Nachdem Sie Assured OSS in Security Command Center eingebunden haben, werden Assured Open Source Software-Pakete in einem Artifact Registry-Repository gehostet, das in einem Projekt erstellt wird, das Sie verwalten.
Auf dieser Seite wird beschrieben, wie Sie eine Verbindung zum Artifact Registry-Repository für Assured OSS herstellen, um direkt auf die Java-Pakete zuzugreifen und sie herunterzuladen.
Dieses Dokument gilt nur für die Premium-Version von Assured OSS. Informationen zur kostenlosen Stufe finden Sie unter Java-Pakete über direkten Repository-Zugriff für die kostenlose Stufe herunterladen.
Hinweise
Verbindung zu Assured OSS validieren für die angeforderten Dienstkonten.
Installieren Sie die aktuelle Version der Google Cloud CLI.
Wenn Sie die Google Cloud CLI bereits installiert haben, prüfen Sie, ob Sie die neueste Version haben. Führen Sie dazu den folgenden Befehl aus:
gcloud components update
Authentifizierung einrichten
Artifact Registry unterstützt die folgenden Authentifizierungsmethoden:
- Authentifizierung mit einem Credential Helper
- Authentifizierung mit einem Passwort
In den folgenden Abschnitten wird beschrieben, wie Sie diese Authentifizierungsmethoden einrichten.
Mit Credential Helper authentifizieren
Artifact Registry bietet ein Maven-Wagon und ein Gradle-Plug-in, die als Credential Helper verwendet werden können. Diese Option bietet die größte Flexibilität.
Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Authentifizierung einrichten.
Anmeldedaten-Helfer einrichten
Wenn Sie einen Anmeldedaten-Helper zum Einrichten der Authentifizierung verwenden, nehmen Sie die folgenden Änderungen basierend auf dem Build-Tool vor.
Maven
<project>
<build>
<extensions>
<extension>
<groupId>com.google.cloud.artifactregistry</groupId>
<artifactId>artifactregistry-maven-wagon</artifactId>
<version>2.2.0</version>
</extension>
</extensions>
</build>
</project>
Gradle
plugins {
id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}
Mit Passwort authentifizieren
Authentifizierung mit Passwort, wenn Ihre Java-Anwendung eine Authentifizierung mit einem angegebenen Nutzernamen und Passwort erfordert. Ändern Sie die Einstellungen je nach Build-Tool gemäß der folgenden Anleitung:
Maven
Fügen Sie die folgenden Authentifizierungseinstellungen im Abschnitt settings der Datei ~/.m2/settings.xml hinzu. Weitere Informationen finden Sie in der Referenz zu Maven-Einstellungen. Wenn die Datei ~/.m2/settings.xml nicht vorhanden ist, erstellen Sie eine neue Datei.
<settings>
<servers>
<server>
<id>artifact-registry</id>
<configuration>
<httpConfiguration>
<get>
<usePreemptive>true</usePreemptive>
</get>
<head>
<usePreemptive>true</usePreemptive>
</head>
<put>
<params>
<property>
<name>http.protocol.expect-continue</name>
<value>false</value>
</property>
</params>
</put>
</httpConfiguration>
</configuration>
<username>_json_key_base64</username>
<password>KEY</password>
</server>
</servers>
</settings>
Ersetzen Sie KEY durch die Base64-Codierung der gesamten JSON-Schlüsseldatei des Dienstkontos. Führen Sie hierzu den folgenden Befehl aus:
cat KEY_FILE_LOCATION | base64
Ersetzen Sie KEY_FILE_LOCATION durch den Speicherort der JSON-Schlüsseldatei des Dienstkontos.
Gradle
Fügen Sie diese Zeile der Datei ~/.gradle/gradle.properties hinzu, damit der Schlüssel in den Builds oder Ihrem Quellkontroll-Repository nicht sichtbar ist.
artifactRegistryMavenSecret = KEY
Ersetzen Sie KEY durch den privaten Schlüssel aus der JSON-Schlüsseldatei Ihres Dienstkontos. Für json_key_base64 enthält artifactRegistryMavenSecret das base64-verschlüsselte Passwort. Beispiel: base64 -w 0 KEY
Geben Sie in der Datei build.gradle die Repository-Einstellungen an, wie im folgenden Beispiel gezeigt:
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
credentials {
username = "_json_key_base64"
password = "$artifactRegistryMavenSecret"
}
authentication {
basic(BasicAuthentication)
}
}
}
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Projektkonfigurationsdatei so aktualisieren, dass sie auf das Repository verweist
Maven
Fügen Sie die folgenden Einstellungen in den entsprechenden Abschnitt der Datei pom.xml für Ihr Maven-Projekt ein. Ersetzen Sie die Authentifizierungseinstellungen nicht.
<project>
<repositories>
<repository>
<id>artifact-registry</id>
<url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
</project>
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Weitere Informationen zur Struktur der Datei finden Sie in der POM-Referenz zu Maven.
Gradle
Geben Sie in der Datei build.gradle die folgenden Repository-Einstellungen an. Ersetzen Sie die Authentifizierungseinstellungen nicht.
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
}
}
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Projektkonfigurationsdatei aktualisieren, um Abhängigkeiten hinzuzufügen
Wenn Sie ein Artefakt als Teil Ihres Builds herunterladen möchten, muss es als Abhängigkeit deklariert werden.
Maven
Deklarieren Sie die Pakete, die Sie herunterladen möchten, in der pom.xml-Datei für Ihr Maven-Projekt.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
Gradle
Deklarieren Sie die Pakete, die Sie herunterladen möchten, in Ihrer build.gradle-Datei.
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}
Alle in Assured OSS verfügbaren Java-Pakete auflisten
Wenn Sie eine API verwenden möchten, um eine Liste aller im Artifact Registry-Repository verfügbaren Java-Pakete abzurufen, lesen Sie den Abschnitt Alle in Security Command Center verfügbaren Java-Pakete auflisten.
Nächste Schritte
- Python-Pakete über direkten Repository-Zugriff in der Premium-Stufe herunterladen
- Sicherheitsmetadaten abrufen und Pakete in der Premium-Stufe prüfen