Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM, na sigla em inglês) que lista as dependências nas imagens de contêiner.
Ao armazenar imagens de contêiner no Artifact Registry e verificar se há vulnerabilidades com o Artifact Analysis, você pode gerar um SBOM usando a Google Cloud CLI.
Para saber como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.
Artifact Analysis armazena SBOMs no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.
Não é possível usar repositórios do Container Registry (descontinuado). Saiba como fazer a transição do Container Registry.
Antes de começar
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não conhece o Artifact Registry, consulte o Guia de início rápido do Docker.
Funções exigidas
Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos SBOM,
peça ao administrador para conceder a você o
o papel do IAM de Administrador do Storage (roles/storage.admin
) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Gerar um arquivo SBOM
Para gerar um arquivo SBOM, use o seguinte comando:
gcloud artifacts sbom export --uri=URI
Onde
- URI é o URI da imagem do Artifact Registry que o arquivo SBOM
descreve, semelhante a
us-east1-docker.pkg.dev/my-image-repo/my-image
. As imagens podem estar no formato de tag ou resumo. As imagens fornecidas no formato de tag serão resolvidas no formato de resumo.
Artifact Analysis armazena sua SBOM no Cloud Storage.
É possível conferir os SBOMs usando o console do Google Cloud ou a CLI gcloud. Se você quiser localizar o bucket do Cloud Storage que contém seus SBOMs, pesquise os SBOMs usando a CLI gcloud.
Gerar uma lista de materiais de software sem a verificação de vulnerabilidades
Se você quiser gerar um SBOM, mas não quiser que a verificação de vulnerabilidade seja contínua para seu projeto, ainda será possível exportar um SBOM se você ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você exportar um SBOM, desative a API Container Scanning para evitar cobranças por outras verificação de vulnerabilidades.