Ringkasan pengelolaan metadata

Halaman ini memperkenalkan konsep utama untuk pengelolaan metadata dan pentingnya dalam rantai distribusi software yang aman.

Salah satu aspek dari supply chain yang aman adalah melacak masa pakai artefak software. Untuk tujuan kepatuhan, informasi pelacakan ini mungkin harus tersedia bahkan setelah artefak dihentikan. Hal ini dapat dicapai dengan membuat dan menyimpan metadata yang mendeskripsikan peristiwa penting tentang artefak atau resource software: image container, virtual machine, atau paket software.

Analisis Artefak memungkinkan Anda menyimpan informasi metadata yang terkait dengan resource. Metadata ini nantinya dapat diambil untuk mengaudit rantai pasok software Anda.

Cara Artifact Analysis menyimpan metadata

Analisis Artefak dibuat berdasarkan Grafeas, API metadata komponen open source yang dapat berfungsi sebagai sumber tepercaya terpusat untuk melacak dan menerapkan kebijakan. Alat build, audit, dan kepatuhan dapat menggunakan Grafeas untuk menyimpan, membuat kueri, dan mengambil metadata komprehensif tentang komponen software.

Karena Grafeas bersifat open source, Anda tidak terikat dengan vendor tertentu. Grafeas mengaitkan metadata menggunakan ID software yang unik. Hal ini memisahkan penyimpanan artefak, sehingga Anda dapat menyimpan metadata tentang komponen dari berbagai repositori. Prinsip yang sama berlaku untuk Analisis Artefak, Anda dapat menggunakannya sebagai penyimpanan metadata universal terpusat untuk komponen software di Artifact Registry atau lokasi lainnya.

Model Grafeas melibatkan dua entitas:

  • Penyedia yang membuat metadata yang disimpan dalam catatan.
  • Pelanggan yang mengidentifikasi apakah metadata yang disimpan dalam catatan berlaku untuk artefak mereka. Jika demikian, metadata akan direpresentasikan sebagai kejadian catatan.

Catatan

Catatan menjelaskan bagian metadata tingkat tinggi. Misalnya, Anda dapat membuat catatan tentang kerentanan tertentu untuk paket Linux. Anda juga dapat menggunakan catatan untuk menyimpan informasi tentang builder proses build. Penyedia yang melakukan analisis biasanya memiliki dan membuat catatan. Pelanggan yang ingin menggunakan metadata kemudian dapat mengidentifikasi kemunculan catatan dalam project mereka.

Sebaiknya simpan catatan dan kemunculan dalam project terpisah, sehingga memungkinkan kontrol akses yang lebih terperinci.

Catatan hanya boleh diedit oleh pemilik catatan, dan hanya dapat dibaca oleh pelanggan yang memiliki akses ke kemunculan yang mereferensikannya.

Kejadian

Kejadian mewakili kapan catatan ditemukan di artefak software; hal ini dapat dianggap sebagai pembuatan instance catatan. Misalnya, kemunculan catatan tentang kerentanan akan menjelaskan paket tempat kerentanan ditemukan dan langkah-langkah perbaikan tertentu. Atau, kemunculan catatan tentang detail build akan menjelaskan image container yang dihasilkan dari build.

Biasanya, kemunculan disimpan dalam project terpisah dari project tempat catatan dibuat. Akses tulis ke kemunculan hanya boleh diberikan kepada pengguna yang memiliki akses untuk menautkan catatan ke kemunculan. Setiap pengguna dapat memiliki akses baca ke kejadian.

Jenis metadata yang didukung

Tabel berikut mencantumkan jenis metadata yang didukung Analisis Artefak. Penyedia metadata pihak ketiga dapat menyimpan dan mengambil semua jenis metadata berikut untuk gambar pelanggan mereka.

Jenis metadata Penggunaan di layanan Google Cloud
Vulnerability memberikan informasi kerentanan untuk file yang diaudit. Analisis Artefak menghasilkan kemunculan kerentanan berdasarkan database eksternal masalah keamanan yang diungkapkan secara publik.
Build memberikan informasi tentang asal build. Cloud Build membuat metadata ini dan Analisis Artefak menyimpan informasi jika Anda menggunakan Cloud Build untuk mem-build image.
Image adalah metadata tentang image penampung, misalnya, informasi tentang berbagai lapisan gambar.
Paket berisi informasi tentang paket yang diinstal dalam image Anda.
Deployment memberikan informasi tentang peristiwa deployment image.
Penemuan berisi informasi tentang pemindaian awal gambar. Artifact Analysis memberikan informasi ini hanya untuk pemindaian kerentanan.
Pengesahan berisi informasi sertifikasi gambar. Ya. Otorisasi Biner membaca informasi ini dan dapat menggunakannya untuk mengontrol deployment.
Upgrade, yang menjelaskan upgrade paket yang tersedia.
Kepatuhan, yang memberikan informasi tentang pemeriksaan kepatuhan.
Pembuktian DSSE, yang menjelaskan pengesahan yang menggunakan tanda tangan Dead Simple Signing Envelope.
Penilaian kerentanan menyimpan pernyataan VEX yang diupload dalam format catatan VulnerabilityAssessment Grafeas.
Referensi SBOM memberikan metadata tambahan untuk membantu Anda menemukan dan memverifikasi SBOM.

Langkah selanjutnya