Fazer o download de pacotes Java usando o acesso direto ao repositório

Depois de integrar o Assured OSS ao Security Command Center, os pacotes de software Assured Open Source são hospedados em um repositório do Artifact Registry criado em um projeto que você controla.

Esta página explica como se conectar ao repositório do Artifact Registry para Assured OSS para acessar e fazer o download direto dos pacotes Java.

Este documento se aplica apenas ao nível premium do Assured OSS. Para o nível gratuito, consulte Fazer o download de pacotes Java usando o acesso direto ao repositório no nível gratuito.

Antes de começar

  1. Integrar o Assured OSS ao Security Command Center.

  2. Valide a conectividade com o Assured OSS para as contas de serviço solicitadas.

  3. Instale a versão mais recente da Google Cloud CLI.

  4. Se você já instalou a Google Cloud CLI, verifique se tem a versão mais recente executando o comando:

    gcloud components update
    

Configurar a autenticação

O Artifact Registry é compatível com os seguintes métodos de autenticação:

  • Autenticação com um auxiliar de credenciais
  • Autenticação com uma senha

As seções a seguir descrevem como configurar esses métodos de autenticação.

Autenticar com um auxiliar de credenciais

O Artifact Registry oferece um Maven Wagon e um plug-in do Gradle para usar como auxiliares de credenciais. Essa opção oferece a maior flexibilidade.

Para configurar as Application Default Credentials, consulte Configurar a autenticação.

Configurar os auxiliares de credenciais

Se você estiver usando um auxiliar de credenciais para configurar a autenticação, faça as seguintes mudanças com base na ferramenta de build.

Maven

<project>
  <build>
    <extensions>
      <extension>
        <groupId>com.google.cloud.artifactregistry</groupId>
        <artifactId>artifactregistry-maven-wagon</artifactId>
        <version>2.2.0</version>
      </extension>
    </extensions>
  </build>
</project>

Gradle

plugins {
  id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}

Autenticar usando a senha

Autentique usando senha quando o aplicativo Java exigir autenticação com um nome de usuário e uma senha especificados. Dependendo da ferramenta de build, mude as configurações de acordo com as instruções abaixo:

Maven

Adicione as seguintes configurações de autenticação na seção settings do arquivo ~/.m2/settings.xml. Consulte a referência Configurações do Maven para mais informações. Se o arquivo ~/.m2/settings.xml não existir, crie um novo arquivo.

<settings>
  <servers>
    <server>
      <id>artifact-registry</id>
      <configuration>
        <httpConfiguration>
          <get>
            <usePreemptive>true</usePreemptive>
          </get>
          <head>
            <usePreemptive>true</usePreemptive>
          </head>
          <put>
            <params>
              <property>
                <name>http.protocol.expect-continue</name>
                <value>false</value>
              </property>
            </params>
          </put>
        </httpConfiguration>
      </configuration>
      <username>_json_key_base64</username>
      <password>KEY</password>
    </server>
  </servers>
</settings>

Substitua KEY pela codificação base64 do arquivo de chave JSON da conta de serviço. Para isso, execute este comando:

cat KEY_FILE_LOCATION  | base64

Substitua KEY_FILE_LOCATION pelo local do arquivo de chave JSON da conta de serviço.

Gradle

Adicione a linha a seguir ao arquivo ~/.gradle/gradle.properties para que a chave não fique visível nos builds ou no repositório de controle de origem.

artifactRegistryMavenSecret = KEY

Substitua KEY pela chave privada do arquivo de chave JSON da sua conta de serviço. Para json_key_base64, o artifactRegistryMavenSecret contém a senha criptografada em base64. Por exemplo, base64 -w 0 KEY.

No arquivo build.gradle, especifique as configurações do repositório usando o exemplo a seguir:

repositories {
  maven {
    url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
    credentials {
      username = "_json_key_base64"
      password = "$artifactRegistryMavenSecret"
    }
    authentication {
      basic(BasicAuthentication)
    }
  }
}

Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o software de código aberto garantido.

Atualizar o arquivo de configuração do projeto para apontar para o repositório

Maven

Adicione as seguintes configurações à seção apropriada no arquivo pom.xml do seu projeto do Maven. Não substitua as configurações de autenticação.

<project>
  <repositories>
    <repository>
      <id>artifact-registry</id>
      <url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
      <releases>
        <enabled>true</enabled>
      </releases>
      <snapshots>
        <enabled>false</enabled>
      </snapshots>
    </repository>
  </repositories>
</project>

Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o software de código aberto garantido.

Consulte a referência do POM do Maven para saber mais sobre a estrutura do arquivo.

Gradle

Especifique as seguintes configurações do repositório no arquivo build.gradle. Não substitua as configurações de autenticação.

repositories {
  maven {
  url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
  }
}

Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o software de código aberto garantido.

Atualizar o arquivo de configuração do projeto para adicionar dependências

Para fazer o download de um artefato como parte do build, ele precisa ser declarado como uma dependência.

Maven

Declare os pacotes que você quer fazer o download no arquivo pom.xml do projeto do Maven.

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.1</version>
</dependency>

Gradle

Declare os pacotes que você quer fazer o download no arquivo build.gradle.

dependencies {
    compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}

Listar todos os pacotes Java disponíveis no Assured OSS

Para usar uma API e receber uma lista de todos os pacotes Java disponíveis no repositório do Artifact Registry, consulte Listar todos os pacotes Java disponíveis no Security Command Center.

A seguir