Présentation du SBOM

Ce document présente les concepts de SBOM et décrit les fonctionnalités d'Artifact Analysis disponibles pour vous aider à comprendre les dépendances de votre chaîne d'approvisionnement logiciel.

Lorsque vous stockez une image de conteneur dans Artifact Registry, vous pouvez créer une nomenclature logicielle (SBOM) décrivant le contenu de cette image. Connaître les dépendances de vos logiciels peut vous aider à améliorer votre stratégie de sécurité. Un SBOM peut également vous aider à attester de la composition de votre logiciel pour respecter les réglementations de sécurité telles que l'ordonnance 14028.

SBOM

Un SBOM est un inventaire lisible par machine d'une application, qui identifie les packages sur lesquels votre logiciel s'appuie. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.

Artifact Analysis vous permet de générer des SBOM ou d'en importer.

Que vous génériez votre SBOM avec Artifact Analysis ou que vous importiez le vôtre, Artifact Analysis fournit des processus de stockage et de récupération cohérents pour vous aider à coordonner et à évaluer toutes vos informations de dépendance en un seul et même endroit.

Format SBOM

Artifact Analysis produit des SBOM au format SPDX 2.3 (Software Package Data Exchange).

Si vous souhaitez importer un fichier SBOM existant en dehors de Google Cloud, d'autres formats sont acceptés. Consultez Importer des fichiers SBOM.

Stockage du SBOM

L'Artifact Analysis stocke vos SBOM dans Cloud Storage dans votre projet Google Cloud. Les fichiers SBOM restent stockés dans Cloud Storage, sauf si vous supprimez les objets SBOM ou supprimez le bucket. Pour en savoir plus sur la tarification, consultez la page Tarifs de Cloud Storage.

Types de packages compatibles

Le SBOM fournit la liste de tous les packages pouvant être identifiés par l'analyse Artifact Analysis. Les packages doivent être conteneurisés et stockés dans un dépôt Docker dans Artifact Registry.

L'Artifact Analysis est compatible avec les types de packages suivants:

  • OS
  • Java (Maven)
  • Go
  • Python
  • Node.js (npm)

Occurrence de référence SBOM

En plus du SBOM spécifique au conteneur, l'Artifact Analysis génère une occurrence de référence du SBOM Grafeas, qui comprend les informations suivantes:

  • Emplacement Cloud Storage de la SBOM
  • Un hachage du SBOM
  • Signature au-dessus de l'SbomReferenceIntotoPayload

Vous pouvez utiliser la signature pour vérifier que le SBOM a été généré par Artifact Analysis.

La signature utilise le protocole de signature DSSE, avec le type de charge utile application/vnd.in-toto+json.La charge utile est la valeur en JSON de l'SbomReferenceIntotoPayload.

Occurrence de package

Pour fournir plus d'informations sur les dépendances, l'Artifact Analysis génère également une occurrence de package Grafeas pour chaque package installé. Les occurrences de package incluent les informations suivantes:

  • Version du package
  • Type de package
  • Informations sur la licence des packages installés

Limites

  • Le suivi des paquets installés n'est compatible qu'avec les images de conteneur transférées vers Artifact Registry et évaluées par l'API Container Scanning. Par extension, la recherche de gcloud CLI basée sur les paquets installés ne fonctionne qu'avec les images stockées dans Artifact Registry, car les paquets installés ne sont suivis que sur ces images.
  • Les dépôts Container Registry (obsolète) ne sont pas acceptés. Découvrez comment passer de Container Registry.

Étape suivante