Halaman ini menjelaskan cara mengupload file software bill of materials (SBOM) ke Cloud Storage untuk membantu melacak dan membuktikan komponen image container yang Anda simpan di Artifact Registry.
Untuk mengetahui informasi tentang harga Cloud Storage, lihat Harga.
Sebelum memulai
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Memiliki repositori Docker di Artifact Registry dengan image container yang dijelaskan SBOM Anda. Jika Anda belum terbiasa dengan Artifact Registry, lihat panduan memulai Docker.
- Siapkan file SBOM untuk diupload dalam salah satu format yang didukung.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan guna membuat dan mengelola bucket Cloud Storage dan file SBOM, minta administrator untuk memberi Anda peran IAM berikut pada project:
-
Jika Anda menggunakan bucket Cloud Storage default, untuk mengelola bucket penyimpanan:
Storage Admin(
roles/storage.admin
) -
Jika Anda menentukan bucket Cloud Storage, untuk mengelola bucket penyimpanan:
Storage Object Admin(
roles/storage.objectAdmin
) -
Jika catatan untuk referensi SBOM sudah ada:
Container Analysis Notes Attacher (
roles/containeranalysis.notes.attacher
) -
Untuk membuat catatan baru untuk kemunculan referensi SBOM dalam project saat ini:
Container Analysis Notes Editor(
(roles/containeranalysis.notes.editor
) -
Untuk membuat kemunculan referensi SBOM:
Container Analysis Occurrences Editor(
roles/containeranalysis.occurrences.editor
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Format yang didukung
File SBOM Anda harus berupa file JSON dalam salah satu format berikut:
- Software Package Data Exchange (SPDX) versi 2.2 atau 2.3
- CycloneDX versi 1.4 atau 1.5
Mengupload SBOM
Gunakan perintah berikut untuk mengupload SBOM Anda:
gcloud artifacts sbom load /
--source SOURCE /
--uri URI
Dengan keterangan:
- SOURCE: jalur ke file SBOM yang akan diupload.
- URI: URI untuk image Docker yang dijelaskan file SBOM. Gambar dapat berformat tag atau ringkasan. Gambar yang diberikan dalam format tag akan di-resolve menjadi format ringkasan.
Flag opsional
--destination
: menentukan bucket Cloud Storage yang akan digunakan, bukan bucket default.--kms-key-version
: menyediakan versi kunci untuk menandatangani payload kejadian referensi SBOM. Anda dapat menggunakan kunci ini untuk memverifikasi asal SBOM.
Misalnya, perintah berikut mengupload file JSON my-sbom.bom.json
yang
dibuat dari gambar bertag
us-east1-docker.pkg.dev/my-image-repo/my-image
, dan menandatangani kemunculan referensi
SBOM dengan versi kunci KMS yang diakhiri dengan my-key/cryptoKeyVersions/1
.
gcloud artifacts sbom load /
--source=my-sbom.bom.json
--uri=us-east1-docker.pkg.dev/my-image-repo/my-image
--kms-key-version=projects/my-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/1
Perintah berikut mengupload file JSON my-sbom.spdx.json
yang terkait dengan ringkasan gambar my-local-image@sha256:abcxyz
, dan menyimpan file di bucket Cloud Storage gs://my-sbom-bucket
.
gcloud artifacts sbom load /
--source=my-sbom.spdx.json /
--uri=my-local-image@sha256:abcxyz /
--destination=gs://my-sbom-bucket
Analisis Artefak mengupload SBOM Anda ke Cloud Storage dan membuat kejadian referensi SBOM.
Anda dapat melihat SBOM menggunakan Konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM, Anda harus menelusuri SBOM menggunakan gcloud CLI.