Mengupload SBOM

Halaman ini menjelaskan cara mengupload file software bill of materials (SBOM) ke Cloud Storage untuk membantu melacak dan membuktikan komponen image container yang Anda simpan di Artifact Registry.

Untuk mengetahui informasi tentang harga Cloud Storage, lihat Harga.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Container Analysis APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Memiliki repositori Docker di Artifact Registry dengan image container yang dijelaskan SBOM Anda. Jika Anda belum terbiasa dengan Artifact Registry, lihat panduan memulai Docker.
  13. Siapkan file SBOM untuk diupload dalam salah satu format yang didukung.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna membuat dan mengelola bucket Cloud Storage dan file SBOM, minta administrator untuk memberi Anda peran IAM berikut pada project:

  • Jika Anda menggunakan bucket Cloud Storage default, untuk mengelola bucket penyimpanan: Storage Admin(roles/storage.admin)
  • Jika Anda menentukan bucket Cloud Storage, untuk mengelola bucket penyimpanan: Storage Object Admin(roles/storage.objectAdmin)
  • Jika catatan untuk referensi SBOM sudah ada: Container Analysis Notes Attacher (roles/containeranalysis.notes.attacher)
  • Untuk membuat catatan baru untuk kemunculan referensi SBOM dalam project saat ini: Container Analysis Notes Editor((roles/containeranalysis.notes.editor)
  • Untuk membuat kemunculan referensi SBOM: Container Analysis Occurrences Editor(roles/containeranalysis.occurrences.editor)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Format yang didukung

File SBOM Anda harus berupa file JSON dalam salah satu format berikut:

Mengupload SBOM

Gunakan perintah berikut untuk mengupload SBOM Anda:

gcloud artifacts sbom load /
    --source SOURCE /
    --uri URI

Dengan keterangan:

  • SOURCE: jalur ke file SBOM yang akan diupload.
  • URI: URI untuk image Docker yang dijelaskan file SBOM. Gambar dapat berformat tag atau ringkasan. Gambar yang diberikan dalam format tag akan di-resolve menjadi format ringkasan.

Flag opsional

  • --destination: menentukan bucket Cloud Storage yang akan digunakan, bukan bucket default.
  • --kms-key-version: menyediakan versi kunci untuk menandatangani payload kejadian referensi SBOM. Anda dapat menggunakan kunci ini untuk memverifikasi asal SBOM.

Misalnya, perintah berikut mengupload file JSON my-sbom.bom.json yang dibuat dari gambar bertag us-east1-docker.pkg.dev/my-image-repo/my-image, dan menandatangani kemunculan referensi SBOM dengan versi kunci KMS yang diakhiri dengan my-key/cryptoKeyVersions/1.

gcloud artifacts sbom load /
--source=my-sbom.bom.json
--uri=us-east1-docker.pkg.dev/my-image-repo/my-image
--kms-key-version=projects/my-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/1

Perintah berikut mengupload file JSON my-sbom.spdx.json yang terkait dengan ringkasan gambar my-local-image@sha256:abcxyz, dan menyimpan file di bucket Cloud Storage gs://my-sbom-bucket.

gcloud artifacts sbom load /
    --source=my-sbom.spdx.json /
    --uri=my-local-image@sha256:abcxyz /
    --destination=gs://my-sbom-bucket

Analisis Artefak mengupload SBOM Anda ke Cloud Storage dan membuat kejadian referensi SBOM.

Anda dapat melihat SBOM menggunakan Konsol Google Cloud atau gcloud CLI. Jika ingin menemukan bucket Cloud Storage yang berisi SBOM, Anda harus menelusuri SBOM menggunakan gcloud CLI.

Langkah selanjutnya