Afficher les licences et les dépendances

Ce document explique comment afficher et filtrer les métadonnées de dépendance que l'Artifact Analysis détecte lors de l'analyse automatique.

Lorsque vous activez l'API d'analyse pour identifier les failles dans les images de conteneur, Artifact Analysis collecte également des informations sur les dépendances et les licences utilisées dans vos images.

Vous pouvez utiliser ces métadonnées pour comprendre les composants de vos images de conteneur et résoudre les problèmes de sécurité.

Artifact Analysis fournit une détection des dépendances et des licences pour les packages de système d'exploitation et les packages de langages compatibles dans les images de conteneurs stockées dans un dépôt Artifact Registry au format Docker. Pour en savoir plus, consultez la présentation de l'analyse des conteneurs.

Comme les informations sur les failles, les métadonnées de licence et de dépendance sont générées chaque fois que vous transférez une image vers Artifact Registry, puis stockées dans Artifact Analysis.

Artifact Analysis ne met à jour que les métadonnées des images qui ont été transférées ou extraites au cours des 30 derniers jours. Au bout de 30 jours, les métadonnées ne seront plus mises à jour et les résultats seront obsolètes. De plus, Artifact Analysis archive les métadonnées obsolètes depuis plus de 90 jours. Elles ne seront pas disponibles dans la console Google Cloud, gcloud ni via l'API. Pour lancer une nouvelle analyse d'une image avec des métadonnées obsolètes ou archivées, extrayez cette image. L'actualisation des métadonnées peut prendre jusqu'à 24 heures.

Avant de commencer

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. disposer d'un dépôt Docker dans Artifact Registry ; Consultez les instructions pour générer des SBOM.

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les données de la liste de composants logiciels et filtrer les résultats, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les licences et les dépendances dans la console Google Cloud

  1. Ouvrez la page Dépôts d'Artifact Registry.

    Ouvrir la page "Dépôts"

    La page qui s'affiche répertorie vos dépôts.

  2. Dans la liste des dépôts, cliquez sur le nom d'un dépôt.

    La page Détails du dépôt s'ouvre et affiche la liste de vos images.

  3. Dans la liste des images, cliquez sur un nom d'image.

    La page affiche la liste de vos récapitulatifs d'images.

  4. Dans la liste des condensés d'images, cliquez sur un nom de condensé.

    La page affiche une ligne d'onglets, dont l'onglet Overview (Présentation) est ouvert. Il affiche des informations telles que le format, l'emplacement, le dépôt, la taille virtuelle et les tags.

  5. Dans la ligne d'onglets, cliquez sur l'onglet Dépendances.

    L'onglet "Dépendances" s'ouvre et affiche les informations suivantes:

    • Section SBOM
    • Section "Licences"
    • Liste filtrable des dépendances

SBOM

Si vous générez ou importez une nomenclature logicielle (SBOM) avec Artifact Analysis, les détails de votre SBOM s'affichent dans cette section. Les fichiers SBOM ne sont pas générés automatiquement, contrairement aux informations sur les licences et les dépendances. Découvrez comment ajouter des fichiers SBOM dans la présentation des fichiers SBOM.

Licences

La section récapitulative Licences affiche un graphique à barres intitulé Licences les plus courantes. Il s'agit des types de licences qui apparaissent le plus souvent dans vos informations de dépendance. Lorsque vous placez le pointeur sur une barre du graphique, la console affiche le nombre exact d'instances de ce type de licence.

Dépendances

La liste des dépendances affiche le contenu de votre récapitulatif d'images, y compris les éléments suivants:

  • Nom du package
  • Version du package
  • Type de package
  • Type de licence

Vous pouvez filtrer la liste des dépendances par l'une de ces catégories.

Afficher les licences et les dépendances dans Cloud Build

Si vous utilisez Cloud Build, vous pouvez afficher les métadonnées des images dans le panneau latéral Insights de sécurité de la console Google Cloud.

Le panneau latéral Insights sur la sécurité fournit une vue d'ensemble des informations de sécurité de compilation pour les artefacts stockés dans Artifact Registry. Pour en savoir plus sur le panneau latéral et découvrir comment utiliser Cloud Build pour protéger votre chaîne d'approvisionnement logicielle, consultez Afficher des insights sur la sécurité de la compilation.

Limites

Les informations sur les licences et les dépendances ne sont disponibles qu'avec l'analyse automatique. Cette fonctionnalité n'est pas disponible avec l'analyse à la demande.

Étape suivante