Conferir licenças e dependências

Este documento descreve como visualizar e filtrar metadados de dependência que Artifact Analysis detecta com a verificação automática.

Quando você ativa a API de verificação para identificar vulnerabilidades em imagens de contêiner, o Artifact Analysis também coleta informações sobre as dependências e licenças usadas nas imagens.

É possível usar esses metadados para entender os componentes das imagens de contêiner e corrigir problemas de segurança.

Artifact Analysis oferece detecção de dependências e licenças para pacotes do SO e pacotes de linguagem compatíveis em imagens de contêiner armazenadas em um repositório do Artifact Registry no formato Docker. Para mais informações, consulte Visão geral da verificação de contêineres.

Assim como as informações de vulnerabilidade, os metadados de licença e dependência são gerados sempre que você envia uma imagem para o Artifact Registry e armazenados no Artifact Analysis.

O Artifact Analysis só atualiza os metadados de imagens enviadas ou extraídas nos últimos 30 dias. Após 30 dias, os metadados não serão mais atualizados, e os resultados vão ficar desatualizados. Além disso, o Artifact Analysis arquiva metadados que estão desatualizados há mais de 90 dias, e eles não ficam disponíveis no console Google Cloud , na gcloud ou usando a API. Para verificar novamente uma imagem com metadados desatualizados ou arquivados, extraia essa imagem. A atualização dos metadados pode levar até 24 horas.

Antes de começar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Container Analysis, Artifact Registry APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init
  14. Ter um repositório do Docker no Artifact Registry . Confira as instruções sobre como gerar SBOMs.

    15. Funções exigidas

    Para ter as permissões necessárias para visualizar dados da lista de materiais de software (SBOM) e filtrar resultados, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

    Conferir licenças e dependências no console do Google Cloud

    1. Abra a página Repositórios do Artifact Registry.

      Abrir a página Repositórios

      A página exibe uma lista dos seus repositórios.

    2. Na lista de repositórios, clique em um nome.

      A página Detalhes do repositório é aberta e mostra uma lista das suas imagens.

    3. Na lista de imagens, clique no nome de uma imagem.

      A página mostra uma lista dos seus resumos de imagens.

    4. Na lista de resumos de imagens, clique em um nome de resumo.

      A página mostra uma linha de guias com a guia Visão geral aberta, mostrando detalhes como formato, local, repositório, tamanho virtual e tags.

    5. Na linha de guias, clique em Dependências.

      A guia "Dependências" é aberta e mostra as seguintes informações:

      • Seção da lista de materiais de software (SBOM)
      • Seção "Licenças"
      • Uma lista filtrável de dependências

    SBOMs

    Se você gerar ou fazer upload de uma lista de materiais de software (SBOM) com o Artifact Analysis, os detalhes da SBOM vão aparecer nesta seção. As listas de materiais de software (SBOMs, na sigla em inglês) não são geradas automaticamente como as informações de licença e dependência. Saiba como adicionar SBOMs na visão geral de SBOMs.

    Licenças

    A seção de resumo Licenças mostra um gráfico de barras chamado Licenças mais comuns. Isso representa os tipos de licenças que aparecem com mais frequência nas informações de dependência. Quando você mantém o cursor sobre uma barra no gráfico, o console mostra a contagem exata de instâncias desse tipo de licença.

    Dependências

    A lista de dependências mostra o conteúdo do resumo da imagem, incluindo:

    • Nome do pacote
    • Versão do pacote
    • Tipo de pacote
    • Tipo de licença

    É possível filtrar a lista de dependências por qualquer uma dessas categorias.

    Ver licenças e dependências no Cloud Build

    Se você estiver usando o Cloud Build, poderá conferir os metadados da imagem no painel lateral Insights de segurança no console do Google Cloud .

    O painel lateral Insights de segurança oferece uma visão geral de alto nível das informações de segurança de build para artefatos armazenados no Artifact Registry. Para saber mais sobre o painel lateral e como usar o Cloud Build para proteger sua cadeia de suprimentos de software, consulte Ver insights de segurança de build.

    Limitações

    As informações sobre licenças e dependências estão disponíveis apenas com a verificação automática. A verificação sob demanda não é compatível com esse recurso.

    A seguir