Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM, na sigla em inglês) que lista as dependências nas imagens de contêiner.
Ao armazenar imagens de contêiner no Artifact Registry e verificar se há vulnerabilidades com o Artifact Analysis, é possível gerar um SBOM usando a CLI do Google Cloud.
Para saber como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.
A Análise de artefato armazena SBOMs no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.
Não há suporte para repositórios do Container Registry (descontinuado). Saiba como fazer a transição do Container Registry.
Antes de começar
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não conhece o Artifact Registry, consulte o Guia de início rápido do Docker.
Funções exigidas
Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos SBOM,
peça ao administrador para conceder a você o
o papel do IAM de Administrador do Storage (roles/storage.admin) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Gerar um arquivo SBOM
Para gerar um arquivo SBOM, use o seguinte comando:
gcloud artifacts sbom export --uri=URI
Onde
- URI é o URI da imagem do Artifact Registry que o arquivo SBOM
descreve, semelhante a
us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de tag ou resumo. As imagens fornecidas no formato de tag serão resolvidas no formato de resumo.
A análise de artefato armazena sua SBOM no Cloud Storage.
É possível conferir os SBOMs usando o console do Google Cloud ou a gcloud CLI. Se você quiser localizar o bucket do Cloud Storage que contém os SBOMs, pesquise os SBOMs usando a CLI gcloud.
Gerar uma lista de materiais de software sem verificação de vulnerabilidades
Se você quiser gerar um SBOM, mas não quiser que a verificação de vulnerabilidade seja contínua para seu projeto, ainda será possível exportar um SBOM se você ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você exportar um SBOM, desative a API Container Scanning para evitar cobranças por outras verificações de vulnerabilidade.