Visualizza licenze e dipendenze

Questo documento descrive come visualizzare e filtrare i metadati delle dipendenze rilevati da Artifact Analysis con la scansione automatica.

Quando attivi l'API di scansione per identificare le vulnerabilità nelle immagini container, Artifact Analysis raccoglie anche informazioni sulle dipendenze e sulle licenze utilizzate nelle immagini.

Puoi utilizzare questi metadati per comprendere i componenti delle immagini del contenitore e risolvere i problemi di sicurezza.

Artifact Analysis fornisce il rilevamento delle dipendenze e delle licenze per i pacchetti del sistema operativo e per i pacchetti di lingua supportati all'interno delle immagini container archiviate in un repository Artifact Registry in formato Docker. Per ulteriori informazioni, consulta la panoramica dell'analisi dei container.

Come le informazioni sulle vulnerabilità, i metadati delle licenze e delle dipendenze vengono generati ogni volta che esegui il push di un'immagine in Artifact Registry e poi archiviati in Artifact Analysis.

Artifact Analysis aggiorna solo i metadati delle immagini inviate o rimosse negli ultimi 30 giorni. Artifact Analysis archivia i metadati più vecchi di 30 giorni.Per eseguire di nuovo la scansione di un'immagine con metadati archiviati, esegui il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore.

Prima di iniziare

1. Sign in to your Google Account.

   If you don't already have one, sign up for a new account.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

10. Install the Google Cloud CLI.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Avere un repository Docker in Artifact Registry . Consulta le istruzioni per la generazione di SBOM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare i dati SBOM e filtrare i risultati, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Visualizzatore delle occorrenze di Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumatore di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)
• Artifact Registry Reader (roles/artifactregistry.reader)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizzare licenze e dipendenze nella console Google Cloud

1. Apri la pagina Repositories (Repository) di Artifact Registry.

   Apri la pagina Repositori

   La pagina mostra un elenco dei tuoi repository.

2. Nell'elenco dei repository, fai clic sul nome di un repository.

   Viene visualizzata la pagina Dettagli del repository, che mostra un elenco delle tue immagini.

3. Nell'elenco delle immagini, fai clic sul nome di un'immagine.

   La pagina mostra un elenco dei digest delle immagini.

4. Nell'elenco dei digest delle immagini, fai clic sul nome di un digest.

   Nella pagina viene visualizzata una riga di schede in cui è aperta la scheda Panoramica, che mostra dettagli come formato, posizione, repository, dimensioni virtuali e tag.

5. Nella riga delle schede, fai clic sulla scheda Dipendenze.

   Si apre la scheda Dipendenze, che mostra le seguenti informazioni:

   • Sezione SBOM
   • Sezione Licenze
   • Un elenco filtrabile di dipendenze

SBOM

Se generi o carichi una distinta componenti software (SBOM) con Artifact Analysis, i dettagli della SBOM vengono visualizzati in questa sezione. I file SBOM non vengono generati automaticamente come le informazioni sulle licenze e sulle dipendenze. Scopri come aggiungere SBOM nella panoramica delle SBOM.

Licenze

La sezione di riepilogo Licenze mostra un grafico a barre denominato Licenze più comuni. Questi sono i tipi di licenze che compaiono più spesso nelle informazioni sulle dipendenze. Quando passi il cursore sopra una barra del grafico, la console mostra il conteggio esatto delle istanze di quel tipo di licenza.

Dipendenze

L'elenco delle dipendenze mostra i contenuti del digest delle immagini, tra cui:

• Nome pacchetto
• Versione pacchetto
• Tipo di pacchetto
• Tipo di licenza

Puoi filtrare l'elenco delle dipendenze in base a una di queste categorie.

Visualizzare licenze e dipendenze in Cloud Build

Se utilizzi Cloud Build, puoi visualizzare i metadati delle immagini nel riquadro laterale Approfondimenti sulla sicurezza della console Google Cloud.

Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale delle informazioni sulla sicurezza della compilazione per gli elementi archiviati in Artifact Registry. Per scoprire di più sul riquadro laterale e su come utilizzare Cloud Build per proteggere la tua catena di fornitura del software, consulta Visualizzare gli insight sulla sicurezza della build.

Limitazioni

Le informazioni su licenze e dipendenze sono disponibili solo con la scansione automatica. La ricerca on demand non supporta questa funzionalità.

Passaggi successivi

• Genera una distinta componenti software (SBOM) per supportare i requisiti di conformità.
• Esegui indagini sulle vulnerabilità utilizzando pattern di query comuni.
• Crea dichiarazioni VEX per attestare la posizione di sicurezza delle tue immagini.