이 페이지는 Cloud Translation API를 통해 번역되었습니다.

SBOM 생성 및 저장

이 문서에서는 컨테이너 이미지의 종속 항목을 나열하는 소프트웨어 재료명세서(SBOM)를 만들고 저장하는 방법을 설명합니다.

Artifact Registry에 컨테이너 이미지를 저장하고 Artifact Analysis로 취약점을 검사한 후 Google Cloud CLI를 사용하여 SBOM을 생성할 수 있습니다.

취약점 스캔 사용에 관한 자세한 내용은 자동 스캔 및 가격 책정을 참고하세요.

아티팩트 분석은 Cloud Storage에 SBOM을 저장합니다. Cloud Storage 비용에 대한 자세한 내용은 가격 책정을 참고하세요.

Container Registry (지원 중단됨) 저장소는 지원되지 않습니다. Container Registry에서 전환하는 방법을 알아봅니다.

시작하기 전에

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

Artifact Registry에 Docker 저장소를 만들고 컨테이너 이미지를 저장소에 푸시합니다. Artifact Registry에 익숙하지 않다면 Docker 빠른 시작을 참고하세요.

필요한 역할

Cloud Storage 버킷을 관리하고 SBOM 파일을 업로드하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 스토리지 관리자 (roles/storage.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

SBOM 파일 생성

SBOM 파일을 생성하려면 다음 명령어를 사용하세요.

gcloud artifacts sbom export --uri=URI

위치

URI는 us-east1-docker.pkg.dev/my-image-repo/my-image와 마찬가지로 SBOM 파일이 설명하는 Artifact Registry 이미지 URI입니다. 이미지는 태그 형식 또는 다이제스트 형식일 수 있습니다. 태그 형식으로 제공된 이미지는 다이제스트 형식으로 확인됩니다.

아티팩트 분석은 SBOM을 Cloud Storage에 저장합니다.

Google Cloud 콘솔 또는 gcloud CLI를 사용하여 SBOM을 볼 수 있습니다. SBOM이 포함된 Cloud Storage 버킷을 찾으려면 gcloud CLI를 사용하여 SBOM을 검색해야 합니다.

취약점 스캔 없이 SBOM 생성

SBOM을 생성하고 싶지만 프로젝트에 대한 지속적인 취약점 스캔은 원하지 않는 경우 이미지를 Artifact Registry에 푸시하기 전에 Container Scanning API를 사용 설정하면 SBOM을 내보낼 수 있습니다. 이미지가 Artifact Registry에 푸시되고 SBOM을 내보낸 후에는 추가 취약점 스캔에 대한 요금이 청구되지 않도록 Container Scanning API를 사용 중지해야 합니다.