Afficher et filtrer les fichiers SBOM

Ce document explique comment accéder aux enregistrements de votre nomenclature logicielle (SBOM) et aux métadonnées de dépendance associées pour vous aider à comprendre les composants de vos images de conteneur stockées dans Artifact Registry.

Avant de commencer

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Stockez les fichiers SBOM dans Cloud Storage. Consultez les instructions pour générer des SBOM.

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les données de la liste de composants logiciels et filtrer les résultats, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les SBOM dans la console Google Cloud

Pour afficher les fichiers SBOM et les métadonnées de dépendance associées aux images de conteneur stockées dans Artifact Registry:

  1. Ouvrez la page Dépôts d'Artifact Registry.

    Ouvrir la page "Dépôts"

    La page qui s'affiche répertorie vos dépôts.

  2. Dans la liste des dépôts, cliquez sur le nom d'un dépôt.

    La page Détails du dépôt s'ouvre et affiche la liste de vos images.

  3. Dans la liste des images, cliquez sur un nom d'image.

    La page affiche la liste de vos récapitulatifs d'images.

  4. Dans la liste des condensés d'images, cliquez sur un nom de condensé.

    La page affiche une ligne d'onglets, dont l'onglet Overview (Présentation) est ouvert. Il affiche des informations telles que le format, l'emplacement, le dépôt, la taille virtuelle et les tags.

  5. Dans la ligne d'onglets, cliquez sur l'onglet Dépendances.

    L'onglet "Dépendances" s'ouvre et affiche les informations suivantes:

    • Section SBOM
    • Section "Licences"
    • Liste filtrable des dépendances

SBOM

La section récapitulative SBOM affiche les informations suivantes:

  • Fichier: nom de fichier du fichier manifeste du composant logiciel (SBOM) cliquable, qui ouvre l'emplacement où votre fichier manifeste du composant logiciel est enregistré dans Cloud Storage.
  • Type: type de norme SBOM utilisée, par exemple SPDX (Software Package Data Exchange) ou Cyclone.
  • Version: version de la norme SBOM utilisée.
  • Généré par: origine des données du SBOM, qu'elles soient générées par l'Artifact Analysis ou importées manuellement.

Licences

La section récapitulative Licences affiche un graphique à barres intitulé Licences les plus courantes. Il s'agit des types de licences qui apparaissent le plus souvent dans vos informations de dépendance. Lorsque vous placez le pointeur sur une barre du graphique, la console affiche le nombre exact d'instances de ce type de licence.

Dépendances

La liste des dépendances affiche le contenu de votre récapitulatif d'images, y compris les éléments suivants:

  • Nom du package
  • Version du package
  • Type de package
  • Type de licence

Vous pouvez filtrer la liste des dépendances par l'une de ces catégories.

Afficher les SBOM dans Cloud Build

Si vous utilisez Cloud Build, vous pouvez afficher les métadonnées des images dans le panneau latéral Insights de sécurité de la console Google Cloud.

Le panneau latéral Insights sur la sécurité fournit une vue d'ensemble des informations de sécurité de compilation pour les artefacts stockés dans Artifact Registry. Pour en savoir plus sur le panneau latéral et découvrir comment utiliser Cloud Build pour protéger votre chaîne d'approvisionnement logicielle, consultez Afficher des insights sur la sécurité de la compilation.

Afficher les SBOM avec gcloud CLI

Utilisez la commande gcloud artifacts sbom list pour rechercher des fichiers SBOM stockés dans Cloud Storage. Cette recherche s'applique à tous vos fichiers SBOM dans Cloud Storage, y compris ceux générés par l'Artifact Analysis et ceux que vous choisissez d'importer à partir d'une autre source à l'aide d'un format compatible.

Vous pouvez utiliser des filtres avec la commande gcloud pour affiner les résultats et vous concentrer sur les SBOM les plus pertinents pour un problème de sécurité ou une demande de conformité spécifique.

Par exemple, la commande suivante montre comment obtenir des informations sur le SBOM d'une image Docker my-image stockée dans Artifact Registry:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Où :

  • --resource spécifie l'URI de la ressource image pour laquelle les références de fichiers SBOM doivent être listées.

Le résultat inclut les éléments suivants:

  • Emplacement Cloud Storage de la liste de dépendances logicielles. À l'aide de l'emplacement Cloud Storage, vous pouvez afficher le SBOM dans la gcloud CLI en exécutant la commande gcloud storage cat.
  • Indique si le SBOM se trouve toujours dans le bucket Cloud Storage ou s'il a été supprimé.
  • Un hachage de la SBOM que vous pouvez utiliser pour vérifier qu'elle n'a pas été modifiée.

Filtres

Vous pouvez filtrer des fichiers SBOM spécifiques à l'aide de l'une des options facultatives suivantes:

Option Objectif Valeur d'entrée
--dependency Répertoriez toutes les références de fichiers SBOM pour lesquelles un package spécifié est installé sur une ressource. Consultez la section Types de packages compatibles. Nom d'un package installé
--resource Répertorie les références de fichiers SBOM associées à une image spécifique. URI de la ressource
--resource-prefix Liste des références de fichiers SBOM associées au préfixe de chemin d'accès aux ressources. Chemin de ressource, qui sera utilisé comme préfixe pour la recherche

Exemples de filtrage

Filtrer les résultats par URI de ressource:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Filtrer par préfixe de ressource:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Limites

Étape suivante