Melihat lisensi dan dependensi

Dokumen ini menjelaskan cara melihat dan memfilter metadata dependensi yang dideteksi Analisis Artefak dengan pemindaian otomatis.

Saat Anda mengaktifkan API pemindaian untuk mengidentifikasi kerentanan dalam image container, Artifact Analysis juga mengumpulkan informasi tentang dependensi dan lisensi yang digunakan dalam image Anda.

Anda dapat menggunakan metadata ini untuk memahami komponen image penampung dan memperbaiki masalah keamanan.

Analisis Artefak memberikan deteksi dependensi dan lisensi untuk paket OS dan paket bahasa yang didukung dalam image container yang disimpan dalam repositori Artifact Registry dalam format Docker. Untuk informasi selengkapnya, lihat Ringkasan pemindaian container.

Seperti informasi kerentanan, metadata lisensi dan dependensi dibuat setiap kali Anda mengirim image ke Artifact Registry, lalu disimpan di Artifact Analysis.

Analisis Artefak hanya memperbarui metadata untuk image yang di-push atau di-pull dalam 30 hari terakhir. Setelah 30 hari, metadata tidak akan lagi diperbarui, dan hasilnya akan menjadi usang. Selain itu, Analisis Artefak mengarsipkan metadata yang sudah tidak berlaku selama lebih dari 90 hari, dan metadata tersebut tidak akan tersedia di konsol Google Cloud, gcloud, atau dengan menggunakan API. Untuk memindai ulang gambar dengan metadata yang sudah tidak berlaku atau diarsipkan, tarik gambar tersebut. Memuat ulang metadata dapat memerlukan waktu hingga 24 jam.

Sebelum memulai

1. Sign in to your Google Account.

   If you don't already have one, sign up for a new account.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

10. Install the Google Cloud CLI.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Memiliki repositori Docker di Artifact Registry . Lihat petunjuk tentang cara membuat SBOM.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna melihat data SBOM dan memfilter hasil, minta administrator untuk memberi Anda peran IAM berikut pada project:

• Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer)
• Pelanggan Service Usage (roles/serviceusage.serviceUsageConsumer)
• Pembaca Artifact Registry (roles/artifactregistry.reader)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Melihat lisensi dan dependensi di konsol Google Cloud

1. Buka halaman Repositori Artifact Registry.

   Buka halaman Repositori

   Halaman ini menampilkan daftar repositori Anda.

2. Di daftar repositori, klik nama repositori.

   Halaman Repository details akan terbuka dan menampilkan daftar gambar Anda.

3. Di daftar gambar, klik nama gambar.

   Halaman ini menampilkan daftar ringkasan gambar Anda.

4. Di daftar ringkasan gambar, klik nama ringkasan.

   Halaman menampilkan baris tab tempat tab Ringkasan terbuka, yang menampilkan detail seperti format, lokasi, repositori, ukuran virtual, dan tag.

5. Di baris tab, klik tab Dependencies.

   Tab dependensi akan terbuka dan menampilkan informasi berikut:

   • Bagian SBOM
   • Bagian lisensi
   • Daftar dependensi yang dapat difilter

SBOM

Jika Anda membuat atau mengupload software bill of materials (SBOM) dengan Analisis Artefak, detail SBOM Anda akan ditampilkan di bagian ini. SBOM tidak dibuat secara otomatis seperti informasi lisensi dan dependensi. Pelajari cara menambahkan SBOM di ringkasan SBOM.

Lisensi

Bagian ringkasan Lisensi menampilkan diagram batang yang disebut Lisensi yang paling umum. Ini menunjukkan jenis lisensi yang paling sering muncul dalam informasi dependensi Anda. Saat Anda menahan kursor di batang pada grafik, konsol akan menampilkan jumlah persis untuk instance jenis lisensi tersebut.

Dependensi

Daftar dependensi menampilkan konten ringkasan gambar Anda, termasuk:

• Nama paket
• Versi paket
• Jenis paket
• Jenis lisensi

Anda dapat memfilter daftar dependensi menurut kategori mana pun.

Melihat lisensi dan dependensi di Cloud Build

Jika menggunakan Cloud Build, Anda dapat melihat metadata image di panel samping Security insights dalam konsol Google Cloud.

Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari lebih lanjut panel samping dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.

Batasan

Informasi tentang lisensi dan dependensi hanya tersedia dengan pemindaian otomatis. Pemindaian on demand tidak mendukung fitur ini.

Langkah selanjutnya

• Buat software bill of materials (SBOM) untuk mendukung persyaratan kepatuhan.
• Menyelidiki kerentanan menggunakan pola kueri umum.
• Buat pernyataan VEX untuk membuktikan postur keamanan gambar Anda.