Après avoir intégré Assured OSS à Security Command Center, les packages logiciels Open Source Assured sont hébergés dans un dépôt Artifact Registry dans un projet que vous contrôlez.
Cette page explique comment vous connecter au dépôt Artifact Registry pour Assured OSS pour accéder directement aux packages Java et les télécharger.
Ce document ne s'applique qu'au niveau payant Assured OSS. Pour version gratuite, consultez la section Télécharger des packages Java à l'aide de l'accès direct au dépôt pour la version gratuite.
Avant de commencer
Valider la connectivité à Assured OSS pour les comptes de service demandés.
Installez la dernière version de la Google Cloud CLI.
Si vous avez déjà installé la Google Cloud CLI, assurez-vous de disposer de la la dernière version en exécutant la commande suivante:
gcloud components update
Configurer l'authentification
Artifact Registry est compatible avec les méthodes d'authentification suivantes:
- Authentification avec un assistant d'identification
- Authentification par mot de passe
Les sections suivantes décrivent comment configurer ces méthodes d'authentification.
S'authentifier avec un assistant d'identification
Artifact Registry fournit Wagon Maven et un Plug-in Gradle à utiliser comme aide à la connexion. C'est cette option qui offre le plus de flexibilité.
Pour configurer les identifiants par défaut de l'application, consultez Configurez l'authentification.
Configurer vos assistants d'identification
Si vous utilisez un assistant d'identification pour configurer l'authentification, effectuez les actions suivantes : en fonction de l'outil de compilation.
Maven
<project>
<build>
<extensions>
<extension>
<groupId>com.google.cloud.artifactregistry</groupId>
<artifactId>artifactregistry-maven-wagon</artifactId>
<version>2.2.0</version>
</extension>
</extensions>
</build>
</project>
Gradle
plugins {
id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}
S'authentifier avec un mot de passe
S'authentifier avec mot de passe si votre L'application Java nécessite une authentification avec un nom d'utilisateur et un mot de passe spécifiés. En fonction de votre outil de compilation, modifiez les paramètres comme suit:
Maven
Ajoutez les paramètres d'authentification suivants dans la section settings du
~/.m2/settings.xml. Pour en savoir plus, consultez la documentation de référence sur les paramètres Maven.
des informations. Si le fichier ~/.m2/settings.xml n'existe pas, créez un
.
<settings>
<servers>
<server>
<id>artifact-registry</id>
<configuration>
<httpConfiguration>
<get>
<usePreemptive>true</usePreemptive>
</get>
<head>
<usePreemptive>true</usePreemptive>
</head>
<put>
<params>
<property>
<name>http.protocol.expect-continue</name>
<value>false</value>
</property>
</params>
</put>
</httpConfiguration>
</configuration>
<username>_json_key_base64</username>
<password>KEY</password>
</server>
</servers>
</settings>
Remplacez KEY par l'encodage en base64 de l'ensemble du service.
fichier de clé JSON du compte. Pour ce faire, exécutez la commande suivante :
cat KEY_FILE_LOCATION | base64
Remplacez KEY_FILE_LOCATION par l'emplacement de la clé JSON du compte de service. .
Gradle
Ajoutez la ligne suivante à votre fichier ~/.gradle/gradle.properties pour que
la clé n'est pas visible dans vos compilations ni dans votre dépôt de contrôle des sources.
artifactRegistryMavenSecret = KEY
Remplacez KEY par la clé privée issue du fichier JSON de votre compte de service.
fichier de clé. Pour json_key_base64, artifactRegistryMavenSecret contient le
avec un mot de passe chiffré en base64. Par exemple, base64 -w 0 KEY.
Dans le fichier build.gradle, spécifiez les paramètres du dépôt à l'aide de l'exemple suivant:
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
credentials {
username = "_json_key_base64"
password = "$artifactRegistryMavenSecret"
}
authentication {
basic(BasicAuthentication)
}
}
}
Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured Open Source Software.
Mettre à jour le fichier de configuration du projet pour qu'il pointe vers le dépôt
Maven
Ajoutez les paramètres suivants à la section appropriée du fichier pom.xml pour
dans votre projet Maven. Ne remplacez pas les paramètres d'authentification.
<project>
<repositories>
<repository>
<id>artifact-registry</id>
<url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
</project>
Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured Open Source Software.
Consultez la documentation de référence de l'API POM Maven pour des détails sur la structure du fichier.
Gradle
Spécifiez les paramètres de dépôt suivants dans le fichier build.gradle. À ne pas faire
remplacez les paramètres d'authentification.
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
}
}
Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured Open Source Software.
Mettre à jour le fichier de configuration du projet pour ajouter des dépendances
Pour télécharger un artefact dans votre build, l'artefact doit être déclaré en tant que dépendance.
Maven
Déclarez les packages que vous souhaitez télécharger dans le fichier pom.xml pour votre
Projet Maven.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
Gradle
Déclarez les packages que vous souhaitez télécharger dans votre fichier build.gradle.
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}
Répertorier tous les packages Java disponibles dans Assured OSS
Pour utiliser un API pour obtenir la liste de tous les packages Java disponibles dans Artifact Registry consultez Répertoriez tous les packages Java disponibles dans Security Command Center.
Étape suivante
- Télécharger des packages Python à l'aide d'un accès direct au dépôt avec le niveau payant
- Accéder aux métadonnées de sécurité et vérifier les packages au niveau payant