Dokumen ini memperkenalkan konsep SBOM dan menguraikan fitur Analisis Artefak yang tersedia untuk membantu Anda memahami dependensi dalam rantai pasokan software.
Saat menyimpan image container di Artifact Registry, Anda dapat membuat software bill of materials (SBOM) yang menjelaskan konten image tersebut. Mengetahui dependensi software dapat membantu Anda meningkatkan postur keamanan. SBOM juga dapat membantu Anda membuktikan komposisi software untuk mendukung kepatuhan terhadap peraturan keamanan seperti Perintah Eksekutif (EO) 14028.
SBOM
SBOM adalah inventaris aplikasi yang dapat dibaca mesin, yang mengidentifikasi paket yang digunakan software Anda. Kontennya dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.
Artifact Analysis memungkinkan Anda membuat SBOM atau mengupload SBOM Anda sendiri.
Baik Anda membuat SBOM dengan Analisis Artefak atau mengupload SBOM Anda sendiri, Analisis Artefak menyediakan proses penyimpanan dan pengambilan yang konsisten untuk membantu Anda mengoordinasikan dan menilai semua informasi dependensi di satu tempat.
Format SBOM
Analisis Artefak menghasilkan SBOM dalam format Software Package Data Exchange (SPDX) 2.3.
Jika Anda ingin mengupload SBOM yang ada dari luar Google Cloud, format tambahan didukung. Lihat Mengupload SBOM.
Penyimpanan SBOM
Analisis Artefak menyimpan SBOM Anda di Cloud Storage dalam project Google Cloud Anda. SBOM tetap disimpan di Cloud Storage kecuali jika Anda menghapus objek SBOM atau menghapus bucket. Untuk mengetahui informasi tentang harga, lihat Harga Cloud Storage.
Jenis paket yang didukung
SBOM memberikan daftar semua paket yang dapat diidentifikasi oleh pemindaian Analisis Artefak. Paket harus di-containerkan dan disimpan di repositori Docker di Artifact Registry.
Analisis Artefak mendukung jenis paket berikut:
- OS
- Java (Maven)
- Go
- Python
- Node.js (npm)
Kejadian referensi SBOM
Selain SBOM khusus penampung, Analisis Artefak menghasilkan kejadian referensi SBOM Grafeas yang menyertakan informasi berikut:
- Lokasi Cloud Storage SBOM
- Hash SBOM
- Tanda tangan di atas
SbomReferenceIntotoPayload
Anda dapat menggunakan tanda tangan untuk memverifikasi bahwa SBOM dihasilkan oleh Analisis Artefak.
Penandatanganan menggunakan protokol tanda tangan DSSE, dengan
jenis payload application/vnd.in-toto+json
.Payload adalah nilai jsonified
dari SbomReferenceIntotoPayload
.
Kejadian paket
Untuk memberikan informasi dependensi lainnya, Analisis Artefak juga menghasilkan kejadian paket Grafeas untuk setiap paket yang diinstal. Kejadian paket mencakup informasi berikut:
- Versi paket
- Jenis paket
- Informasi lisensi untuk paket yang diinstal
Batasan
- Pelacakan paket terinstal hanya didukung untuk image container yang dikirim ke Artifact Registry dan dinilai oleh Container Scanning API. Secara luas, pencarian gcloud CLI berdasarkan paket yang diinstal hanya berfungsi dengan image yang disimpan di Artifact Registry, karena paket yang diinstal hanya dilacak pada image tersebut.
- Repositori Container Registry (Tidak digunakan lagi) tidak didukung. Pelajari cara bertransisi dari Container Registry.