Lizenzen und Abhängigkeiten ansehen

In diesem Dokument wird beschrieben, wie Sie Abhängigkeitsmetadaten ansehen und filtern, die die Artefaktanalyse beim automatischen Scannen erkennt.

Wenn Sie die Scanning API aktivieren, um Sicherheitslücken in Container-Images zu identifizieren, erfasst die Artefaktanalyse auch Informationen zu den Abhängigkeiten und Lizenzen, die in Ihren Images verwendet werden.

Anhand dieser Metadaten können Sie die Komponenten Ihrer Container-Images nachvollziehen und Sicherheitsprobleme beheben.

Die Artefaktanalyse bietet Abhängigkeits- und Lizenzerkennung für Betriebssystempakete und unterstützte Sprachpakete in Container-Images, die in einem Artifact Registry-Repository im Docker-Format gespeichert sind. Weitere Informationen finden Sie unter Container-Scans.

Wie Informationen zu Sicherheitslücken werden auch Lizenz- und Abhängigkeitsmetadaten jedes Mal generiert, wenn Sie ein Image in Artifact Registry pushen, und dann in Artefaktanalyse gespeichert.

Die Artefaktanalyse aktualisiert nur die Metadaten für Images, die in den letzten 30 Tagen per Push oder Pull übertragen wurden. Nach 30 Tagen werden die Metadaten nicht mehr aktualisiert und die Ergebnisse sind veraltet. Außerdem werden mit der Artefaktanalyse Metadaten archiviert, die seit mehr als 90 Tagen inaktiv sind. Diese Metadaten sind dann nicht mehr in der Google Cloud Console, in gcloud oder über die API verfügbar. Wenn Sie ein Image mit veralteten oder archivierten Metadaten noch einmal scannen möchten, ziehen Sie es per Pull ab. Das Aktualisieren von Metadaten kann bis zu 24 Stunden dauern.

Hinweise

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. Sie haben ein Docker-Repository in Artifact Registry . Anleitung zum Generieren von SBOMs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von SBOM-Daten und zum Filtern von Ergebnissen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Lizenzen und Abhängigkeiten in der Google Cloud Console ansehen

  1. Öffnen Sie die Seite Repositories (Repositories) der Artifact Registry.

    Zur Seite „Repositories“

    Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

  2. Klicken Sie in der Liste der Repositories auf einen Repositorynamen.

    Die Seite Repository-Details wird geöffnet und eine Liste Ihrer Images wird angezeigt.

  3. Klicken Sie in der Bilderliste auf einen Bildnamen.

    Auf der Seite wird eine Liste Ihrer Bild-Digests angezeigt.

  4. Klicken Sie in der Liste der Image-Digests auf einen Digest-Namen.

    Auf der Seite wird eine Reihe von Tabs angezeigt, von denen der Tab Übersicht geöffnet ist. Dort finden Sie Details wie Format, Speicherort, Repository, virtuelle Größe und Tags.

  5. Klicken Sie in der Tab-Leiste auf den Tab Abhängigkeiten.

    Der Tab „Abhängigkeiten“ wird geöffnet und enthält die folgenden Informationen:

    • Abschnitt „SBOM“
    • Bereich „Lizenzen“
    • Eine filterbare Liste von Abhängigkeiten

SBOMs

Wenn Sie eine Software-Materialliste (SBOM) mit der Artefaktanalyse generieren oder hochladen, werden die Details der SBOM in diesem Abschnitt angezeigt. SBOMs werden nicht automatisch generiert, wie es bei Lizenz- und Abhängigkeitsinformationen der Fall ist. Weitere Informationen zum Hinzufügen von SBOMs

Lizenzen

Im Bereich Lizenzen wird ein Balkendiagramm mit dem Titel Häufigste Lizenzen angezeigt. Dies sind die Lizenztypen, die in Ihren Abhängigkeitsinformationen am häufigsten vorkommen. Wenn Sie den Mauszeiger auf einen Balken im Diagramm bewegen, wird in der Konsole die genaue Anzahl der Instanzen dieses Lizenztyps angezeigt.

Abhängigkeiten

Die Liste der Abhängigkeiten enthält den Inhalt Ihres Image-Digests, darunter:

  • Paketname
  • Paketversion
  • Pakettyp
  • Lizenztyp

Sie können die Liste der Abhängigkeiten nach einer beliebigen dieser Kategorien filtern.

Lizenzen und Abhängigkeiten in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie die Image-Metadaten in der Seitenleiste Sicherheitsinformationen in der Google Cloud Console aufrufen.

Im Seitenbereich Sicherheitsinformationen finden Sie einen allgemeinen Überblick über die Build-Sicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie Cloud Build zum Schutz Ihrer Softwarelieferkette verwenden können, finden Sie unter Sicherheitserkenntnisse für Builds ansehen.

Beschränkungen

Informationen zu Lizenzen und Abhängigkeiten sind nur beim automatischen Scannen verfügbar. Diese Funktion wird beim On-Demand-Scannen nicht unterstützt.

Nächste Schritte