Dokumen ini menjelaskan cara melihat dan memfilter metadata dependensi yang dideteksi oleh Analisis Artefak dengan pemindaian otomatis.
Saat Anda mengaktifkan API pemindaian untuk mengidentifikasi kerentanan dalam image container, Artifact Analysis juga mengumpulkan informasi tentang dependensi dan lisensi yang digunakan dalam image Anda.
Anda dapat menggunakan metadata ini untuk memahami komponen image penampung dan memperbaiki masalah keamanan.
Analisis Artefak menyediakan deteksi dependensi dan lisensi untuk paket OS dan paket bahasa yang didukung dalam image container yang disimpan dalam repositori Artifact Registry format Docker. Untuk mengetahui informasi selengkapnya, lihat Ringkasan pemindaian container.
Seperti informasi kerentanan, metadata lisensi dan dependensi dibuat setiap kali Anda mengirim image ke Artifact Registry, lalu disimpan di Artifact Analysis.
Analisis Artefak hanya memperbarui metadata untuk gambar yang di-push atau ditarik dalam 30 hari terakhir. Setelah 30 hari, metadata tidak akan diperbarui lagi, dan hasilnya akan menjadi tidak valid. Selain itu, Analisis Artefak mengarsipkan metadata yang sudah tidak berlaku selama lebih dari 90 hari, dan metadata tersebut tidak akan tersedia di konsol Google Cloud , gcloud, atau menggunakan API. Untuk memindai ulang gambar dengan metadata yang tidak berlaku atau diarsipkan, tarik gambar tersebut. Memperbarui metadata dapat memerlukan waktu hingga 24 jam.
Sebelum memulai
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin
), which contains theserviceusage.services.enable
permission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin
), which contains theserviceusage.services.enable
permission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init
- Memiliki repositori Docker di Artifact Registry . Lihat petunjuk tentang membuat SBOM.
-
Container Analysis Occurrences Viewer (
roles/containeranalysis.occurrences.viewer
) -
Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer
) -
Pembaca Artifact Registry (
roles/artifactregistry.reader
) Buka halaman Repositories di Artifact Registry.
Halaman ini menampilkan daftar repositori Anda.
Di daftar repositori, klik nama repositori.
Halaman Detail repositori akan terbuka dan menampilkan daftar gambar Anda.
Di daftar gambar, klik nama gambar.
Halaman ini menampilkan daftar ringkasan gambar Anda.
Di daftar ringkasan gambar, klik nama ringkasan.
Halaman menampilkan deretan tab dengan tab Ringkasan yang terbuka, yang menampilkan detail seperti format, lokasi, repositori, ukuran virtual, dan tag.
Di baris tab, klik tab Dependencies.
Tab dependensi akan terbuka dan menampilkan informasi berikut:
- Bagian SBOM
- Bagian lisensi
- Daftar dependensi yang dapat difilter
- Nama paket
- Versi paket
- Jenis paket
- Jenis lisensi
- Buat software bill of materials (SBOM) untuk mendukung persyaratan kepatuhan.
- Selidiki kerentanan menggunakan pola kueri umum.
- Buat pernyataan VEX untuk membuktikan postur keamanan gambar Anda.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk melihat data SBOM dan memfilter hasil, minta administrator Anda untuk memberi Anda peran IAM berikut di project:
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran kustom atau peran yang telah ditentukan lainnya.
Melihat lisensi dan dependensi di konsol Google Cloud
SBOM
Jika Anda membuat atau mengupload software bill of materials (SBOM) dengan Analisis Artefak, detail SBOM Anda akan ditampilkan di bagian ini. SBOM tidak dibuat secara otomatis seperti informasi lisensi dan dependensi. Pelajari cara menambahkan SBOM di Ringkasan SBOM.
Lisensi
Bagian ringkasan Lisensi menampilkan diagram batang yang disebut Lisensi paling umum. Bagian ini menampilkan jenis lisensi yang paling sering muncul dalam informasi dependensi Anda. Saat Anda menahan kursor di atas batang dalam grafik, konsol akan menampilkan jumlah pasti untuk instance jenis lisensi tersebut.
Dependensi
Daftar dependensi menampilkan isi ringkasan gambar Anda, termasuk:
Anda dapat memfilter daftar dependensi menurut salah satu kategori ini.
Melihat lisensi dan dependensi di Cloud Build
Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Insight keamanan dalam konsol Google Cloud .
Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.
Batasan
Informasi tentang lisensi dan dependensi hanya tersedia dengan pemindaian otomatis. Pemindaian sesuai permintaan tidak mendukung fitur ini.