Veja licenças e dependências

Este documento descreve como ver e filtrar os metadados de dependências que a análise de artefactos deteta com a análise automática.

Quando ativa a API de análise para identificar vulnerabilidades em imagens de contentores, a Artifact Analysis também recolhe informações sobre as dependências e as licenças usadas nas suas imagens.

Pode usar estes metadados para compreender os componentes das suas imagens de contentores e corrigir problemas de segurança.

A análise de artefactos fornece deteção de dependências e licenças para pacotes de SO e pacotes de idiomas suportados em imagens de contentores armazenadas num repositório do Artifact Registry no formato Docker. Para mais informações, consulte o artigo Vista geral da análise de contentores.

Tal como as informações de vulnerabilidade, os metadados de licenças e dependências são gerados sempre que envia uma imagem para o Artifact Registry e, em seguida, armazenados na análise de artefactos.

A análise de artefactos só atualiza os metadados das imagens que foram enviadas por push ou extraídas nos últimos 30 dias. Após 30 dias, os metadados deixam de ser atualizados e os resultados ficam desatualizados. Além disso, a análise de artefactos arquiva metadados desatualizados há mais de 90 dias, e os metadados não ficam disponíveis na Google Cloud consola, no gcloud nem através da API. Para voltar a analisar uma imagem com metadados desatualizados ou arquivados, transfira essa imagem. A atualização dos metadados pode demorar até 24 horas.

Antes de começar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  13. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
  14. Ter um repositório Docker no Artifact Registry . Consulte as instruções sobre como gerar SBOMs.

    15. Funções necessárias

    Para receber as autorizações de que precisa para ver os dados da SBOM e filtrar os resultados, peça ao seu administrador que lhe conceda as seguintes funções da IAM no projeto:

    Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Veja licenças e dependências na Google Cloud consola

    1. Abra a página Repositórios do Artifact Registry.

      Abra a página Repositórios

      A página apresenta uma lista dos seus repositórios.

    2. Na lista de repositórios, clique no nome de um repositório.

      A página Detalhes do repositório é aberta e apresenta uma lista das suas imagens.

    3. Na lista de imagens, clique no nome de uma imagem.

      A página apresenta uma lista dos seus resumos de imagens.

    4. Na lista de resumos de imagens, clique no nome de um resumo.

      A página apresenta uma linha de separadores onde o separador Vista geral está aberto, mostrando detalhes como o formato, a localização, o repositório, o tamanho virtual e as etiquetas.

    5. Na linha de separadores, clique no separador Dependencies.

      O separador Dependências é aberto e apresenta as seguintes informações:

      • Secção SBOM
      • Secção Licenças
      • Uma lista filtrável de dependências

    SBOMs

    Se gerar ou carregar uma lista de materiais de software (SBOM) com a análise de artefactos, os detalhes da SBOM são apresentados nesta secção. As SBOMs não são geradas automaticamente, como as informações de licenças e dependências. Saiba como adicionar SBOMs na vista geral da SBOM.

    Licenças

    A secção de resumo Licenças apresenta um gráfico de barras denominado Licenças mais comuns. Isto representa os tipos de licenças que aparecem com mais frequência nas suas informações de dependência. Quando passa o cursor do rato sobre uma barra no gráfico, a consola apresenta a contagem exata das instâncias desse tipo de licença.

    Dependências

    A lista de dependências apresenta o conteúdo do resumo da imagem, incluindo:

    • Nome do pacote
    • Versão do pacote
    • Tipo de pacote
    • Tipo de licença

    Pode filtrar a lista de dependências por qualquer uma destas categorias.

    Veja licenças e dependências no Cloud Build

    Se estiver a usar o Cloud Build, pode ver os metadados das imagens no painel lateral Estatísticas de segurança na Google Cloud consola.

    O painel lateral Estatísticas de segurança oferece uma vista geral de alto nível das informações de segurança de compilação para artefactos armazenados no Artifact Registry. Para saber mais acerca do painel lateral e como pode usar o Cloud Build para ajudar a proteger a sua cadeia de fornecimento de software, consulte Veja informações de segurança da compilação.

    Limitações

    As informações sobre licenças e dependências só estão disponíveis com a análise automática. A análise a pedido não suporta esta funcionalidade.

    O que se segue?