Generare e archiviare SBOM

Questo documento descrive come creare e archiviare una distinta base del software (SBOM) che elenca le dipendenze nelle immagini dei container.

Quando archivi le immagini container in Artifact Registry e le scansioni per rilevare le vulnerabilità con l'Artifact Analysis, puoi generare un SBOM utilizzando Google Cloud CLI.

Per informazioni sull'utilizzo dell'analisi delle vulnerabilità, consulta la sezione Scansione automatica e Prezzi.

L'Artifact Analysis archivia le SBOM in Cloud Storage. Per ulteriori informazioni sui costi di Cloud Storage, consulta Prezzi.

I repository di Container Registry (deprecato) non sono supportati. Scopri come eseguire la transizione da Container Registry.

Prima di iniziare

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. Crea un repository Docker in Artifact Registry ed esegui il push di un'immagine container nel repository. Se non hai familiarità con Artifact Registry, consulta la guida rapida per Docker.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i bucket Cloud Storage e caricare i file SBOM, chiedi all'amministratore di concederti il ruolo IAM Amministratore archiviazione (roles/storage.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Generare un file SBOM

Per generare un file SBOM, utilizza il seguente comando:

gcloud artifacts sbom export --uri=URI

Dove

  • URI è l'URI dell'immagine Artifact Registry descritto dal file SBOM, simile a us-east1-docker.pkg.dev/my-image-repo/my-image. Le immagini possono essere in formato tag o formato digest. Le immagini fornite in formato tag verranno risolte in formato digest.

L'Artifact Analysis archivia la SBOM in Cloud Storage.

Puoi visualizzare le SBOM utilizzando la console Google Cloud o la gcloud CLI. Se vuoi individuare il bucket Cloud Storage contenente le tue SBOM, devi cercarle utilizzando gcloud CLI.

Generare un SBOM senza analisi delle vulnerabilità

Se vuoi generare un SBOM, ma non vuoi eseguire la scansione continua delle vulnerabilità per il tuo progetto, puoi comunque esportare un SBOM se attivi l'API Container Scanning prima di eseguire il push dell'immagine in Artifact Registry. Dopo aver eseguito il push dell'immagine in Artifact Registry e aver esportato un SBOM, devi disabilitare l'API Container Scanning per evitare che ti venga addebitato un ulteriore costo per l'analisi delle vulnerabilità.

Passaggi successivi