Nome pacchetto
- Versione pacchetto
- Tipo di pacchetto
- Tipo di licenza
Puoi filtrare l'elenco delle dipendenze in base a una di queste categorie.
Visualizzare gli SBOM in Cloud Build
Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza della console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale delle informazioni sulla sicurezza della compilazione per gli elementi archiviati in Artifact Registry. Per scoprire di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza della build.
Visualizzare gli SBOM con gcloud CLI
Utilizza il comando gcloud artifacts sbom list
per cercare gli SBOM archiviati in Cloud Storage. Questa ricerca si applica a tutti gli SBOM in Cloud Storage, inclusi quelli generati da Artifact Analysis e quelli che scegli di caricare da un'altra fonte utilizzando un formato supportato.
Puoi utilizzare i filtri con il comando gcloud per restringere i risultati e concentrarti sulle SBOM più pertinenti a un problema di sicurezza o a una richiesta di conformità specifici.
Ad esempio, il seguente comando mostra come ottenere informazioni sull'SBOM di un'immagine Docker my-image
archiviata in Artifact Registry:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"
Dove:
--resource
specifica l'URI della risorsa immagine per cui elencare i riferimenti ai file SBOM.
L'output include quanto segue:
- La posizione di Cloud Storage per la SBOM. Utilizzando la posizione Cloud Storage, puoi visualizzare l'SBOM nell'interfaccia a riga della gcloud CLI eseguendo il comando gcloud storage cat.
- Indica se l'SBOM è ancora nel bucket Cloud Storage o se è stata rimossa.
- Un hash della SBOM che puoi utilizzare per verificare che non sia stata modificata.
Filtri
Puoi filtrare in base a SBOM specifiche utilizzando uno dei seguenti flag facoltativi:
Bandiera | Finalità | Valore di input |
---|---|---|
--dependency |
Elenca tutti i riferimenti ai file SBOM in cui in una risorsa è installato il pacchetto specificato. Consulta i tipi di pacchetti supportati. | Il nome di un pacchetto installato |
--resource |
Elenca i riferimenti ai file SBOM relativi a un'immagine specifica. | L'URI della risorsa |
--resource-prefix |
Elenca i riferimenti ai file SBOM relativi al prefisso del percorso della risorsa. | Un percorso della risorsa, che verrà utilizzato come prefisso per la ricerca |
Esempi di filtri
Filtra i risultati in base all'URI della risorsa:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"
Filtra per prefisso della risorsa:
gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"
Limitazioni
- Le informazioni sulla licenza vengono fornite solo per i pacchetti di sistema operativo e per i pacchetti di lingue supportati.
Passaggi successivi
- Genera SBOM.
- Scopri come utilizzare le istruzioni VEX.