Conferir licenças e dependências

Este documento descreve como visualizar e filtrar metadados de dependência que Artifact Analysis detecta com a verificação automática.

Quando você ativa a API de verificação para identificar vulnerabilidades em imagens de contêiner, o Artifact Analysis também coleta informações sobre as dependências e licenças usadas nas imagens.

Você pode usar esses metadados para entender os componentes das imagens do contêiner e corrigir problemas de segurança.

O Artifact Analysis oferece detecção de dependências e licenças para pacotes do SO e pacotes de linguagem compatíveis em imagens de contêiner armazenadas em um repositório do Artifact Registry no formato Docker. Para mais informações, consulte Visão geral da verificação de contêineres.

Assim como as informações de vulnerabilidade, os metadados de licença e dependência são gerados sempre que você envia uma imagem para o Artifact Registry e, em seguida, armazenados no Artifact Analysis.

O Artifact Analysis só atualiza os metadados de imagens enviadas ou extraídas nos últimos 30 dias. Após 30 dias, os metadados não serão mais atualizados, e os resultados ficarão desatualizados. Além disso, o Artifact Analysis arquiva metadados que estão desatualizados há mais de 90 dias, e eles não estarão disponíveis no console do Google Cloud, no gcloud ou usando a API. Para verificar novamente uma imagem com metadados desatualizados ou arquivados, extraia essa imagem. A atualização de metadados pode levar até 24 horas.

Antes de começar

1. Sign in to your Google Account.

   If you don't already have one, sign up for a new account.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Enable the Container Analysis, Artifact Registry APIs.

   Enable the APIs

10. Install the Google Cloud CLI.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Ter um repositório do Docker no Artifact Registry . Consulte as instruções sobre como gerar SBOMs.

Funções exigidas

Para receber as permissões necessárias para visualizar dados da SBOM e filtrar resultados, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

• Visualizador de ocorrências do Container Analysis (roles/containeranalysis.occurrences.viewer)
• Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)
• Leitor do Artifact Registry (roles/artifactregistry.reader)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Conferir licenças e dependências no console do Google Cloud

1. Abra a página Repositórios do Artifact Registry.

   Abra a página "Repositórios"

   A página exibe uma lista dos seus repositórios.

2. Na lista de repositórios, clique no nome de um repositório.

   A página Detalhes do repositório é aberta e mostra uma lista das suas imagens.

3. Na lista de imagens, clique no nome de uma imagem.

   A página mostra uma lista dos seus resumos de imagem.

4. Na lista de resumos de imagem, clique em um nome de resumo.

   A página mostra uma linha de guias em que a guia Visão geral está aberta, mostrando detalhes como formato, local, repositório, tamanho virtual e tags.

5. Na linha de guias, clique em Dependencies.

   A guia "Dependências" é aberta e mostra as seguintes informações:

   • Seção do SBOM
   • Seção "Licenses"
   • Uma lista de dependências filtrável

SBOMs

Se você gerar ou fazer upload de uma lista de materiais de software (SBOM) com Artifact Analysis, os detalhes dela vão aparecer nesta seção. Os SBOMs não são gerados automaticamente, como informações de licença e dependência. Saiba como adicionar SBOMs em Visão geral de SBOMs.

Licença

A seção de resumo Licenses mostra um gráfico de barras chamado Most common licenses. Isso representa os tipos de licenças que aparecem com mais frequência nas informações de dependência. Quando você mantém o cursor sobre uma barra no gráfico, o console mostra a contagem exata de instâncias desse tipo de licença.

Dependências

A lista de dependências mostra o conteúdo do resumo da imagem, incluindo:

• Nome do pacote
• Versão do pacote
• Tipo de pacote
• Tipo de licença

É possível filtrar a lista de dependências por qualquer uma dessas categorias.

Conferir licenças e dependências no Cloud Build

Se você estiver usando o Cloud Build, poderá conferir os metadados da imagem no painel lateral Insights de segurança no console do Google Cloud.

O painel lateral Insights de segurança fornece uma visão geral de alto nível das informações de segurança do build para artefatos armazenados no Artifact Registry. Para saber mais sobre o painel lateral e como usar o Cloud Build para proteger sua cadeia de suprimentos de software, consulte Conferir insights de segurança do build.

Limitações

As informações sobre licenças e dependências só estão disponíveis com a verificação automática. A verificação sob demanda não oferece suporte a esse recurso.

A seguir

• Gerar uma lista de materiais de software (SBOM) para atender aos requisitos de compliance.
• Investigue vulnerabilidades usando padrões de consulta comuns.
• Crie declarações VEX para atestar a postura de segurança das suas imagens.