Ver licencias y dependencias

En este documento se describe cómo ver y filtrar los metadatos de las dependencias que Artifact Analysis detecta con el análisis automático.

Cuando habilitas la API de análisis para identificar vulnerabilidades en imágenes de contenedor, Artifact Analysis también recoge información sobre las dependencias y las licencias que se usan en tus imágenes.

Puedes usar estos metadatos para conocer los componentes de tus imágenes de contenedor y solucionar problemas de seguridad.

Artifact Analysis detecta dependencias y licencias de paquetes de SO y paquetes de lenguajes admitidos en imágenes de contenedor almacenadas en un repositorio de Artifact Registry con formato Docker. Para obtener más información, consulta la descripción general del análisis de contenedores.

Al igual que la información sobre vulnerabilidades, los metadatos de licencias y dependencias se generan cada vez que envías una imagen a Artifact Registry y, a continuación, se almacenan en Artifact Analysis.

Análisis de artefactos solo actualiza los metadatos de las imágenes que se han enviado o extraído en los últimos 30 días. Transcurridos 30 días, los metadatos dejarán de actualizarse y los resultados estarán obsoletos. Además, Análisis de artefactos archiva los metadatos que no se han actualizado en más de 90 días, y estos no estarán disponibles en la consola, gcloud ni mediante la API. Google Cloud Para volver a analizar una imagen con metadatos obsoletos o archivados, extrae esa imagen. La actualización de los metadatos puede tardar hasta 24 horas.

Antes de empezar

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

1. Tener un repositorio de Docker en Artifact Registry . Consulta las instrucciones sobre cómo generar SBOMs.

Roles obligatorios

Para obtener los permisos que necesitas para ver los datos de la lista de materiales de software y filtrar los resultados, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

• Lector de repeticiones de Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor de uso del servicio (roles/serviceusage.serviceUsageConsumer)
• Lector de Artifact Registry (roles/artifactregistry.reader)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Ver licencias y dependencias en la Google Cloud consola

1. Abre la página Repositorios de Artifact Registry.

   Abre la página Repositorios.

   En la página se muestra una lista de tus repositorios.

2. En la lista de repositorios, haz clic en el nombre de un repositorio.

   Se abrirá la página Detalles del repositorio, donde se mostrará una lista de tus imágenes.

3. En la lista de imágenes, haz clic en el nombre de una imagen.

   En la página se muestra una lista de tus resúmenes de imágenes.

4. En la lista de resúmenes de imágenes, haz clic en el nombre de un resumen.

   En la página se muestra una fila de pestañas en la que está abierta la pestaña Resumen, que muestra detalles como el formato, la ubicación, el repositorio, el tamaño virtual y las etiquetas.

5. En la fila de pestañas, haz clic en Dependencias.

   Se abre la pestaña Dependencias y se muestra la siguiente información:

   • Sección de la lista de materiales de software
   • Sección Licencias
   • Lista de dependencias que se puede filtrar

SBOMs

Si genera o sube una lista de materiales de software (SBOM) con Artifact Analysis, los detalles de la SBOM se mostrarán en esta sección. Las listas de materiales no se generan automáticamente, como la información de licencias y dependencias. Consulta cómo añadir SBOMs en la descripción general de las SBOMs.

Licencias

En la sección de resumen Licencias se muestra un gráfico de barras llamado Licencias más comunes. Representa los tipos de licencias que aparecen con más frecuencia en la información de tus dependencias. Si mantienes el puntero sobre una barra del gráfico, la consola muestra el recuento exacto de las instancias de ese tipo de licencia.

Dependencias

En la lista de dependencias se muestra el contenido del digest de la imagen, que incluye lo siguiente:

• Nombre del paquete
• Versión de paquete
• Tipo de paquete
• Tipo de licencia

Puede filtrar la lista de dependencias por cualquiera de estas categorías.

Ver licencias y dependencias en Cloud Build

Si usas Cloud Build, puedes ver los metadatos de las imágenes en el panel lateral Información de seguridad de la Google Cloud consola.

El panel lateral Información de seguridad ofrece una vista general de la información de seguridad de las compilaciones de los artefactos almacenados en Artifact Registry. Para obtener más información sobre el panel lateral y cómo puedes usar Cloud Build para proteger tu cadena de suministro de software, consulta Ver información valiosa sobre la seguridad de las compilaciones.

Limitaciones

La información sobre licencias y dependencias solo está disponible con el análisis automático. El análisis bajo demanda no admite esta función.

Siguientes pasos

• Genera una lista de materiales de software (SBOM) para cumplir los requisitos.
• Investiga vulnerabilidades mediante patrones de consulta habituales.
• Crea declaraciones VEX para certificar el nivel de seguridad de tus imágenes.