Visualizza licenze e dipendenze

Questo documento descrive come visualizzare e filtrare i metadati delle dipendenze che Artifact Analysis rileva con la scansione automatica.

Quando abiliti l'API di analisi per identificare le vulnerabilità nelle immagini container, Artifact Analysis raccoglie anche informazioni sulle dipendenze e sulle licenze utilizzate nelle immagini.

Puoi utilizzare questi metadati per comprendere i componenti delle immagini container e risolvere i problemi di sicurezza.

Artifact Analysis fornisce il rilevamento di dipendenze e licenze per i pacchetti del sistema operativo e i pacchetti di linguaggio supportati all'interno delle immagini container archiviate in un repository Artifact Registry in formato Docker. Per ulteriori informazioni, consulta la panoramica dell'analisi dei container.

Come le informazioni sulle vulnerabilità, i metadati di licenze e dipendenze vengono generati ogni volta che esegui il push di un'immagine in Artifact Registry, quindi vengono archiviati in Artifact Analysis.

Artifact Analysis aggiorna solo i metadati delle immagini di cui è stato eseguito il push o il pull negli ultimi 30 giorni. Dopo 30 giorni, i metadati non verranno più aggiornati e i risultati saranno obsoleti. Inoltre, Artifact Analysis archivia i metadati che sono rimasti inattivi per più di 90 giorni e i metadati non saranno disponibili nella console Google Cloud , in gcloud o utilizzando l'API. Per eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati, esegui il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore.

Prima di iniziare

Sign in to your Google Account.

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

1. Avere un repository Docker in Artifact Registry . Consulta le istruzioni per generare le SBOM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare i dati SBOM e filtrare i risultati, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Visualizzatore occorrenze Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumer di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)
• Lettore Artifact Registry (roles/artifactregistry.reader)

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizzare licenze e dipendenze nella console Google Cloud

1. Apri la pagina Repository di Artifact Registry.

   Apri la pagina Repository

   La pagina mostra un elenco dei tuoi repository.

2. Nell'elenco dei repository, fai clic sul nome di un repository.

   Si apre la pagina Dettagli repository, che mostra un elenco delle tue immagini.

3. Nell'elenco delle immagini, fai clic sul nome di un'immagine.

   La pagina mostra un elenco dei riepiloghi delle immagini.

4. Nell'elenco dei riepiloghi delle immagini, fai clic sul nome di un riepilogo.

   La pagina mostra una riga di schede in cui è aperta la scheda Panoramica, che mostra dettagli come formato, posizione, repository, dimensioni virtuali e tag.

5. Nella riga di schede, fai clic sulla scheda Dipendenze.

   Si apre la scheda Dipendenze, che mostra le seguenti informazioni:

   • Sezione SBOM
   • Sezione Licenze
   • Un elenco filtrabile di dipendenze

SBOM

Se generi o carichi una distinta dei materiali software (SBOM) con Artifact Analysis, i dettagli della SBOM vengono visualizzati in questa sezione. Le SBOM non vengono generate automaticamente come le informazioni su licenze e dipendenze. Scopri come aggiungere le SBOM nella panoramica delle SBOM.

Licenze

La sezione di riepilogo Licenze mostra un grafico a barre chiamato Licenze più comuni. Rappresenta i tipi di licenze che compaiono più spesso nelle informazioni sulle dipendenze. Quando tieni il puntatore sopra una barra del grafico, la console mostra il conteggio esatto delle istanze di quel tipo di licenza.

Dipendenze

L'elenco delle dipendenze mostra i contenuti del digest delle immagini, tra cui:

• Nome pacchetto
• Versione pacchetto
• Tipo di pacchetto
• Tipo di licenza

Puoi filtrare l'elenco delle dipendenze in base a una qualsiasi di queste categorie.

Visualizzare licenze e dipendenze in Cloud Build

Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza all'interno della console Google Cloud .

Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale delle informazioni sulla sicurezza della build per gli artefatti archiviati in Artifact Registry. Per scoprire di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza delle build.

Limitazioni

Le informazioni su licenze e dipendenze sono disponibili solo con la scansione automatica. La scansione on demand non supporta questa funzionalità.

Passaggi successivi

• Genera una distinta materiali software (SBOM) per supportare i requisiti di conformità.
• Esamina le vulnerabilità utilizzando pattern di query comuni.
• Crea dichiarazioni VEX per attestare il livello di sicurezza delle tue immagini.