Nachdem Sie Assured OSS in Security Command Center eingebunden haben, werden Assured Open-Source-Softwarepakete in einem Artifact Registry-Repository gehostet, das in einem von Ihnen verwalteten Projekt erstellt wird.
Auf dieser Seite wird erläutert, wie Sie eine Verbindung zum Artifact Registry-Repository herstellen, damit Assured OSS direkt auf die Java-Pakete zugreifen und diese herunterladen kann.
Dieses Dokument gilt nur für die kostenpflichtige Assured OSS-Stufe. Informationen zur kostenlosen Stufe finden Sie unter Java-Pakete mit direktem Repository-Zugriff für die kostenlose Stufe herunterladen.
Hinweise
Prüfen Sie die Verbindung zu Assured OSS für die angeforderten Dienstkonten.
Installieren Sie die neueste Version der Google Cloud CLI.
Wenn Sie die Google Cloud CLI bereits installiert haben, prüfen Sie mit dem folgenden Befehl, ob Sie die neueste Version haben:
gcloud components update
Authentifizierung einrichten
Artifact Registry unterstützt die folgenden Authentifizierungsmethoden:
- Authentifizierung mit Credential Helper
- Authentifizierung mit einem Passwort
In den folgenden Abschnitten wird beschrieben, wie Sie diese Authentifizierungsmethoden einrichten.
Mit Credential Helper authentifizieren
Artifact Registry bietet einen Maven-Wagon und ein Gradle-Plug-in zur Verwendung als Credential Helper. Diese Option bietet die größte Flexibilität.
Informationen zum Einrichten von Standardanmeldedaten für Anwendungen finden Sie unter Authentifizierung einrichten.
Credential Helper einrichten
Wenn Sie Credential Helper zum Einrichten der Authentifizierung verwenden, nehmen Sie die folgenden Änderungen basierend auf dem Build-Tool vor.
Maven
<project>
<build>
<extensions>
<extension>
<groupId>com.google.cloud.artifactregistry</groupId>
<artifactId>artifactregistry-maven-wagon</artifactId>
<version>2.2.0</version>
</extension>
</extensions>
</build>
</project>
Gradle
plugins {
id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}
Mit Passwort authentifizieren
Mit Passwort authentifizieren, wenn Ihre Java-Anwendung eine Authentifizierung mit einem angegebenen Nutzernamen und Passwort erfordert Ändern Sie die Einstellungen je nach Erstellungstool folgendermaßen:
Maven
Fügen Sie im Abschnitt settings der Datei ~/.m2/settings.xml die folgenden Authentifizierungseinstellungen hinzu. Weitere Informationen finden Sie in der Referenz zu den Maven-Einstellungen. Wenn die Datei ~/.m2/settings.xml nicht vorhanden ist, erstellen Sie eine neue Datei.
<settings>
<servers>
<server>
<id>artifact-registry</id>
<configuration>
<httpConfiguration>
<get>
<usePreemptive>true</usePreemptive>
</get>
<head>
<usePreemptive>true</usePreemptive>
</head>
<put>
<params>
<property>
<name>http.protocol.expect-continue</name>
<value>false</value>
</property>
</params>
</put>
</httpConfiguration>
</configuration>
<username>_json_key_base64</username>
<password>KEY</password>
</server>
</servers>
</settings>
Ersetzen Sie KEY durch die base64-Codierung der gesamten JSON-Schlüsseldatei des Dienstkontos. Führen Sie hierzu den folgenden Befehl aus:
cat KEY_FILE_LOCATION | base64
Ersetzen Sie KEY_FILE_LOCATION durch den Speicherort der JSON-Schlüsseldatei des Dienstkontos.
Gradle
Fügen Sie der Datei ~/.gradle/gradle.properties die folgende Zeile hinzu, damit der Schlüssel in Ihren Builds oder im Repository der Versionsverwaltung nicht sichtbar ist.
artifactRegistryMavenSecret = KEY
Ersetzen Sie KEY durch den privaten Schlüssel aus der JSON-Schlüsseldatei Ihres Dienstkontos. Bei json_key_base64 enthält artifactRegistryMavenSecret das base64-verschlüsselte Passwort. Beispiel: base64 -w 0 KEY
Geben Sie in der Datei build.gradle die Repository-Einstellungen anhand des folgenden Beispiels an:
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
credentials {
username = "_json_key_base64"
password = "$artifactRegistryMavenSecret"
}
authentication {
basic(BasicAuthentication)
}
}
}
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Projektkonfigurationsdatei so aktualisieren, dass sie auf das Repository verweist
Maven
Fügen Sie dem entsprechenden Abschnitt in der Datei pom.xml für Ihr Maven-Projekt die folgenden Einstellungen hinzu. Ersetzen Sie nicht die Authentifizierungseinstellungen.
<project>
<repositories>
<repository>
<id>artifact-registry</id>
<url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
</project>
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Details zur Struktur der Datei finden Sie in der POM-Referenz zu Maven.
Gradle
Geben Sie in der Datei build.gradle die folgenden Repository-Einstellungen an. Ersetzen Sie die Authentifizierungseinstellungen nicht.
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
}
}
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das Sie beim Einrichten von Assured Open Source Software ausgewählt haben.
Projektkonfigurationsdatei aktualisieren, um Abhängigkeiten hinzuzufügen
Zum Herunterladen eines Artefakts als Teil Ihres Builds muss das Artefakt als Abhängigkeit deklariert werden.
Maven
Deklarieren Sie die Pakete, die Sie herunterladen möchten, in der Datei pom.xml für Ihr Maven-Projekt.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
Gradle
Deklarieren Sie die Pakete, die Sie herunterladen möchten, in der Datei build.gradle.
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}
Alle in Assured OSS verfügbaren Java-Pakete auflisten
Informationen zum Abrufen einer Liste aller im Artifact Registry-Repository verfügbaren Java-Pakete API finden Sie unter Alle in Security Command Center verfügbaren Java-Pakete auflisten.
Nächste Schritte
- Python-Pakete mit direktem Repository-Zugriff in der kostenpflichtigen Stufe herunterladen
- Auf Sicherheitsmetadaten zugreifen und Pakete in der kostenpflichtigen Stufe prüfen