このページは Cloud Translation API によって翻訳されました。

ライセンスと依存関係を表示する

このドキュメントでは、Artifact Analysis が自動スキャンで検出した依存関係メタデータを表示してフィルタする方法について説明します。

スキャン API を有効にしてコンテナイメージの脆弱性を特定すると、Artifact Analysis はイメージで使用されている依存関係とライセンスに関する情報も収集します。

このメタデータを使用して、コンテナイメージのコンポーネントを把握し、セキュリティの問題を解決できます。

Artifact Analysis は、Docker 形式の Artifact Registry リポジトリに保存されているコンテナイメージ内の OS パッケージとサポートされている言語パッケージの依存関係とライセンスを検出します。詳細については、コンテナスキャンの概要をご覧ください。

脆弱性情報と同様に、ライセンスと依存関係のメタデータは、イメージを Artifact Registry に push するたびに生成され、Artifact Analysis に保存されます。

Artifact Analysis は、過去 30 日間に push または pull されたイメージのメタデータのみを更新します。30 日を過ぎると、メタデータは更新されなくなり、結果は古くなります。また、Artifact Analysis は 90 日以上前のメタデータをアーカイブします。このメタデータは、 Google Cloud コンソール、gcloud、API を使用して取得することはできません。古いメタデータまたはアーカイブされたメタデータを含むイメージを再スキャンするには、そのイメージを pull します。メタデータの更新には、最長で 24 時間ほどかかることがあります。

始める前に

If you don't already have one, sign up for a new account.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

注: gcloud CLI を以前にインストールした場合は、gcloud components update を実行して最新バージョンであることを確認してください。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します。

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Container Analysis, Artifact Registry APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

注: gcloud CLI を以前にインストールした場合は、gcloud components update を実行して最新バージョンであることを確認してください。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します。

gcloud init

Artifact Registry に Docker リポジトリを用意します。SBOM を生成するの手順をご覧ください。

必要なロール

SBOM データの表示と結果のフィルタリングに必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

Container Analysis のオカレンスの閲覧者（roles/containeranalysis.occurrences.viewer）
Service Usage ユーザー（roles/serviceusage.serviceUsageConsumer）
Artifact Registry 読み取り（roles/artifactregistry.reader）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Google Cloud コンソールでライセンスと依存関係を表示する

Artifact Registry の [リポジトリ] ページを開きます。

[リポジトリ] ページを開く

リポジトリのリストが表示されます。
リポジトリリストで、リポジトリ名をクリックします。

[リポジトリの詳細] ページが開き、イメージのリストが表示されます。
イメージのリストで、イメージ名をクリックします。

このページには、イメージダイジェストのリストが表示されます。
イメージダイジェストのリストで、ダイジェスト名をクリックします。

ページにタブの行が表示され、[概要] タブが開いて、形式、場所、リポジトリ、仮想サイズ、タグなどの詳細が表示されます。
タブの行で、[依存関係] タブをクリックします。

[依存関係] タブが開き、次の情報が表示されます。
- SBOM セクション
- ライセンスセクション
- フィルタ可能な依存関係のリスト

SBOM

Artifact Analysis でソフトウェア部品構成表（SBOM）を生成またはアップロードすると、SBOM の詳細がこのセクションに表示されます。ライセンスや依存関係の情報とは異なり、SBOM は自動的に生成されません。SBOM を追加する方法については、SBOM の概要をご覧ください。