SBOM 개요

이 문서에서는 SBOM 개념을 소개하고 소프트웨어 공급망의 종속 항목을 이해하는 데 도움이 되는 Artifact Analysis 기능을 간략하게 설명합니다.

Artifact Registry에 컨테이너 이미지를 저장할 때 해당 이미지의 콘텐츠를 설명하는 소프트웨어 재료명세서 (SBOM)를 만들 수 있습니다. 소프트웨어의 종속성을 알면 보안 상태를 개선할 수 있습니다. 또한 SBOM은 행정 명령 (EO) 14028과 같은 보안 규정 준수를 지원하기 위해 소프트웨어의 구성을 증명하는 데도 도움이 됩니다.

SBOM

SBOM은 소프트웨어에서 사용하는 패키지를 식별하는 애플리케이션의 기계 판독 가능 인벤토리입니다. 이러한 콘텐츠에는 공급업체의 서드 파티 소프트웨어, 내부 아티팩트, 오픈소스 라이브러리가 포함될 수 있습니다.

Artifact Analysis를 사용하면 SBOM을 생성하거나 직접 업로드할 수 있습니다.

Artifact Analysis로 SBOM을 생성하든 직접 업로드하든 Artifact Analysis는 일관된 저장 및 검색 프로세스를 제공하여 한곳에서 모든 종속 항목 정보를 조정하고 평가할 수 있도록 지원합니다.

SBOM 형식

Artifact Analysis는 Software Package Data Exchange (SPDX) 2.3 형식으로 SBOM을 생성합니다.

Google Cloud외부에서 기존 SBOM을 업로드하려면 추가 형식이 지원됩니다. SBOM 업로드를 참고하세요.

SBOM 스토리지

아티팩트 분석은Google Cloud 프로젝트의 Cloud Storage에 SBOM을 저장합니다. SBOM 객체를 삭제하거나 버킷을 삭제하지 않는 한 SBOM은 Cloud Storage에 저장된 상태로 유지됩니다. 가격에 대한 자세한 내용은 Cloud Storage 가격 책정을 참고하세요.

지원되는 패키지 유형

SBOM은 아티팩트 분석 검사로 식별할 수 있는 모든 패키지 목록을 제공합니다. 패키지는 컨테이너화되어 Artifact Registry의 Docker 저장소에 저장되어야 합니다.

지원되는 패키지 유형에 대한 자세한 내용은 컨테이너 스캔 개요를 참고하세요.

SBOM 참조 어커런스

컨테이너별 SBOM 외에도 Artifact Analysis는 다음 정보를 포함하는 Grafeas SBOM 참조 발생을 생성합니다.

• SBOM의 Cloud Storage 위치
• SBOM의 해시
• SbomReferenceIntotoPayload 위의 서명

서명을 사용하여 SBOM이 Artifact Analysis에 의해 생성되었는지 확인할 수 있습니다.

서명은 페이로드 유형 application/vnd.in-toto+json를 사용하여 DSSE 서명 프로토콜을 사용합니다.페이로드는 SbomReferenceIntotoPayload의 json화된 값입니다.

패키지 발생

종속 항목 정보를 더 많이 제공하기 위해 아티팩트 분석은 설치된 각 패키지에 대해 Grafeas 패키지 발생도 생성합니다. 패키지 발생에는 다음 정보가 포함됩니다.

• 패키지 버전
• 패키지 유형
• 설치된 패키지의 라이선스 정보

제한사항

• 설치된 패키지 추적은 Artifact Registry에 푸시되고 Container Scanning API로 평가된 컨테이너 이미지에 대해서만 지원됩니다. 설치된 패키지를 기반으로 하는 gcloud CLI 조회는 설치된 패키지가 해당 이미지에서만 추적되므로 Artifact Registry에 저장된 이미지에서만 작동합니다.

다음 단계

• SBOM 생성 및 저장
• SBOM 업로드
• SBOM 및 종속 항목 보기