En este documento, se presentan los conceptos de la SBOM y se describen las funciones de Artifact Analysis disponibles para ayudarte a comprender las dependencias de tu cadena de suministro de software.
Cuando almacenas una imagen de contenedor en Artifact Registry, puedes crear una factura de materiales de software (SBOM) que describa el contenido de esa imagen. Conocer las dependencias de tu software puede ayudarte a mejorar tu postura de seguridad. Una SBOM también puede ayudarte a certificar la composición de tu software para respaldar el cumplimiento de las reglamentaciones de seguridad, como la Orden Ejecutiva (EO) 14028.
SBOM
Un SBOM es un inventario legible por máquina de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.
Artifact Analysis te permite generar SBOM o subir las tuyas.
Ya sea que generes tu SBOM con Artifact Analysis o subas la tuya, Artifact Analysis proporciona procesos de almacenamiento y recuperación coherentes para ayudarte a coordinar y evaluar toda la información de dependencia en un solo lugar.
Formato de SBOM
Artifact Analysis produce SBOM en el formato Software Package Data Exchange (SPDX) 2.3.
Si quieres subir un SBOM existente desde fuera de Google Cloud, se admiten formatos adicionales. Consulta Cómo subir SBOM.
Almacenamiento de SBOM
Artifact Analysis almacena tus SBOM en Cloud Storage en tu proyecto de Google Cloud. Los SBOM permanecen almacenados en Cloud Storage, a menos que borres los objetos de SBOM o borres el bucket. Para obtener información sobre los precios, consulta Precios de Cloud Storage.
Tipos de paquetes compatibles
La SBOM proporciona una lista de todos los paquetes que se pueden identificar mediante el análisis de artefactos. Los paquetes deben estar en contenedores y almacenarse en un repositorio de Docker en Artifact Registry.
Artifact Analysis admite los siguientes tipos de paquetes:
- SO
- Java (Maven)
- Go
- Python
- Node.js (npm)
Ocurrencia de referencia de SBOM
Además de la SBOM específica del contenedor, Artifact Analysis genera una ocurrencia de referencia de la SBOM de Grafeas que incluye la siguiente información:
- La ubicación de Cloud Storage de la SBOM
- Un hash de la SBOM
- Una firma sobre el
SbomReferenceIntotoPayload
Puedes usar la firma para verificar que Artifact Analysis generó el SBOM.
La firma usa el protocolo de firma de DSSE, con el tipo de carga útil application/vnd.in-toto+json.La carga útil es el valor convertido a JSON de SbomReferenceIntotoPayload.
Ocurrencia de paquete
Para proporcionar más información sobre las dependencias, Artifact Analysis también genera un evento de paquete de Grafeas para cada paquete instalado. Las ocurrencias de paquetes incluyen la siguiente información:
- Versión del paquete
- Tipo de paquete
- Información de la licencia de los paquetes instalados
Limitaciones
- El seguimiento de paquetes instalados solo es compatible con las imágenes de contenedor que se envían a Artifact Registry y que evalúa la API de Container Scanning. Por extensión, la búsqueda de gcloud CLI basada en paquetes instalados solo funciona con imágenes almacenadas en Artifact Registry, ya que solo se realiza un seguimiento de los paquetes instalados en esas imágenes.
- No se admiten los repositorios de Container Registry (obsoleto). Obtén información para realizar la transición desde Container Registry.