Ce document explique comment accéder aux enregistrements de votre nomenclature logicielle (SBOM) et aux métadonnées de dépendance associées pour vous aider à comprendre les composants de vos images de conteneur stockées dans Artifact Registry.
Avant de commencer
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Container Analysis, Artifact Registry APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Stockez les fichiers SBOM dans Cloud Storage. Consultez les instructions pour générer des SBOM.
Rôles requis
Pour obtenir les autorisations nécessaires pour afficher les données de la liste de composants logiciels et filtrer les résultats, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet:
-
Lecteur d'occurrences Container Analysis (
roles/containeranalysis.occurrences.viewer) -
Consommateur Service Usage (
roles/serviceusage.serviceUsageConsumer) -
Lecteur Artifact Registry (
roles/artifactregistry.reader) -
Pour vérifier les SBOMS :
Lecteur des objets Storage (
roles/storage.objectViewer) : bucket Cloud Storage spécifique
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les SBOM dans la console Google Cloud
Pour afficher les fichiers SBOM et les métadonnées de dépendance associées pour les images de conteneur stockées dans Artifact Registry:
Ouvrez la page Dépôts de l'Artifact Registry.
La page qui s'affiche répertorie vos dépôts.
Dans la liste des dépôts, cliquez sur le nom d'un dépôt.
La page Détails du dépôt s'ouvre et affiche la liste de vos images.
Dans la liste des images, cliquez sur un nom d'image.
La page affiche la liste de vos récapitulatifs d'images.
Dans la liste des condensés d'images, cliquez sur un nom de condensé.
La page affiche une ligne d'onglets, dont l'onglet Overview (Présentation) est ouvert. Il affiche des informations telles que le format, l'emplacement, le dépôt, la taille virtuelle et les tags.
Dans la ligne d'onglets, cliquez sur l'onglet Dépendances.
L'onglet "Dépendances" s'ouvre et affiche les informations suivantes:
- Section SBOM
- Section "Licences"
- Une liste de dépendances filtrable
SBOM
La section récapitulative SBOM affiche les informations suivantes:
- Fichier: nom de fichier du fichier manifeste du composant logiciel (SBOM) cliquable, qui ouvre l'emplacement où votre fichier manifeste du composant logiciel est enregistré dans Cloud Storage.
- Type: type de norme SBOM utilisée, par exemple SPDX (Software Package Data Exchange) ou Cyclone.
- Version: version de la norme SBOM utilisée.
- Généré par: origine des données du SBOM, qu'elles soient générées par l'Artifact Analysis ou importées manuellement.
Licences
La section récapitulative Licences affiche un graphique à barres intitulé Licences les plus courantes. Il s'agit des types de licences qui apparaissent le plus souvent dans vos informations de dépendance. Lorsque vous placez le pointeur sur une barre du graphique, la console affiche le nombre exact d'instances de ce type de licence.
Dépendances
La liste des dépendances affiche le contenu de votre récapitulatif d'images, y compris les éléments suivants:
- Nom du package
- Version du package
- Type de package
- Type de licence
Vous pouvez filtrer la liste des dépendances par l'une de ces catégories.
Afficher les SBOM dans Cloud Build
Si vous utilisez Cloud Build, vous pouvez afficher les métadonnées des images dans le panneau latéral Insights de sécurité de la console Google Cloud.
Le panneau latéral Insights sur la sécurité fournit une vue d'ensemble des informations de sécurité de compilation pour les artefacts stockés dans Artifact Registry. Pour en savoir plus sur le panneau latéral et découvrir comment utiliser Cloud Build pour protéger votre chaîne d'approvisionnement logicielle, consultez Afficher des insights sur la sécurité de la compilation.
Afficher les SBOM avec gcloud CLI
Utilisez la commande gcloud artifacts sbom list pour rechercher des fichiers SBOM stockés dans Cloud Storage. Cette recherche s'applique à tous vos fichiers SBOM dans Cloud Storage, y compris ceux générés par l'Artifact Analysis et ceux que vous choisissez d'importer à partir d'une autre source à l'aide d'un format compatible.
Vous pouvez utiliser des filtres avec la commande gcloud pour affiner les résultats et vous concentrer sur les SBOM les plus pertinents pour un problème de sécurité ou une demande de conformité spécifique.
Par exemple, la commande suivante montre comment obtenir des informations sur le SBOM d'une image Docker my-image stockée dans Artifact Registry:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/my-project/my-repo/my-image:1.0"
Où :
--resourcespécifie l'URI de la ressource image pour laquelle les références de fichier SBOM doivent être listées.
Le résultat inclut les éléments suivants:
- Emplacement Cloud Storage de la SBOM. À l'aide de l'emplacement Cloud Storage, vous pouvez afficher le SBOM dans la gcloud CLI en exécutant la commande gcloud storage cat.
- Indique si le SBOM se trouve toujours dans le bucket Cloud Storage ou s'il a été supprimé.
- Un hachage de la SBOM que vous pouvez utiliser pour vérifier qu'elle n'a pas été modifiée.
Filtres
Vous pouvez filtrer des fichiers SBOM spécifiques à l'aide de l'une des options facultatives suivantes:
| Option | Objectif | Valeur d'entrée |
|---|---|---|
--dependency |
Répertoriez toutes les références de fichiers SBOM pour lesquelles un package spécifié est installé sur une ressource. Consultez la section Types de packages compatibles. | Nom d'un package installé |
--resource |
Répertorie les références de fichiers SBOM associées à une image spécifique. | URI de la ressource |
--resource-prefix |
Liste des références de fichiers SBOM associées au préfixe de chemin d'accès aux ressources. | Chemin de ressource, qui sera utilisé comme préfixe pour la recherche |
Exemples de filtrage
Filtrer les résultats par URI de ressource:
gcloud artifacts sbom list \
--resource="us-east1-docker.pkg.dev/project/repo/my-image@sha256:88b205d7995332e10e836514fbfd59ecaf8976fc15060cd66e85cdcebe7fb356"
Filtrer par préfixe de ressource:
gcloud artifacts sbom list \
--resource-prefix="us-east1-docker.pkg.dev/project/repo"
Limites
- Les informations sur les licences ne sont fournies que pour les packages de système d'exploitation et les packages de langue compatibles.
Étape suivante
- Générez des fichiers SBOM.
- Découvrez comment utiliser les instructions VEX.