Conferir e filtrar SBOMs

Este documento descreve como acessar os registros da lista de materiais de software (SBOM, na sigla em inglês) e os metadados de dependência relacionados para ajudar você a entender os componentes das imagens de contêiner armazenadas no Artifact Registry.

Antes de começar

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

1. Ter SBOMs armazenadas no Cloud Storage. Confira as instruções sobre como gerar SBOMs.

Funções exigidas

Para ter as permissões necessárias para ver dados da lista de materiais de software (SBOM) e filtrar resultados, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

• Leitor de ocorrências do Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)
• Leitor do Artifact Registry (roles/artifactregistry.reader)
• Para verificar as SBOMS: Leitor de objetos do Storage (roles/storage.objectViewer): um bucket específico do Cloud Storage

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Ver as listas de materiais de software no console do Google Cloud

Para conferir as listas de materiais de software (SBOMs, na sigla em inglês) e os metadados de dependência relacionados para imagens de contêiner armazenadas no Artifact Registry:

1. Abra a página Repositórios do Artifact Registry.

   Abrir a página Repositórios

   A página exibe uma lista dos seus repositórios.

2. Na lista de repositórios, clique em um nome.

   A página Detalhes do repositório é aberta e mostra uma lista das suas imagens.

3. Na lista de imagens, clique no nome de uma imagem.

   A página mostra uma lista dos seus resumos de imagens.

4. Na lista de resumos de imagens, clique em um nome de resumo.

   A página mostra uma linha de guias com a guia Visão geral aberta, mostrando detalhes como formato, local, repositório, tamanho virtual e tags.

5. Na linha de guias, clique em Dependências.

   A guia "Dependências" é aberta e mostra as seguintes informações:

   • Seção da lista de materiais de software (SBOM)
   • Seção "Licenças"
   • Uma lista filtrável de dependências

SBOM

A seção de resumo da SBOM mostra as seguintes informações:

• Arquivo: um nome de arquivo clicável da lista de materiais de software (SBOM, na sigla em inglês), que abre o local em que a SBOM está salva no Cloud Storage.
• Tipo: o tipo de padrão de SBOM usado, como Software Package Data Exchange (SPDX) ou Cyclone.
• Versão: a versão do padrão da lista de materiais de software usada.
• Gerado por: a origem dos dados da lista de materiais de software, gerados pela Artifact Analysis ou enviados manualmente.

Licenças

A seção de resumo Licenças mostra um gráfico de barras chamado Licenças mais comuns. Isso representa os tipos de licenças que aparecem com mais frequência nas informações de dependência. Quando você mantém o cursor sobre uma barra no gráfico, o console mostra a contagem exata de instâncias desse tipo de licença.

Dependências

A lista de dependências mostra o conteúdo do resumo da imagem, incluindo:

• Nome do pacote
• Versão do pacote
• Tipo de pacote
• Tipo de licença

É possível filtrar a lista de dependências por qualquer uma dessas categorias.

Ver as listas de materiais de software no Cloud Build

Se você estiver usando o Cloud Build, poderá conferir os metadados da imagem no painel lateral Insights de segurança no console do Google Cloud .

O painel lateral Insights de segurança oferece uma visão geral de alto nível das informações de segurança de build para artefatos armazenados no Artifact Registry. Para saber mais sobre o painel lateral e como usar o Cloud Build para proteger sua cadeia de suprimentos de software, consulte Ver insights de segurança de build.

Conferir listas de materiais de software com a CLI gcloud

Use o comando gcloud artifacts sbom list para pesquisar as listas de materiais de software armazenadas no Cloud Storage. Essa pesquisa se aplica a todas as suas listas de materiais de software no Cloud Storage, incluindo as geradas pelo Artifact Analysis e as que você escolhe fazer upload de outra origem usando um formato compatível.

É possível usar filtros com o comando gcloud para restringir os resultados e se concentrar nas listas de materiais de software (SBOMs, na sigla em inglês) mais relevantes para uma questão de segurança ou solicitação de compliance específica.

Por exemplo, o comando a seguir demonstra como obter informações sobre a lista de materiais de software de uma imagem do Docker my-image armazenada no Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Em que:

• --resource especifica o URI do recurso de imagem para listar as referências de arquivo da lista de materiais de software.

A saída inclui o seguinte:

• O local do Cloud Storage para a lista de materiais de software. Usando o local do Cloud Storage, é possível conferir a lista de materiais de software na CLI gcloud executando o comando gcloud storage cat.
• Se a lista de materiais de software ainda está no bucket do Cloud Storage ou foi removida.
• Um hash da lista de materiais de software que pode ser usado para verificar se ela não foi modificada.

Filtros

É possível filtrar SBOMs específicos usando qualquer uma das seguintes flags opcionais:

Sinalização	Finalidade	Valor de entrada
--dependency	Lista todas as referências de arquivo da lista de materiais de software em que um recurso tem o pacote especificado instalado. Consulte os tipos de pacotes compatíveis.	O nome de um pacote instalado
--resource	Lista referências de arquivos da lista de materiais de software relacionadas a uma imagem específica.	O URI do recurso
--resource-prefix	Lista referências de arquivos da lista de materiais de software relacionadas ao prefixo do caminho do recurso.	Um caminho de recurso, que será usado como prefixo para a pesquisa

Exemplos de filtragem

Filtrar resultados por URI do recurso:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtrar por prefixo de recurso:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limitações

• As informações de licença são fornecidas apenas para pacotes do SO e pacotes de idiomas compatíveis.

A seguir

• Gerar SBOMs.
• Saiba como usar instruções VEX.