In diesem Dokument wird beschrieben, wie Sie auf Ihre Software-Bestelllisten (SBOM) und zugehörige Abhängigkeitsmetadaten zugreifen, um die Komponenten Ihrer in Artifact Registry gespeicherten Container-Images besser zu verstehen.
Hinweise
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - SBOMs müssen in Cloud Storage gespeichert sein. Anleitung zum Generieren von SBOMs
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von SBOM-Daten und zum Filtern von Ergebnissen benötigen:
-
Betrachter von Container Analysis-Vorkommen (
roles/containeranalysis.occurrences.viewer) -
Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer) -
Artifact Registry-Leser (
roles/artifactregistry.reader) -
So prüfen Sie SBOMS:
Storage-Objekt-Betrachter (
roles/storage.objectViewer) – ein bestimmter Cloud Storage-Bucket
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
SBOMs in der Google Cloud Console ansehen
So rufen Sie SBOMs und zugehörige Abhängigkeitsmetadaten für in Artifact Registry gespeicherte Container-Images auf:
Öffnen Sie die Seite Repositories (Repositories) der Artifact Registry.
Auf der Seite wird eine Liste Ihrer Repositories angezeigt.
Klicken Sie in der Liste der Repositories auf einen Repositorynamen.
Die Seite Repository-Details wird geöffnet und eine Liste Ihrer Images wird angezeigt.
Klicken Sie in der Bilderliste auf einen Bildnamen.
Auf der Seite wird eine Liste Ihrer Bild-Digests angezeigt.
Klicken Sie in der Liste der Image-Digests auf einen Digest-Namen.
Auf der Seite wird eine Reihe von Tabs angezeigt, auf denen der Tab Übersicht geöffnet ist. Dort finden Sie Details wie Format, Speicherort, Repository, virtuelle Größe und Tags.
Klicken Sie in der Tab-Leiste auf den Tab Abhängigkeiten.
Der Tab „Abhängigkeiten“ wird geöffnet und enthält die folgenden Informationen:
- Abschnitt „SBOM“
- Bereich „Lizenzen“
- Eine filterbare Liste von Abhängigkeiten
SBOM
Im Abschnitt SBOM werden die folgenden Informationen angezeigt:
- Datei: Ein anklickbarer SBOM-Dateiname, über den der Speicherort geöffnet wird, an dem Ihre SBOM in Cloud Storage gespeichert ist.
- Typ: Der verwendete SBOM-Standard, z. B. Software Package Data Exchange (SPDX) oder Cyclone.
- Version: Die Version des verwendeten SBOM-Standards.
- Erstellt von: Der Ursprung der SBOM-Daten, unabhängig davon, ob sie durch die Artefaktanalyse generiert oder manuell hochgeladen wurden.
Lizenzen
Im Bereich Lizenzen wird ein Balkendiagramm mit dem Titel Häufigste Lizenzen angezeigt. Dies sind die Lizenztypen, die in Ihren Abhängigkeitsinformationen am häufigsten vorkommen. Wenn Sie den Mauszeiger auf einen Balken im Diagramm bewegen, wird in der Konsole die genaue Anzahl der Instanzen dieses Lizenztyps angezeigt.
Abhängigkeiten
Die Liste der Abhängigkeiten enthält den Inhalt Ihres Image-Digests, darunter:
- Paketname
- Paketversion
- Pakettyp
- Lizenztyp
Sie können die Liste der Abhängigkeiten nach einer dieser Kategorien filtern.
SBOMs in Cloud Build ansehen
Wenn Sie Cloud Build verwenden, können Sie die Image-Metadaten in der Seitenleiste Sicherheitsinformationen in der Google Cloud Console aufrufen.
Im Seitenbereich Sicherheitsinformationen finden Sie einen allgemeinen Überblick über die Build-Sicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zum Seitenbereich und dazu, wie Sie Cloud Build zum Schutz Ihrer Softwarelieferkette verwenden können, finden Sie unter Sicherheitserkenntnisse zu Builds ansehen.
SBOMs mit der gcloud CLI aufrufen
Verwenden Sie den Befehl gcloud artifacts sbom list, um in Cloud Storage nach SBOMs zu suchen. Diese Suche gilt für alle SBOMs in Cloud Storage, einschließlich derjenigen, die durch die Artefaktanalyse generiert wurden, und aller, die Sie aus einer anderen Quelle in einem unterstützten Format hochladen.
Mithilfe von Filtern und dem Befehl „gcloud“ können Sie die Ergebnisse eingrenzen und sich auf SBOMs konzentrieren, die für ein bestimmtes Sicherheitsproblem oder eine bestimmte Compliance-Anfrage am relevantesten sind.
Mit dem folgenden Befehl können Sie beispielsweise Informationen zur SBOM für ein Docker-Image my-image abrufen, das in der Artifact Registry gespeichert ist:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"
Wobei:
--resourcegibt den URI der Bildressource an, für den SBOM-Dateireferenzen aufgelistet werden sollen.
Die Ausgabe enthält Folgendes:
- Der Cloud Storage-Speicherort für die SBOM. Wenn Sie den Cloud Storage-Speicherort verwenden, können Sie die SBOM in der gcloud CLI aufrufen, indem Sie den Befehl gcloud storage cat ausführen.
- Ob sich die SBOM noch im Cloud Storage-Bucket befindet oder entfernt wurde.
- Ein Hash der SBOM, mit dem Sie prüfen können, ob sie nicht geändert wurde.
Filter
Sie können mit einem der folgenden optionalen Flags nach bestimmten SBOMs filtern:
| Flag | Zweck | Eingabewert |
|---|---|---|
--dependency |
Listet alle SBOM-Dateireferenzen auf, in denen das angegebene Paket auf einer Ressource installiert ist. Unterstützte Pakettypen | Der Name eines installierten Pakets |
--resource |
Liste der SBOM-Dateiverweise, die sich auf ein bestimmtes Bild beziehen. | Ressourcen-URI |
--resource-prefix |
Listen Sie die Verweise auf SBOM-Dateien auf, die sich auf das Ressourcenpfadpräfix beziehen. | Ein Ressourcenpfad, der als Präfix für die Suche verwendet wird |
Filterbeispiele
Ergebnisse nach Ressourcen-URI filtern:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"
Nach Ressourcenpräfix filtern:
gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"
Beschränkungen
- Lizenzinformationen werden nur für Betriebssystempakete und unterstützte Sprachpakete bereitgestellt.