Gerar e armazenar listas de materiais de software

Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM, na sigla em inglês) com as dependências nas imagens de contêiner.

Ao armazenar imagens de contêiner no Artifact Registry e verificar se há vulnerabilidades com o Artifact Analysis, é possível gerar uma lista de materiais de software (SBOM, na sigla em inglês) usando a Google Cloud CLI.

Para informações sobre como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.

Artifact Analysis armazena as listas de materiais de software no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.

Antes de começar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init
  14. Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não estiver familiarizado com o Artifact Registry, consulte o Guia de início rápido do Docker.

    15. Funções exigidas

    Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos da lista de materiais de software (SBOM), peça ao administrador para conceder a você o papel do IAM de Administrador do Storage (roles/storage.admin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

    Gerar um arquivo de lista de materiais de software

    Para gerar um arquivo de lista de materiais de software (SBOM, na sigla em inglês), use o seguinte comando:

    gcloud artifacts sbom export --uri=URI

    Onde

    • URI é o URI da imagem do Artifact Registry que o arquivo SBOM descreve, semelhante a us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de tag ou formato de resumo. As imagens fornecidas no formato de tag serão convertidas para o formato de resumo.

    Artifact Analysis armazena sua lista de materiais de software no Cloud Storage.

    É possível conferir as listas de materiais de software usando o console Google Cloud ou a CLI gcloud. Se você quiser localizar o bucket do Cloud Storage que contém suas SBOMs, pesquise SBOMs usando a CLI gcloud.

    Gerar uma lista de materiais de software sem verificação de vulnerabilidades

    Se você quiser gerar uma lista de materiais de software, mas não quiser a verificação contínua de vulnerabilidades no seu projeto, ainda poderá exportar uma lista se ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você exportar uma lista de materiais de software (SBOM), desative a API Container Scanning para evitar cobranças por outras verificação de vulnerabilidades.

    A seguir