Lizenzen und Abhängigkeiten ansehen

In diesem Dokument wird beschrieben, wie Sie Abhängigkeitsmetadaten ansehen und filtern, die von Artefaktanalyse durch automatisches Scannen erkannt werden.

Wenn Sie die Scanning API aktivieren, um Sicherheitslücken in Container-Images zu identifizieren, erfasst Artefaktanalyse auch Informationen zu den Abhängigkeiten und Lizenzen, die in Ihren Images verwendet werden.

Anhand dieser Metadaten können Sie die Komponenten Ihrer Container-Images nachvollziehen und Sicherheitsprobleme beheben.

Artefaktanalyse bietet die Erkennung von Abhängigkeiten und Lizenzen für Betriebssystempakete und unterstützte Sprachpakete in Container-Images, die in einem Artifact Registry-Repository im Docker-Format gespeichert sind. Weitere Informationen finden Sie unter Übersicht über das Scannen von Containern.

Wie Informationen zu Sicherheitslücken werden Lizenz- und Abhängigkeitsmetadaten jedes Mal generiert, wenn Sie ein Image in Artifact Registry übertragen, und dann in Artefaktanalyse gespeichert.

Die Artefaktanalyse aktualisiert nur die Metadaten für Images, die in den letzten 30 Tagen per Push oder Pull übertragen wurden. Nach 30 Tagen werden die Metadaten nicht mehr aktualisiert und die Ergebnisse sind veraltet. Außerdem archiviert die Artefaktanalyse Metadaten, die seit mehr als 90 Tagen inaktiv sind. Diese Metadaten sind dann nicht mehr in der Google Cloud -Konsole, in gcloud oder über die API verfügbar. Wenn Sie ein Image mit veralteten oder archivierten Metadaten noch einmal scannen möchten, rufen Sie dieses Image per Pull ab. Das Aktualisieren der Metadaten kann bis zu 24 Stunden dauern.

Hinweise

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

1. Sie haben ein Docker-Repository in Artifact Registry . Anleitung zum Generieren von SBOMs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von SBOM-Daten und zum Filtern von Ergebnissen benötigen:

• Betrachter von Container Analysis-Vorkommen (roles/containeranalysis.occurrences.viewer)
• Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
• Artifact Registry-Leser (roles/artifactregistry.reader)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Lizenzen und Abhängigkeiten in der Google Cloud -Konsole ansehen

1. Öffnen Sie die Seite Repositories in Artifact Registry.

   Zur Seite „Repositories“

   Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

2. Klicken Sie in der Liste der Repositories auf einen Repository-Namen.

   Die Seite Repository-Details wird geöffnet und zeigt eine Liste Ihrer Bilder an.

3. Klicken Sie in der Liste der Bilder auf einen Bildnamen.

   Auf der Seite wird eine Liste Ihrer Bild-Digests angezeigt.

4. Klicken Sie in der Liste der Image-Digests auf einen Digest-Namen.

   Auf der Seite wird eine Zeile mit Tabs angezeigt. Der Tab Übersicht ist geöffnet und enthält Details wie Format, Speicherort, Repository, virtuelle Größe und Tags.

5. Klicken Sie in der Tab-Leiste auf den Tab Abhängigkeiten.

   Der Tab „Abhängigkeiten“ wird geöffnet und enthält die folgenden Informationen:

   • SBOM-Abschnitt
   • Bereich „Lizenzen“
   • Eine filterbare Liste von Abhängigkeiten

SBOMs

Wenn Sie mit der Artefaktanalyse eine Software-Materialliste (Software Bill of Materials, SBOM) generieren oder hochladen, werden die SBOM-Details in diesem Abschnitt angezeigt. SBOMs werden nicht automatisch generiert wie Lizenz- und Abhängigkeitsinformationen. Informationen zum Hinzufügen von SBOMs finden Sie in der SBOM-Übersicht.

Lizenzen

Im Zusammenfassungsbereich Lizenzen wird ein Balkendiagramm mit dem Titel Häufigste Lizenzen angezeigt. Dies sind die Lizenztypen, die in Ihren Abhängigkeitsinformationen am häufigsten vorkommen. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird in der Konsole die genaue Anzahl der Instanzen dieses Lizenztyps angezeigt.

Abhängigkeiten

Die Liste der Abhängigkeiten enthält den Inhalt Ihres Image-Digest, einschließlich:

• Paketname
• Paketversion
• Pakettyp
• Lizenztyp

Sie können die Liste der Abhängigkeiten nach einer dieser Kategorien filtern.

Lizenzen und Abhängigkeiten in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie die Metadaten von Images in der Seitenleiste Sicherheitsinformationen in der Google Cloud -Konsole ansehen.

Die Seitenleiste Sicherheitsinformationen bietet einen allgemeinen Überblick über die Buildsicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zur Seitenleiste und dazu, wie Sie Cloud Build verwenden können, um Ihre Softwarelieferkette zu schützen, finden Sie unter Sicherheitserkenntnisse für Builds ansehen.

Beschränkungen

Informationen zu Lizenzen und Abhängigkeiten sind nur bei automatischem Scannen verfügbar. Das Scannen auf Abruf unterstützt diese Funktion nicht.

Nächste Schritte

• Erstellen Sie eine Software-Stückliste (Software Bill of Materials, SBOM), um Compliance-Anforderungen zu erfüllen.
• Sicherheitslücken untersuchen – mit gängigen Abfragemustern
• VEX-Anweisungen erstellen, um die Sicherheitslage Ihrer Images zu bestätigen.