Descarga paquetes de Go con acceso directo al repositorio

Después de integrar Assured OSS con Security Command Center, los paquetes de Software de código abierto asegurado se alojan en un repositorio de Artifact Registry que se crea en un proyecto que controlas.

En este documento, se explica cómo puedes conectarte al repositorio de Artifact Registry para Assured OSS y acceder directamente a los paquetes de Go y descargarlos.

Este documento solo se aplica al nivel premium de OSS asegurado. Para el nivel gratuito, consulta Descarga paquetes de Go con acceso directo al repositorio para el nivel gratuito.

Antes de comenzar

1. Para obtener los permisos que necesitas para obtener la cadena codificada en base64 de la clave de la cuenta de servicio, pídele a tu administrador que te otorgue el rol de IAM de administrador de claves de cuentas de servicio (roles/iam.serviceAccountKeyAdmin) en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

   También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

2. Integra Assured OSS con Security Command Center.
3. Valida la conectividad a Security Command Center para las cuentas de servicio solicitadas.
4. Instala la versión más reciente de Google Cloud CLI.

5. Si ya instalaste Google Cloud CLI, ejecuta este comando para verificar que tengas la versión más reciente:

   gcloud components update

Configura la autenticación

Para configurar la autenticación, consulta Configura la autenticación para Go.

Descarga paquetes de Go

1. En gcloud CLI, instala Go 1.15 o una versión posterior.

2. Instala el complemento de gcloud CLI para Go:

   gcloud components install package-go-module
   

3. Indica a Go que descargue módulos del repositorio de Assured OSS:

   export GOPROXY=https://us-go.pkg.dev/PROJECT_ID/assuredoss-go
   

   Reemplaza PROJECT_ID por el ID del proyecto que seleccionaste cuando configuraste Assured OSS.

4. Excluye el módulo que estás desarrollando de la verificación con la base de datos pública de sumas de comprobación:

   export GONOSUMDB=MODULE_PATH_REGEX
   

5. Agrega tus credenciales de Artifact Registry a tu archivo netrc con el auxiliar de credenciales de Go:

   GOPROXY=proxy.golang.org \
     go run github.com/GoogleCloudPlatform/artifact-registry-go-tools/cmd/auth@v0.1.0 \
     add-locations --locations=us \
     --json_key=KEY_FILENAME.json
   

¿Qué sigue?

• Accede a los metadatos de seguridad y verifica los paquetes en el nivel Premium.
• Revisa la lista de paquetes de Go admitidos.