SBOMs ansehen und filtern

In diesem Dokument wird beschrieben, wie Sie auf Ihre Software-Bestelllisten (SBOM) und zugehörige Abhängigkeitsmetadaten zugreifen, um die Komponenten Ihrer in Artifact Registry gespeicherten Container-Images besser zu verstehen.

Hinweise

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Container Analysis, Artifact Registry APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. SBOMs müssen in Cloud Storage gespeichert sein. Anleitung zum Generieren von SBOMs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von SBOM-Daten und zum Filtern von Ergebnissen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

SBOMs in der Google Cloud Console ansehen

So rufen Sie SBOMs und zugehörige Abhängigkeitsmetadaten für in Artifact Registry gespeicherte Container-Images auf:

  1. Öffnen Sie die Seite Repositories (Repositories) der Artifact Registry.

    Zur Seite „Repositories“

    Auf der Seite wird eine Liste Ihrer Repositories angezeigt.

  2. Klicken Sie in der Liste der Repositories auf einen Repositorynamen.

    Die Seite Repository-Details wird geöffnet und eine Liste Ihrer Images wird angezeigt.

  3. Klicken Sie in der Bilderliste auf einen Bildnamen.

    Auf der Seite wird eine Liste Ihrer Bild-Digests angezeigt.

  4. Klicken Sie in der Liste der Image-Digests auf einen Digest-Namen.

    Auf der Seite wird eine Reihe von Tabs angezeigt, von denen der Tab Übersicht geöffnet ist. Dort finden Sie Details wie Format, Speicherort, Repository, virtuelle Größe und Tags.

  5. Klicken Sie in der Tab-Leiste auf den Tab Abhängigkeiten.

    Der Tab „Abhängigkeiten“ wird geöffnet und enthält die folgenden Informationen:

    • Abschnitt „SBOM“
    • Bereich „Lizenzen“
    • Eine filterbare Liste von Abhängigkeiten

SBOM

Im Abschnitt SBOM werden die folgenden Informationen angezeigt:

  • Datei: Ein anklickbarer SBOM-Dateiname, über den der Speicherort geöffnet wird, an dem Ihre SBOM in Cloud Storage gespeichert ist.
  • Typ: Der verwendete SBOM-Standard, z. B. Software Package Data Exchange (SPDX) oder Cyclone.
  • Version: Die Version des verwendeten SBOM-Standards.
  • Erstellt von: Der Ursprung der SBOM-Daten, unabhängig davon, ob sie durch die Artefaktanalyse generiert oder manuell hochgeladen wurden.

Lizenzen

Im Bereich Lizenzen wird ein Balkendiagramm mit dem Titel Häufigste Lizenzen angezeigt. Dies sind die Lizenztypen, die in Ihren Abhängigkeitsinformationen am häufigsten vorkommen. Wenn Sie den Mauszeiger auf einen Balken im Diagramm bewegen, wird in der Konsole die genaue Anzahl der Instanzen dieses Lizenztyps angezeigt.

Abhängigkeiten

Die Liste der Abhängigkeiten enthält den Inhalt Ihres Image-Digests, darunter:

  • Paketname
  • Paketversion
  • Pakettyp
  • Lizenztyp

Sie können die Liste der Abhängigkeiten nach einer beliebigen dieser Kategorien filtern.

SBOMs in Cloud Build ansehen

Wenn Sie Cloud Build verwenden, können Sie die Image-Metadaten in der Seitenleiste Sicherheitsinformationen in der Google Cloud Console aufrufen.

Im Seitenbereich Sicherheitsinformationen finden Sie einen allgemeinen Überblick über die Build-Sicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie Cloud Build zum Schutz Ihrer Softwarelieferkette verwenden können, finden Sie unter Sicherheitserkenntnisse für Builds ansehen.

SBOMs mit der gcloud CLI aufrufen

Verwenden Sie den Befehl gcloud artifacts sbom list, um in Cloud Storage nach SBOMs zu suchen. Diese Suche gilt für alle SBOMs in Cloud Storage, einschließlich derjenigen, die durch die Artefaktanalyse generiert wurden, und aller, die Sie aus einer anderen Quelle in einem unterstützten Format hochladen.

Mithilfe von Filtern und dem Befehl „gcloud“ können Sie die Ergebnisse eingrenzen und sich auf SBOMs konzentrieren, die für ein bestimmtes Sicherheitsproblem oder eine bestimmte Compliance-Anfrage am relevantesten sind.

Mit dem folgenden Befehl können Sie beispielsweise Informationen zur SBOM für ein Docker-Image my-image abrufen, das in der Artifact Registry gespeichert ist:

gcloud artifacts sbom list \
    --resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"

Wobei:

  • --resource gibt den URI der Bildressource an, für den SBOM-Dateireferenzen aufgelistet werden sollen.

Die Ausgabe enthält Folgendes:

  • Der Cloud Storage-Speicherort für die SBOM. Wenn Sie den Cloud Storage-Speicherort verwenden, können Sie die SBOM in der gcloud CLI aufrufen, indem Sie den Befehl gcloud storage cat ausführen.
  • Ob sich die SBOM noch im Cloud Storage-Bucket befindet oder entfernt wurde.
  • Ein Hash der SBOM, mit dem Sie prüfen können, ob sie nicht geändert wurde.

Filter

Sie können mit einem der folgenden optionalen Flags nach bestimmten SBOMs filtern:

Flag Zweck Eingabewert
--dependency Listet alle SBOM-Dateireferenzen auf, in denen das angegebene Paket auf einer Ressource installiert ist. Unterstützte Pakettypen Der Name eines installierten Pakets
--resource Liste der SBOM-Dateiverweise, die sich auf ein bestimmtes Bild beziehen. Ressourcen-URI
--resource-prefix Listen Sie SBOM-Dateireferenzen auf, die sich auf das Ressourcenpfadpräfix beziehen. Ein Ressourcenpfad, der als Präfix für die Suche verwendet wird

Filterbeispiele

Ergebnisse nach Ressourcen-URI filtern:

gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"

Nach Ressourcenpräfix filtern:

gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"

Beschränkungen

Nächste Schritte