Gerar e armazenar listas de materiais de software

Este documento descreve como criar e armazenar uma lista de materiais de software (SBOM, na sigla em inglês) que lista as dependências nas imagens de contêiner.

Ao armazenar imagens de contêiner no Artifact Registry e verificar se há vulnerabilidades com o Artifact Analysis, você pode gerar um SBOM usando a Google Cloud CLI.

Para saber como usar a verificação de vulnerabilidades, consulte Verificação automática e Preços.

Artifact Analysis armazena SBOMs no Cloud Storage. Para mais informações sobre os custos do Cloud Storage, consulte Preços.

Não é possível usar repositórios do Container Registry (descontinuado). Saiba como fazer a transição do Container Registry.

Antes de começar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Crie um repositório do Docker no Artifact Registry e envie uma imagem de contêiner para o repositório. Se você não conhece o Artifact Registry, consulte o Guia de início rápido do Docker.

Funções exigidas

Para receber as permissões necessárias para gerenciar buckets do Cloud Storage e fazer upload de arquivos SBOM, peça ao administrador para conceder a você o o papel do IAM de Administrador do Storage (roles/storage.admin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Gerar um arquivo SBOM

Para gerar um arquivo SBOM, use o seguinte comando:

gcloud artifacts sbom export --uri=URI

Onde

  • URI é o URI da imagem do Artifact Registry que o arquivo SBOM descreve, semelhante a us-east1-docker.pkg.dev/my-image-repo/my-image. As imagens podem estar no formato de tag ou resumo. As imagens fornecidas no formato de tag serão resolvidas no formato de resumo.

Artifact Analysis armazena sua SBOM no Cloud Storage.

É possível conferir os SBOMs usando o console do Google Cloud ou a CLI gcloud. Se você quiser localizar o bucket do Cloud Storage que contém seus SBOMs, pesquise os SBOMs usando a CLI gcloud.

Gerar uma lista de materiais de software sem a verificação de vulnerabilidades

Se você quiser gerar um SBOM, mas não quiser que a verificação de vulnerabilidade seja contínua para seu projeto, ainda será possível exportar um SBOM se você ativar a API Container Scanning antes de enviar a imagem para o Artifact Registry. Depois que a imagem for enviada para o Artifact Registry e você exportar um SBOM, desative a API Container Scanning para evitar cobranças por outras verificação de vulnerabilidades.

A seguir