Visualizzare e filtrare le SBOM

Questo documento descrive come accedere ai record della distinta base del software (SBOM) e ai metadati delle dipendenze correlati per aiutarti a comprendere i componenti delle immagini container archiviate in Artifact Registry.

Prima di iniziare

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Avere SBOM archiviate in Cloud Storage. Consulta le istruzioni per la generazione di SBOM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare i dati SBOM e filtrare i risultati, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizzare gli SBOM nella console Google Cloud

Per visualizzare gli SBOM e i metadati delle dipendenze correlati per le immagini container archiviate in Artifact Registry:

  1. Apri la pagina Repository di Artifact Registry.

    Apri la pagina Repositori

    La pagina mostra un elenco dei tuoi repository.

  2. Nell'elenco dei repository, fai clic sul nome di un repository.

    Viene visualizzata la pagina Dettagli del repository, che mostra un elenco delle tue immagini.

  3. Nell'elenco delle immagini, fai clic sul nome di un'immagine.

    La pagina mostra un elenco dei digest delle immagini.

  4. Nell'elenco dei digest delle immagini, fai clic sul nome di un digest.

    Nella pagina viene visualizzata una riga di schede in cui è aperta la scheda Panoramica, che mostra dettagli come formato, posizione, repository, dimensioni virtuali e tag.

  5. Nella riga delle schede, fai clic sulla scheda Dipendenze.

    Si apre la scheda Dipendenze, che mostra le seguenti informazioni:

    • Sezione SBOM
    • Sezione Licenze
    • Un elenco filtrabile di dipendenze

SBOM

La sezione di riepilogo SBOM mostra le seguenti informazioni:

  • File: un nome file SBOM cliccabile che apre la posizione in cui è salvata la SBOM in Cloud Storage.
  • Tipo: il tipo di standard SBOM utilizzato, ad esempio Software Package Data Exchange (SPDX) o Cyclone.
  • Versione: la versione dello standard SBOM utilizzato.
  • Generato da: l'origine dei dati SBOM, generati da Artifact Analysis o caricati manualmente.

Licenze

La sezione di riepilogo Licenze mostra un grafico a barre denominato Licenze più comuni. Questi sono i tipi di licenze che compaiono più spesso nelle informazioni sulle dipendenze. Quando passi il cursore sopra una barra del grafico, la console mostra il conteggio esatto delle istanze di quel tipo di licenza.

Dipendenze

L'elenco delle dipendenze mostra i contenuti del digest delle immagini, tra cui:

  • Nome pacchetto
  • Versione pacchetto
  • Tipo di pacchetto
  • Tipo di licenza

Puoi filtrare l'elenco delle dipendenze in base a una di queste categorie.

Visualizzare gli SBOM in Cloud Build

Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza della console Google Cloud.

Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale delle informazioni sulla sicurezza della compilazione per gli elementi archiviati in Artifact Registry. Per scoprire di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza della build.

Visualizzare gli SBOM con gcloud CLI

Utilizza il comando gcloud artifacts sbom list per cercare gli SBOM archiviati in Cloud Storage. Questa ricerca si applica a tutti gli SBOM in Cloud Storage, inclusi quelli generati da Artifact Analysis e quelli che scegli di caricare da un'altra fonte utilizzando un formato supportato.

Puoi utilizzare i filtri con il comando gcloud per restringere i risultati e concentrarti sulle SBOM più pertinenti a un problema di sicurezza o a una richiesta di conformità specifici.

Ad esempio, il seguente comando mostra come ottenere informazioni sull'SBOM di un'immagine Docker my-image archiviata in Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Dove:

  • --resource specifica l'URI della risorsa immagine per cui elencare i riferimenti ai file SBOM.

L'output include quanto segue:

  • La posizione di Cloud Storage per la SBOM. Utilizzando la posizione Cloud Storage, puoi visualizzare l'SBOM nell'interfaccia a riga della gcloud CLI eseguendo il comando gcloud storage cat.
  • Indica se l'SBOM è ancora nel bucket Cloud Storage o se è stata rimossa.
  • Un hash della SBOM che puoi utilizzare per verificare che non sia stata modificata.

Filtri

Puoi filtrare in base a SBOM specifiche utilizzando uno dei seguenti flag facoltativi:

Bandiera Finalità Valore di input
--dependency Elenca tutti i riferimenti ai file SBOM in cui in una risorsa è installato il pacchetto specificato. Consulta i tipi di pacchetti supportati. Il nome di un pacchetto installato
--resource Elenca i riferimenti ai file SBOM relativi a un'immagine specifica. L'URI della risorsa
--resource-prefix Elenca i riferimenti ai file SBOM relativi al prefisso del percorso della risorsa. Un percorso della risorsa, che verrà utilizzato come prefisso per la ricerca

Esempi di filtri

Filtra i risultati in base all'URI della risorsa:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtra per prefisso della risorsa:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limitazioni

Passaggi successivi