Ce document explique comment créer et stocker une nomenclature logicielle (SBOM) listant les dépendances de vos images de conteneur.
Lorsque vous stockez des images de conteneur dans Artifact Registry et que vous recherchez des failles à l'aide de l'Artifact Analysis, vous pouvez générer un SBOM à l'aide de la Google Cloud CLI.
Pour en savoir plus sur l'utilisation de l'analyse des failles, consultez les sections Analyse automatique et Tarifs.
L'Artifact Analysis stocke les fichiers SBOM dans Cloud Storage. Pour en savoir plus sur les coûts de Cloud Storage, consultez la section Tarifs.
Les dépôts Container Registry (obsolète) ne sont pas acceptés. Découvrez comment passer de Container Registry.
Avant de commencer
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Créez un dépôt Docker dans Artifact Registry et transférez-y une image de conteneur. Si vous ne connaissez pas Artifact Registry, consultez le guide de démarrage rapide Docker.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer des buckets Cloud Storage et importer des fichiers SBOM, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Storage (roles/storage.admin
) sur le projet.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Générer un fichier SBOM
Pour générer un fichier SBOM, utilisez la commande suivante:
gcloud artifacts sbom export --uri=URI
Où
- URI est l'URI de l'image Artifact Registry que le fichier SBOM décrit, semblable à
us-east1-docker.pkg.dev/my-image-repo/my-image
. Les images peuvent être au format tag ou résumé. Les images fournies au format de balise seront converties au format condensé.
L'Artifact Analysis stocke votre SBOM dans Cloud Storage.
Vous pouvez afficher les SBOM à l'aide de la console Google Cloud ou de gcloud CLI. Si vous souhaitez localiser le bucket Cloud Storage qui contient vos fichiers SBOM, vous devez rechercher des fichiers SBOM à l'aide de la CLI gcloud.
Générer un SBOM sans analyse des failles
Si vous souhaitez générer un SBOM, mais que vous ne souhaitez pas d'analyse continue des failles pour votre projet, vous pouvez toujours exporter un SBOM si vous activez l'API Container Scanning avant d'importer l'image dans Artifact Registry. Une fois votre image transférée vers Artifact Registry et que vous avez exporté un SBOM, vous devez désactiver l'API Container Scanning pour éviter d'être facturé pour d'autres analyses des failles.