Cómo ver las licencias y las dependencias

En este documento, se describe cómo ver y filtrar los metadatos de dependencia que Artifact Analysis detecta con el análisis automático.

Cuando habilitas la API de análisis para identificar vulnerabilidades en imágenes de contenedor, Artifact Analysis también recopila información sobre las dependencias y las licencias que se usan en tus imágenes.

Puedes usar estos metadatos para comprender los componentes de tus imágenes de contenedor y solucionar problemas de seguridad.

Artifact Analysis proporciona detección de dependencias y licencias para paquetes de SO y paquetes de lenguajes compatibles dentro de imágenes de contenedores almacenadas en un repositorio de Artifact Registry con formato Docker. Para obtener más información, consulta Descripción general del análisis de contenedores.

Al igual que la información de vulnerabilidades, los metadatos de licencias y dependencias se generan cada vez que envías una imagen a Artifact Registry y, luego, se almacenan en Artifact Analysis.

Artifact Analysis solo actualiza los metadatos de las imágenes que se enviaron o extrajeron en los últimos 30 días. Después de 30 días, los metadatos ya no se actualizarán y los resultados estarán inactivos. Además, Artifact Analysis archiva los metadatos que están inactivos durante más de 90 días, y los metadatos no estarán disponibles en la consola de Google Cloud , gcloud ni a través de la API. Para volver a analizar una imagen con metadatos inactivos o archivados, extráela. La actualización de los metadatos puede tardar hasta 24 horas.

Antes de comenzar

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

1. Tener un repositorio de Docker en Artifact Registry Consulta las instrucciones para generar SBOMs.

Roles requeridos

Para obtener los permisos que necesitas para ver los datos de la SBOM y filtrar los resultados, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

• Visualizador de casos de Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)
• Lector de Artifact Registry (roles/artifactregistry.reader)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Consulta las licencias y las dependencias en la consola de Google Cloud

1. Abre la página Repositorios de Artifact Registry.

   Abrir la página repositorios

   En la página, se muestra una lista de tus repositorios.

2. En la lista de repositorios, haz clic en el nombre de uno.

   Se abre la página Detalles del repositorio, en la que se muestra una lista de tus imágenes.

3. En la lista de imágenes, haz clic en el nombre de una imagen.

   En la página, se muestra una lista de los resúmenes de tus imágenes.

4. En la lista de resúmenes de imágenes, haz clic en el nombre de un resumen.

   En la página, se muestra una fila de pestañas en la que está abierta la pestaña Descripción general, con detalles como el formato, la ubicación, el repositorio, el tamaño virtual y las etiquetas.

5. En la fila de pestañas, haz clic en la pestaña Dependencies.

   Se abrirá la pestaña Dependencies y se mostrará la siguiente información:

   • Sección de SBOM
   • Sección de licencias
   • Una lista de dependencias que se puede filtrar

SBOMs

Si generas o subes una lista de materiales de software (SBOM) con Artifact Analysis, los detalles de la SBOM se mostrarán en esta sección. Las SBOM no se generan automáticamente, como la información de licencias y dependencias. Obtén más información para agregar SBOMs en la descripción general de SBOM.

Licencias

En la sección de resumen Licencias, se muestra un gráfico de barras llamado Licencias más comunes. Representa los tipos de licencias que aparecen con mayor frecuencia en la información de dependencia. Cuando mantienes el puntero sobre una barra del gráfico, la consola muestra el recuento exacto de las instancias de ese tipo de licencia.

Dependencias

La lista de dependencias muestra el contenido del resumen de la imagen, incluido lo siguiente:

• Nombre del paquete
• Versión del paquete
• Tipo de paquete
• Tipo de licencia

Puedes filtrar la lista de dependencias por cualquiera de estas categorías.

Visualiza licencias y dependencias en Cloud Build

Si usas Cloud Build, puedes ver los metadatos de la imagen en el panel lateral Estadísticas de seguridad dentro de la consola de Google Cloud .

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de la información de seguridad de la compilación para los artefactos almacenados en Artifact Registry. Para obtener más información sobre el panel lateral y cómo puedes usar Cloud Build para proteger tu cadena de suministro de software, consulta Cómo ver estadísticas de seguridad de la compilación.

Limitaciones

La información sobre licencias y dependencias solo está disponible con el análisis automático. El análisis a pedido no admite esta función.

¿Qué sigue?

• Genera una lista de materiales de software (SBOM) para cumplir con los requisitos de cumplimiento.
• Investiga las vulnerabilidades con patrones de consultas comunes.
• Crea declaraciones de VEX para certificar la postura de seguridad de tus imágenes.