Después de integrar Assured OSS con Security Command Center, los paquetes de software de código abierto garantizado están alojados en Artifact Registry. que se crea en un proyecto que tú controlas.
En esta página, se explica cómo puedes conectarte al repositorio de Artifact Registry para Assured OSS para acceder directamente a los paquetes de Java y descargarlos
Este documento se aplica solo al nivel pagado de Assured OSS. Para el nivel gratuito, consulta Descargar paquetes de Java con acceso directo al repositorio para el nivel gratuito.
Antes de comenzar
Valida la conectividad a Assured OSS para las cuentas de servicio solicitadas.
Instala la versión más reciente de Google Cloud CLI.
Si instalaste Google Cloud CLI anteriormente, asegúrate de tener el a la última versión ejecutando el siguiente comando:
gcloud components update
Configura la autenticación
Artifact Registry admite los siguientes métodos de autenticación:
- Autenticación con un auxiliar de credenciales
- Autenticación con una contraseña
En las siguientes secciones, se describe cómo configurar estos métodos de autenticación.
Autentica con un auxiliar de credenciales
Artifact Registry proporciona un Wagon de Maven y un Complemento de Gradle para usar como asistentes de credenciales. Esta opción proporciona la mayor flexibilidad.
Para configurar las credenciales predeterminadas de la aplicación, consulta Configura la autenticación.
Cómo configurar auxiliares de credenciales
Si usas un auxiliar de credenciales para configurar la autenticación, haz lo siguiente: cambios basados en la herramienta de compilación.
Maven
<project>
<build>
<extensions>
<extension>
<groupId>com.google.cloud.artifactregistry</groupId>
<artifactId>artifactregistry-maven-wagon</artifactId>
<version>2.2.0</version>
</extension>
</extensions>
</build>
</project>
Gradle
plugins {
id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}
Autentica con una contraseña
Autentícate mediante contraseña cuando La aplicación de Java requiere autenticación con un nombre de usuario y una contraseña especificados. Según tu herramienta de compilación, cambia la configuración de acuerdo con las siguientes instrucciones:
Maven
Agrega la siguiente configuración de autenticación en la sección settings de la
~/.m2/settings.xml archivo. Consulta la referencia de Configuración de Maven para obtener más información.
información. Si el archivo ~/.m2/settings.xml no existe, crea uno nuevo.
.
<settings>
<servers>
<server>
<id>artifact-registry</id>
<configuration>
<httpConfiguration>
<get>
<usePreemptive>true</usePreemptive>
</get>
<head>
<usePreemptive>true</usePreemptive>
</head>
<put>
<params>
<property>
<name>http.protocol.expect-continue</name>
<value>false</value>
</property>
</params>
</put>
</httpConfiguration>
</configuration>
<username>_json_key_base64</username>
<password>KEY</password>
</server>
</servers>
</settings>
Reemplaza KEY por la codificación en base64 de todo el servicio
de claves JSON. Para hacer esto, ejecuta el siguiente comando:
cat KEY_FILE_LOCATION | base64
Reemplaza KEY_FILE_LOCATION por la ubicación de la clave JSON de la cuenta de servicio. .
Gradle
Agrega la siguiente línea a tu archivo ~/.gradle/gradle.properties para que
La clave no se puede ver en tus compilaciones ni en el repositorio de control de código fuente.
artifactRegistryMavenSecret = KEY
Reemplaza KEY por la clave privada de tu cuenta de servicio JSON.
de claves. En el caso de json_key_base64, artifactRegistryMavenSecret contiene lo siguiente:
contraseña encriptada en Base64. Por ejemplo, base64 -w 0 KEY.
En el archivo build.gradle, especifica la configuración del repositorio con el siguiente ejemplo:
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
credentials {
username = "_json_key_base64"
password = "$artifactRegistryMavenSecret"
}
authentication {
basic(BasicAuthentication)
}
}
}
Reemplaza PROJECT_ID por el ID del proyecto que seleccionaste cuando configuraste el Software de código abierto garantizado.
Actualiza el archivo de configuración del proyecto para que apunte al repositorio
Maven
Agrega la siguiente configuración a la sección correspondiente en el archivo pom.xml de
tu proyecto de Maven. No reemplaces la configuración de autenticación.
<project>
<repositories>
<repository>
<id>artifact-registry</id>
<url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
</project>
Reemplaza PROJECT_ID por el ID del proyecto que seleccionaste cuando configuraste el Software de código abierto garantizado.
Consulta la referencia de POM de Maven para más detalles sobre la estructura del archivo.
Gradle
Especifica la siguiente configuración de repositorio en tu archivo build.gradle. Lo que no debes hacer
la configuración de autenticación.
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
}
}
Reemplaza PROJECT_ID por el ID del proyecto que seleccionaste cuando configuraste el Software de código abierto garantizado.
Actualiza el archivo de configuración del proyecto para agregar dependencias
Para descargar un artefacto como parte de tu compilación, debes declararlo. como una dependencia.
Maven
Declara los paquetes que deseas descargar en el archivo pom.xml para tu
en el proyecto de Maven.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
Gradle
Declara los paquetes que deseas descargar en el archivo build.gradle.
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}
Obtén una lista de todos los paquetes de Java disponibles en Assured OSS
Para usar un API para obtener una lista de todos los paquetes de Java disponibles en Artifact Registry repositorio, consulta Enumera todos los paquetes de Java disponibles en Security Command Center.
¿Qué sigue?
- Descarga paquetes de Python mediante el acceso directo al repositorio en el nivel pagado
- Accede a los metadatos de seguridad y verifica los paquetes en el nivel pagado