En este documento, se describe cómo crear y almacenar una lista de materiales de software (SBOM) en la que se enumeran las dependencias de tus imágenes de contenedor.
Cuando almacenas imágenes de contenedores en Artifact Registry y las analizas en busca de vulnerabilidades con Artifact Analysis, puedes generar un SBOM con Google Cloud CLI.
Para obtener información sobre el uso del análisis de vulnerabilidades, consulta Análisis automático y Precios.
Artifact Analysis almacena los SBOM en Cloud Storage. Para obtener más información sobre los costos de Cloud Storage, consulta Precios.
No se admiten los repositorios de Container Registry (obsoleto). Obtén información para realizar la transición desde Container Registry.
Antes de comenzar
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Crea un repositorio de Docker en Artifact Registry y envía una imagen de contenedor al repositorio. Si no estás familiarizado con Artifact Registry, consulta la Guía de inicio rápido de Docker.
Roles obligatorios
Para obtener los permisos que necesitas para administrar buckets de Cloud Storage y subir archivos de SBOM,
pídele a tu administrador que te otorgue el rol de IAM de
Administrador de almacenamiento (roles/storage.admin) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Genera un archivo SBOM
Para generar un archivo SBOM, usa el siguiente comando:
gcloud artifacts sbom export --uri=URI
Dónde
- URI es el URI de la imagen de Artifact Registry que describe el archivo SBOM, similar a
us-east1-docker.pkg.dev/my-image-repo/my-image. Las imágenes pueden estar en formato de etiqueta o formato de resumen. Las imágenes proporcionadas en formato de etiqueta se resolverán en formato de resumen.
Artifact Analysis almacena tu SBOM en Cloud Storage.
Puedes ver los SBOM con la consola de Google Cloud o gcloud CLI. Si deseas ubicar el bucket de Cloud Storage que contiene tus SBOM, debes buscar SBOM con gcloud CLI.
Genera una SBOM sin análisis de vulnerabilidades
Si deseas generar un SBOM, pero no quieres que se realice un análisis continuo de vulnerabilidades para tu proyecto, puedes exportar un SBOM si habilitas la API de Container Scanning antes de enviar la imagen a Artifact Registry. Después de enviar tu imagen a Artifact Registry y exportar un SBOM, debes inhabilitar la API de Container Scanning para evitar que se te facture por más análisis de vulnerabilidades.