Visualizzare e filtrare le SBOM

Questo documento descrive come accedere ai record della distinta materiali del software (SBOM) e ai metadati delle dipendenze correlate per aiutarti a comprendere i componenti delle immagini container archiviate in Artifact Registry.

Prima di iniziare

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

1. Avere le SBOM archiviate in Cloud Storage. Consulta le istruzioni per generare SBOM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare i dati SBOM e filtrare i risultati, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Visualizzatore occorrenze Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumer utilizzo servizi (roles/serviceusage.serviceUsageConsumer)
• Lettore Artifact Registry (roles/artifactregistry.reader)
• Per verificare gli SBOM: Visualizzatore oggetti Storage (roles/storage.objectViewer): un bucket Cloud Storage specifico

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizzare le SBOM nella console Google Cloud

Per visualizzare le SBOM e i metadati delle dipendenze correlate per le immagini container archiviate in Artifact Registry:

1. Apri la pagina Repository di Artifact Registry.

   Apri la pagina Repository

   La pagina mostra un elenco dei tuoi repository.

2. Nell'elenco dei repository, fai clic sul nome di un repository.

   Si apre la pagina Dettagli repository, che mostra un elenco delle tue immagini.

3. Nell'elenco delle immagini, fai clic sul nome di un'immagine.

   La pagina mostra un elenco dei riepiloghi delle immagini.

4. Nell'elenco dei digest delle immagini, fai clic sul nome di un digest.

   La pagina mostra una riga di schede in cui è aperta la scheda Panoramica, che mostra dettagli come formato, posizione, repository, dimensioni virtuali e tag.

5. Nella riga di schede, fai clic sulla scheda Dipendenze.

   Si apre la scheda Dipendenze, che mostra le seguenti informazioni:

   • Sezione SBOM
   • Sezione Licenze
   • Un elenco filtrabile di dipendenze

SBOM

La sezione di riepilogo SBOM mostra le seguenti informazioni:

• File: un nome file SBOM su cui è possibile fare clic, che apre la posizione in cui la SBOM è salvata in Cloud Storage.
• Tipo: il tipo di standard SBOM utilizzato, ad esempio Software Package Data Exchange (SPDX) o Cyclone.
• Versione: la versione dello standard SBOM utilizzato.
• Generato da: l'origine dei dati SBOM, generati da Artifact Analysis o caricati manualmente.

Licenze

La sezione di riepilogo Licenze mostra un grafico a barre chiamato Licenze più comuni. Rappresenta i tipi di licenze che compaiono più spesso nelle informazioni sulle dipendenze. Quando tieni il puntatore sopra una barra del grafico, la console mostra il conteggio esatto delle istanze di quel tipo di licenza.

Dipendenze

L'elenco delle dipendenze mostra i contenuti del digest delle immagini, tra cui:

• Nome pacchetto
• Versione pacchetto
• Tipo di pacchetto
• Tipo di licenza

Puoi filtrare l'elenco delle dipendenze in base a una qualsiasi di queste categorie.

Visualizzare le SBOM in Cloud Build

Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza all'interno della console Google Cloud .

Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica di alto livello delle informazioni sulla sicurezza della build per gli artefatti archiviati in Artifact Registry. Per saperne di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza delle build.

Visualizzare le SBOM con gcloud CLI

Utilizza il comando gcloud artifacts sbom list per cercare le SBOM archiviate in Cloud Storage. Questa ricerca si applica a tutti gli SBOM in Cloud Storage, inclusi quelli generati da Artifact Analysis e quelli che scegli di caricare da un'altra origine utilizzando un formato supportato.

Puoi utilizzare i filtri con il comando gcloud per restringere i risultati e concentrarti sulle SBOM più pertinenti per un problema di sicurezza o una richiesta di conformità specifici.

Ad esempio, il seguente comando mostra come ottenere informazioni sulla SBOM per un'immagine Docker my-image archiviata in Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Dove:

• --resource specifica l'URI della risorsa immagine per elencare i riferimenti ai file SBOM per.

L'output include quanto segue:

• La posizione di Cloud Storage per la SBOM. Utilizzando la posizione Cloud Storage, puoi visualizzare la SBOM in gcloud CLI eseguendo il comando gcloud storage cat.
• Se la SBOM è ancora nel bucket Cloud Storage o è stata rimossa.
• Un hash della SBOM che puoi utilizzare per verificare che non sia stata modificata.

Filtri

Puoi filtrare SBOM specifiche utilizzando uno dei seguenti flag facoltativi:

Flag	Finalità	Valore di input
--dependency	Elenca tutti i riferimenti ai file SBOM in cui è installato il pacchetto specificato. Consulta i tipi di pacchetti supportati.	Il nome di un pacchetto installato
--resource	Elenca i riferimenti ai file SBOM relativi a un'immagine specifica.	L'URI risorsa
--resource-prefix	Elenca i riferimenti ai file SBOM correlati al prefisso del percorso della risorsa.	Un percorso della risorsa, che verrà utilizzato come prefisso per la ricerca

Esempi di filtri

Filtra i risultati per URI risorsa:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtra per prefisso risorsa:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limitazioni

• Le informazioni sulla licenza vengono fornite solo per i pacchetti del sistema operativo e i pacchetti di lingua supportati.

Passaggi successivi

• Generare SBOM.
• Scopri come utilizzare le istruzioni VEX.