Cómo ver las licencias y las dependencias

En este documento, se describe cómo ver y filtrar los metadatos de dependencia que detecta Artifact Analysis con el análisis automático.

Cuando habilitas la API de análisis para identificar vulnerabilidades en las imágenes de contenedor, Artifact Analysis también recopila información sobre las dependencias y las licencias que se usan en tus imágenes.

Puedes usar estos metadatos para comprender los componentes de las imágenes del contenedor y solucionar problemas de seguridad.

Artifact Analysis proporciona detección de dependencias y licencias para los paquetes del SO y los paquetes de lenguaje compatibles dentro de las imágenes de contenedores almacenadas en un repositorio de Artifact Registry en formato Docker. Para obtener más información, consulta Descripción general del análisis de contenedores.

Al igual que la información de vulnerabilidades, los metadatos de licencia y dependencia se generan cada vez que envías una imagen a Artifact Registry y, luego, se almacenan en Artifact Analysis.

Artifact Analysis solo actualiza los metadatos de las imágenes que se enviaron o extrajeron en los últimos 30 días. Después de 30 días, los metadatos ya no se actualizarán y los resultados estarán inactivos. Además, Artifact Analysis archiva los metadatos que están inactivos durante más de 90 días, y estos no estarán disponibles en la consola de Google Cloud, gcloud ni a través de la API. Para volver a analizar una imagen con metadatos inactivos o archivados, extrae esa imagen. La actualización de los metadatos puede tardar hasta 24 horas.

Antes de comenzar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. Tener un repositorio de Docker en Artifact Registry Consulta las instrucciones para generar SBOM.

Roles obligatorios

Para obtener los permisos que necesitas para ver los datos de la SBOM y filtrar los resultados, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Consulta las licencias y dependencias en la consola de Google Cloud

  1. Abre la página Repositorios de Artifact Registry.

    Abrir la página repositorios

    En la página, se muestra una lista de tus repositorios.

  2. En la lista de repositorios, haz clic en el nombre de un repositorio.

    Se abrirá la página Detalles del repositorio, en la que se mostrará una lista de tus imágenes.

  3. En la lista de imágenes, haz clic en el nombre de una imagen.

    En la página, se muestra una lista de tus resúmenes de imágenes.

  4. En la lista de resúmenes de imágenes, haz clic en el nombre de un resumen.

    La página muestra una fila de pestañas en la que está abierta la pestaña Descripción general, que muestra detalles como el formato, la ubicación, el repositorio, el tamaño virtual y las etiquetas.

  5. En la fila de pestañas, haz clic en la pestaña Dependencies.

    Se abrirá la pestaña Dependencias y se mostrará la siguiente información:

    • Sección del SBOM
    • Sección de licencias
    • Una lista de dependencias que se puede filtrar

SBOM

Si generas o subes una lista de materiales de software (SBOM) con Artifact Analysis, los detalles de la SBOM se mostrarán en esta sección. Los SBOM no se generan automáticamente, como la información de licencias y dependencias. Obtén más información para agregar SBOM en la descripción general de SBOM.

Licenses (Licencias)

En la sección de resumen Licencias, se muestra un gráfico de barras llamado Licencias más comunes. Representa los tipos de licencias que aparecen con mayor frecuencia en la información de tus dependencias. Cuando colocas el puntero sobre una barra del gráfico, la consola muestra el recuento exacto de las instancias de ese tipo de licencia.

Dependencias

La lista de dependencias muestra el contenido del resumen de tu imagen, lo que incluye lo siguiente:

  • Nombre del paquete
  • Versión del paquete
  • Tipo de paquete
  • Tipo de licencia

Puedes filtrar la lista de dependencias por cualquiera de estas categorías.

Cómo ver las licencias y dependencias en Cloud Build

Si usas Cloud Build, puedes ver los metadatos de las imágenes en el panel lateral Información de seguridad de la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de la información de seguridad de la compilación para los artefactos almacenados en Artifact Registry. Si deseas obtener más información sobre el panel lateral y cómo puedes usar Cloud Build para proteger tu cadena de suministro de software, consulta Cómo ver estadísticas de seguridad de la compilación.

Limitaciones

La información sobre las licencias y las dependencias solo está disponible con el análisis automático. El análisis on demand no admite esta función.

¿Qué sigue?