Afficher les licences et les dépendances

Ce document explique comment afficher et filtrer les métadonnées de dépendances détectées par Artifact Analysis lors de l'analyse automatique.

Lorsque vous activez l'API d'analyse pour identifier les failles dans les images de conteneurs, Artifact Analysis collecte également des informations sur les dépendances et les licences utilisées dans vos images.

Vous pouvez utiliser ces métadonnées pour comprendre les composants de vos images de conteneur et résoudre les problèmes de sécurité.

Artifact Analysis permet de détecter les dépendances et les licences pour les packages OS et les packages de langages compatibles dans les images de conteneurs stockées dans un dépôt Artifact Registry au format Docker. Pour en savoir plus, consultez Présentation de l'analyse des conteneurs.

Comme les informations sur les failles, les métadonnées de licence et de dépendance sont générées chaque fois que vous transférez une image vers Artifact Registry, puis stockées dans Artifact Analysis.

Artifact Analysis ne met à jour les métadonnées que pour les images transférées ou extraites au cours des 30 derniers jours. Au bout de 30 jours, les métadonnées ne seront plus mises à jour et les résultats seront obsolètes. De plus, Artifact Analysis archive les métadonnées obsolètes depuis plus de 90 jours. Elles ne sont alors plus disponibles dans la console Google Cloud , dans gcloud ni à l'aide de l'API. Pour lancer une nouvelle analyse d'une image avec des métadonnées obsolètes ou archivées, extrayez cette image. L'actualisation des métadonnées peut prendre jusqu'à 24 heures.

Avant de commencer

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

1. Disposer d'un dépôt Docker dans Artifact Registry Consultez les instructions pour générer des SBOM.

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les données SBOM et filtrer les résultats, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :

• Lecteur d'occurrences Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)
• Lecteur Artifact Registry (roles/artifactregistry.reader)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les licences et les dépendances dans la console Google Cloud

1. Ouvrez la page Dépôts d'Artifact Registry.

   Ouvrir la page "Dépôts"

   La page qui s'affiche répertorie vos dépôts.

2. Dans la liste des dépôts, cliquez sur le nom d'un dépôt.

   La page Détails du dépôt s'ouvre et affiche la liste de vos images.

3. Dans la liste des images, cliquez sur le nom d'une image.

   La page affiche la liste de vos résumés d'images.

4. Dans la liste des condensés d'images, cliquez sur le nom d'un condensé.

   La page affiche une ligne d'onglets. L'onglet Présentation est ouvert et affiche des informations telles que le format, l'emplacement, le dépôt, la taille virtuelle et les tags.

5. Dans la ligne d'onglets, cliquez sur l'onglet Dépendances.

   L'onglet "Dépendances" s'ouvre et affiche les informations suivantes :

   • Section SBOM
   • Section "Licences"
   • Liste filtrable des dépendances

SBOM

Si vous générez ou importez une nomenclature logicielle (SBOM) avec Artifact Analysis, les détails de votre SBOM s'affichent dans cette section. Les SBOM ne sont pas générées automatiquement, contrairement aux informations sur les licences et les dépendances. Découvrez comment ajouter des SBOM dans la présentation des SBOM.

Licences

La section récapitulative Licences affiche un graphique à barres intitulé Licences les plus courantes. Cela représente les types de licences qui apparaissent le plus souvent dans les informations sur vos dépendances. Lorsque vous pointez sur une barre du graphique, la console affiche le nombre exact d'instances de ce type de licence.

Dépendances

La liste des dépendances affiche le contenu du résumé de votre image, y compris :

• Nom du package
• Version du package
• Type de package
• Type de licence

Vous pouvez filtrer la liste des dépendances selon l'une de ces catégories.

Afficher les licences et les dépendances dans Cloud Build

Si vous utilisez Cloud Build, vous pouvez afficher les métadonnées des images dans le panneau latéral Informations sur la sécurité de la console Google Cloud .

Le panneau latéral Insights sur la sécurité fournit une vue d'ensemble des informations sur la sécurité des compilations pour les artefacts stockés dans Artifact Registry. Pour en savoir plus sur le panneau latéral et sur la façon dont vous pouvez utiliser Cloud Build pour protéger votre chaîne d'approvisionnement logicielle, consultez Afficher les insights sur la sécurité des compilations.

Limites

Les informations sur les licences et les dépendances ne sont disponibles qu'avec l'analyse automatique. Cette fonctionnalité n'est pas disponible pour l'analyse à la demande.

Étapes suivantes

• Générez une nomenclature logicielle (SBOM) pour répondre aux exigences de conformité.
• Enquêter sur les failles à l'aide de modèles de requête courants.
• Créez des déclarations VEX pour attester de la sécurité de vos images.