Membuat dan menyimpan SBOM

Dokumen ini menjelaskan cara membuat dan menyimpan bill of materials (SBOM) software yang mencantumkan dependensi dalam image container Anda.

Saat menyimpan image container di Artifact Registry dan memindainya untuk menemukan kerentanan dengan Artifact Analysis, Anda dapat membuat SBOM menggunakan Google Cloud CLI.

Untuk mengetahui informasi tentang penggunaan pemindaian kerentanan, lihat Pemindaian otomatis dan Harga.

Analisis Artefak menyimpan SBOM di Cloud Storage. Untuk mengetahui informasi selengkapnya tentang biaya Cloud Storage, lihat Harga.

Repositori Container Registry (Tidak digunakan lagi) tidak didukung. Pelajari cara bertransisi dari Container Registry.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Buat repositori Docker di Artifact Registry dan kirim image container ke repositori. Jika Anda tidak terbiasa dengan Artifact Registry, lihat panduan memulai Docker.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengelola bucket Cloud Storage dan mengupload file SBOM, minta administrator untuk memberi Anda peran IAM Storage Admin (roles/storage.admin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat file SBOM

Untuk membuat file SBOM, gunakan perintah berikut:

gcloud artifacts sbom export --uri=URI

Dari mana

  • URI adalah URI image Artifact Registry yang dijelaskan oleh file SBOM, mirip dengan us-east1-docker.pkg.dev/my-image-repo/my-image. Gambar dapat dalam format tag, atau format ringkasan. Gambar yang diberikan dalam format tag akan di-resolve menjadi format ringkasan.

Analisis Artefak menyimpan SBOM Anda di Cloud Storage.

Anda dapat melihat SBOM menggunakan Konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM, Anda harus menelusuri SBOM menggunakan gcloud CLI.

Membuat SBOM tanpa pemindaian kerentanan

Jika ingin membuat SBOM, tetapi tidak ingin pemindaian kerentanan berkelanjutan untuk project, Anda masih dapat mengekspor SBOM jika mengaktifkan Container Scanning API sebelum mendorong image ke Artifact Registry. Setelah image dikirim ke Artifact Registry, dan Anda telah mengekspor SBOM, Anda harus menonaktifkan Container Scanning API untuk mencegah ditagih untuk pemindaian kerentanan lebih lanjut.

Langkah selanjutnya