本頁面由 Cloud Translation API 翻譯而成。

SBOM 總覽

本文將介紹 SBOM 概念，並說明 Artifact Analysis 的可用功能，協助您瞭解軟體供應鏈中的依附元件。

在 Artifact Registry 中儲存容器映像檔時，您可以建立軟體物料清單 (SBOM)，說明該映像檔的內容。瞭解軟體依附元件有助於提升安全防護機制。此外，您也可以使用 SBOM 證明軟體組成，以符合第 14028 號行政命令等安全法規。

SBOM

SBOM 是應用程式的機器可讀清單，可識別軟體所依附的套件。內容可包括供應商提供的第三方軟體、內部構件和開放原始碼程式庫。

您可以使用 Artifact Analysis 產生 SBOM，也可以自行上傳。

無論您是使用構件分析產生 SBOM，還是自行上傳，構件分析都會提供一致的儲存和擷取程序，協助您集中協調及評估所有依附元件資訊。

Artifact Analysis 會以「軟體套件資料交換 (SPDX) 2.3」格式產生 SBOM。

如要從外部 Google Cloud上傳現有 SBOM，系統支援其他格式。請參閱「上傳 SBOM」。

構件分析會將 SBOM 儲存在專案的 Cloud Storage 中。Google Cloud 除非您刪除 SBOM 物件或刪除值區，否則 SBOM 會繼續儲存在 Cloud Storage 中。如要瞭解價格資訊，請參閱 Cloud Storage 定價。

SBOM 會列出 Artifact Analysis 掃描可識別的所有套件。套件必須容器化，並儲存在 Artifact Registry 的 Docker 存放區中。

如要進一步瞭解支援的套件類型，請參閱容器掃描總覽。

除了容器專屬的 SBOM，構件分析還會產生 Grafeas SBOM 參照事件，其中包含下列資訊：

您可以使用簽名驗證 SBOM 是否由 Artifact Analysis 產生。

簽署作業會使用 DSSE 簽章通訊協定，酬載類型為 application/vnd.in-toto+json。酬載是 SbomReferenceIntotoPayload 的 JSON 化值。

為提供更多依附元件資訊，構件分析也會為每個已安裝的套件產生 Grafeas 套件發生項目。套件發生次數包含下列資訊：

只有推送至 Artifact Registry 並由 Container Scanning API 評估的容器映像檔，才支援追蹤已安裝的套件。因此，根據已安裝套件進行 gcloud CLI 查閱時，只能使用儲存在 Artifact Registry 中的映像檔，因為系統只會追蹤這些映像檔中的已安裝套件。