Télécharger les packages Java à l'aide de l'accès direct au dépôt

Après avoir intégré Assured OSS à Security Command Center, les packages logiciels Open Source Assured sont hébergés dans un dépôt Artifact Registry dans un projet que vous contrôlez.

Cette page explique comment vous connecter au dépôt Artifact Registry pour Assured OSS pour accéder directement aux packages Java et les télécharger.

Ce document ne s'applique qu'au niveau premium Assured OSS. Pour la version gratuite, consultez Télécharger des packages Java à l'aide d'un accès direct au dépôt pour la version gratuite.

Avant de commencer

  1. Intégration d'Assured OSS avec Security Command Center.

  2. Valider la connectivité à Assured OSS pour les comptes de service demandés.

  3. Installez la dernière version de la Google Cloud CLI.

  4. Si vous avez déjà installé la Google Cloud CLI, assurez-vous de disposer de la la dernière version en exécutant la commande suivante:

    gcloud components update
    

Configurer l'authentification

Artifact Registry est compatible avec les méthodes d'authentification suivantes:

  • Authentification avec un assistant d'identification
  • Authentification par mot de passe

Les sections suivantes expliquent comment configurer ces méthodes d'authentification.

S'authentifier à l'aide d'un assistant d'identification

Artifact Registry fournit un wagon Maven et un plug-in Gradle à utiliser comme assistants d'identification. Cette option offre la plus grande flexibilité.

Pour configurer les identifiants par défaut de l'application, consultez Configurez l'authentification.

Configurer vos assistants d'identification

Si vous utilisez un assistant d'identifiants pour configurer l'authentification, apportez les modifications suivantes en fonction de l'outil de compilation.

Maven

<project>
  <build>
    <extensions>
      <extension>
        <groupId>com.google.cloud.artifactregistry</groupId>
        <artifactId>artifactregistry-maven-wagon</artifactId>
        <version>2.2.0</version>
      </extension>
    </extensions>
  </build>
</project>

Gradle

plugins {
  id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}

S'authentifier avec un mot de passe

Authentifiez-vous à l'aide d'un mot de passe lorsque votre application Java nécessite une authentification avec un nom d'utilisateur et un mot de passe donnés. En fonction de votre outil de compilation, modifiez les paramètres comme suit:

Maven

Ajoutez les paramètres d'authentification suivants dans la section settings du ~/.m2/settings.xml. Pour en savoir plus, consultez la documentation de référence sur les paramètres Maven. des informations. Si le fichier ~/.m2/settings.xml n'existe pas, créez-en un.

<settings>
  <servers>
    <server>
      <id>artifact-registry</id>
      <configuration>
        <httpConfiguration>
          <get>
            <usePreemptive>true</usePreemptive>
          </get>
          <head>
            <usePreemptive>true</usePreemptive>
          </head>
          <put>
            <params>
              <property>
                <name>http.protocol.expect-continue</name>
                <value>false</value>
              </property>
            </params>
          </put>
        </httpConfiguration>
      </configuration>
      <username>_json_key_base64</username>
      <password>KEY</password>
    </server>
  </servers>
</settings>

Remplacez KEY par l'encodage base64 de l'intégralité du fichier de clé JSON du compte de service. Pour ce faire, exécutez la commande suivante :

cat KEY_FILE_LOCATION  | base64

Remplacez KEY_FILE_LOCATION par l'emplacement de la clé JSON du compte de service. .

Gradle

Ajoutez la ligne suivante à votre fichier ~/.gradle/gradle.properties afin que la clé ne soit pas visible dans vos builds ni dans votre dépôt de gestion de code source.

artifactRegistryMavenSecret = KEY

Remplacez KEY par la clé privée du fichier de clé JSON de votre compte de service. Pour json_key_base64, artifactRegistryMavenSecret contient le mot de passe chiffré en base64. Par exemple, base64 -w 0 KEY.

Dans le fichier build.gradle, spécifiez les paramètres du dépôt à l'aide de l'exemple suivant:

repositories {
  maven {
    url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
    credentials {
      username = "_json_key_base64"
      password = "$artifactRegistryMavenSecret"
    }
    authentication {
      basic(BasicAuthentication)
    }
  }
}

Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lorsque vous avez configuré le logiciel Open Source Assured.

Mettre à jour le fichier de configuration du projet pour qu'il pointe vers le dépôt

Maven

Ajoutez les paramètres suivants à la section appropriée du fichier pom.xml pour dans votre projet Maven. Ne remplacez pas les paramètres d'authentification.

<project>
  <repositories>
    <repository>
      <id>artifact-registry</id>
      <url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
      <releases>
        <enabled>true</enabled>
      </releases>
      <snapshots>
        <enabled>false</enabled>
      </snapshots>
    </repository>
  </repositories>
</project>

Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured Open Source Software.

Consultez la documentation de référence de l'API POM Maven pour des détails sur la structure du fichier.

Gradle

Spécifiez les paramètres de dépôt suivants dans votre fichier build.gradle. Ne remplacez pas les paramètres d'authentification.

repositories {
  maven {
  url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
  }
}

Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lorsque vous avez configuré le logiciel Open Source Assured.

Mettre à jour le fichier de configuration du projet pour ajouter des dépendances

Pour télécharger un artefact dans votre build, l'artefact doit être déclaré en tant que dépendance.

Maven

Déclarez les packages que vous souhaitez télécharger dans le fichier pom.xml de votre projet Maven.

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.1</version>
</dependency>

Gradle

Déclarez les packages que vous souhaitez télécharger dans votre fichier build.gradle.

dependencies {
    compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}

Répertorier tous les packages Java disponibles dans Assured OSS

Pour utiliser une API afin d'obtenir la liste de tous les packages Java disponibles dans le dépôt Artifact Registry, consultez la page Lister tous les packages Java disponibles dans Security Command Center.

Étape suivante