Veja e filtre SBOMs

Este documento descreve como aceder aos registos da lista de materiais de software (SBOM) e aos metadados de dependência relacionados para ajudar a compreender os componentes das suas imagens de contentores armazenadas no Artifact Registry.

Antes de começar

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

1. Ter SBOMs armazenadas no Cloud Storage. Consulte as instruções sobre como gerar SBOMs.

Funções necessárias

Para receber as autorizações de que precisa para ver os dados da SBOM e filtrar os resultados, peça ao seu administrador que lhe conceda as seguintes funções da IAM no projeto:

• Visualizador de ocorrências da Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor de utilização do serviço (roles/serviceusage.serviceUsageConsumer)
• Leitor do Artifact Registry (roles/artifactregistry.reader)
• Para validar SBOMS: Storage Object Viewer (roles/storage.objectViewer) – um contentor específico do Cloud Storage

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Veja as SBOMs na Google Cloud consola

Para ver as SBOMs e os metadados de dependências relacionados para imagens de contentores armazenadas no Artifact Registry:

1. Abra a página Repositórios do Artifact Registry.

   Abra a página Repositórios

   A página apresenta uma lista dos seus repositórios.

2. Na lista de repositórios, clique no nome de um repositório.

   A página Detalhes do repositório é aberta e apresenta uma lista das suas imagens.

3. Na lista de imagens, clique no nome de uma imagem.

   A página apresenta uma lista dos seus resumos de imagens.

4. Na lista de resumos de imagens, clique no nome de um resumo.

   A página apresenta uma linha de separadores onde o separador Vista geral está aberto, mostrando detalhes como o formato, a localização, o repositório, o tamanho virtual e as etiquetas.

5. Na linha de separadores, clique no separador Dependencies.

   O separador Dependências é aberto e apresenta as seguintes informações:

   • Secção SBOM
   • Secção Licenças
   • Uma lista filtrável de dependências

SBOM

A secção de resumo da SBOM apresenta as seguintes informações:

• Ficheiro: um nome de ficheiro SBOM clicável, que abre a localização onde a sua SBOM está guardada no Cloud Storage.
• Tipo: o tipo de norma SBOM usada, como Software Package Data Exchange (SPDX) ou Cyclone.
• Versão: a versão da norma SBOM usada.
• Gerado por: a origem dos dados da SBOM, quer tenham sido gerados pela análise de artefactos ou carregados manualmente.

Licenças

A secção de resumo Licenças apresenta um gráfico de barras denominado Licenças mais comuns. Isto representa os tipos de licenças que aparecem com mais frequência nas suas informações de dependência. Quando passa o cursor do rato sobre uma barra no gráfico, a consola apresenta a contagem exata das instâncias desse tipo de licença.

Dependências

A lista de dependências apresenta o conteúdo do resumo da imagem, incluindo:

• Nome do pacote
• Versão do pacote
• Tipo de pacote
• Tipo de licença

Pode filtrar a lista de dependências por qualquer uma destas categorias.

Veja SBOMs no Cloud Build

Se estiver a usar o Cloud Build, pode ver os metadados das imagens no painel lateral Estatísticas de segurança na Google Cloud consola.

O painel lateral Estatísticas de segurança oferece uma vista geral de alto nível das informações de segurança de compilação para artefactos armazenados no Artifact Registry. Para saber mais acerca do painel lateral e como pode usar o Cloud Build para ajudar a proteger a sua cadeia de fornecimento de software, consulte Veja informações de segurança da compilação.

Veja SBOMs com a CLI gcloud

Use o comando gcloud artifacts sbom list para pesquisar SBOMs armazenadas no Cloud Storage. Esta pesquisa aplica-se a todas as suas SBOMs no Cloud Storage, incluindo as geradas pela análise de artefactos e as que optar por carregar a partir de outra origem num formato suportado.

Pode usar filtros com o comando gcloud para restringir os resultados e focar-se nas SBOMs mais relevantes para uma preocupação de segurança específica ou um pedido de conformidade.

Por exemplo, o comando seguinte demonstra como obter informações sobre a SBOM de uma imagem do Docker my-image armazenada no Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Onde:

• --resource especifica o URI do recurso de imagem para listar as referências de ficheiros SBOM.

A saída inclui o seguinte:

• A localização do Cloud Storage para a SBOM. Usando a localização do Cloud Storage, pode ver a SBOM na CLI gcloud executando o comando gcloud storage cat.
• Se a SBOM ainda está no contentor do Cloud Storage ou foi removida.
• Um hash da SBOM que pode usar para verificar se não foi modificada.

Filtros

Pode filtrar SBOMs específicas através de qualquer uma das seguintes flags opcionais:

Bandeira	Finalidade	Valor da entrada
--dependency	Apresenta todas as referências de ficheiros SBOM onde um recurso tem o pacote especificado instalado. Consulte os tipos de pacotes suportados.	O nome de um pacote instalado
--resource	Liste referências de ficheiros SBOM relacionadas com uma imagem específica.	O URI do recurso
--resource-prefix	Liste as referências de ficheiros da SBOM relacionadas com o prefixo do caminho do recurso.	Um caminho de recurso que vai ser usado como prefixo para a pesquisa

Exemplos de filtragem

Filtre os resultados por URI do recurso:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtre por prefixo do recurso:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limitações

• As informações de licença só são fornecidas para pacotes de SO e pacotes de idiomas suportados.

O que se segue?

• Gere SBOMs.
• Saiba como usar declarações VEX.