Dopo aver integrato Assured OSS con Security Command Center, i pacchetti Assured Open Source Software vengono ospitati in un repository Artifact Registry creato in un progetto sotto il tuo controllo.
Questa pagina spiega come connetterti al repository Artifact Registry per Assured OSS per accedere direttamente e scaricare i pacchetti Java.
Questo documento si applica solo al livello premium di Assured OSS. Per il livello gratuito, consulta Scaricare i pacchetti Java utilizzando l'accesso diretto al repository per il livello gratuito.
Prima di iniziare
Convalida la connettività ad Assured OSS per gli account di servizio richiesti.
Installa la versione più recente di Google Cloud CLI.
Se hai già installato Google Cloud CLI, assicurati di avere la versione più recente eseguendo il comando:
gcloud components update
Configura l'autenticazione
Artifact Registry supporta i seguenti metodi di autenticazione:
- Autenticazione con un helper per le credenziali
- Autenticazione con una password
Le sezioni seguenti descrivono come configurare questi metodi di autenticazione.
Autenticazione con un'utilità per le credenziali
Artifact Registry fornisce un wagon Maven e un plug-in Gradle da utilizzare come helper per le credenziali. Questa opzione offre la massima flessibilità.
Per configurare le credenziali predefinite dell'applicazione, consulta Configurare l'autenticazione.
Configurare gli aiuti per le credenziali
Se utilizzi un helper per le credenziali per configurare l'autenticazione, apporta le seguenti modifiche in base allo strumento di compilazione.
Maven
<project>
<build>
<extensions>
<extension>
<groupId>com.google.cloud.artifactregistry</groupId>
<artifactId>artifactregistry-maven-wagon</artifactId>
<version>2.2.0</version>
</extension>
</extensions>
</build>
</project>
Gradle
plugins {
id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.0"
}
Esegui l'autenticazione tramite password
Esegui l'autenticazione utilizzando la password quando la tua applicazione Java richiede l'autenticazione con un nome utente e una password specificati. A seconda dello strumento di compilazione, modifica le impostazioni in base alle seguenti istruzioni:
Maven
Aggiungi le seguenti impostazioni di autenticazione nella sezione settings del
~/.m2/settings.xml file. Per ulteriori informazioni, consulta la documentazione di riferimento sulle impostazioni Maven. Se il file ~/.m2/settings.xml non esiste, creane uno nuovo.
<settings>
<servers>
<server>
<id>artifact-registry</id>
<configuration>
<httpConfiguration>
<get>
<usePreemptive>true</usePreemptive>
</get>
<head>
<usePreemptive>true</usePreemptive>
</head>
<put>
<params>
<property>
<name>http.protocol.expect-continue</name>
<value>false</value>
</property>
</params>
</put>
</httpConfiguration>
</configuration>
<username>_json_key_base64</username>
<password>KEY</password>
</server>
</servers>
</settings>
Sostituisci KEY con la codifica base64 dell'intero file JSON della chiave dell'account di servizio. Per farlo, esegui il seguente comando:
cat KEY_FILE_LOCATION | base64
Sostituisci KEY_FILE_LOCATION con la posizione del file JSON della chiave dell'account di servizio.
Gradle
Aggiungi la seguente riga al file ~/.gradle/gradle.properties in modo che la chiave non sia visibile nelle build o nel repository di controllo del codice sorgente.
artifactRegistryMavenSecret = KEY
Sostituisci KEY con la chiave privata del file JSON della chiave
dell'account di servizio. Per json_key_base64, artifactRegistryMavenSecret contiene la password criptata in base64. Ad esempio: base64 -w 0 KEY.
Nel file build.gradle, specifica le impostazioni del repository utilizzando il seguente esempio:
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
credentials {
username = "_json_key_base64"
password = "$artifactRegistryMavenSecret"
}
authentication {
basic(BasicAuthentication)
}
}
}
Sostituisci PROJECT_ID con l'ID del progetto selezionato durante la configurazione di Assured Open Source Software.
Aggiorna il file di configurazione del progetto in modo che indichi il repository
Maven
Aggiungi le seguenti impostazioni alla sezione appropriata del file pom.xml per il tuo progetto Maven. Non sostituire le impostazioni di autenticazione.
<project>
<repositories>
<repository>
<id>artifact-registry</id>
<url>artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
</project>
Sostituisci PROJECT_ID con l'ID del progetto selezionato durante la configurazione di Assured Open Source Software.
Per maggiori dettagli sulla struttura del file, consulta la documentazione di riferimento POM di Maven.
Gradle
Specifica le seguenti impostazioni del repository nel file build.gradle. Non
sostituire le impostazioni di autenticazione.
repositories {
maven {
url "artifactregistry://us-maven.pkg.dev/PROJECT_ID/assuredoss-java"
}
}
Sostituisci PROJECT_ID con l'ID del progetto selezionato durante la configurazione di Assured Open Source Software.
Aggiorna il file di configurazione del progetto per aggiungere le dipendenze
Per scaricare un elemento nell'ambito della compilazione, questo deve essere dichiarato come dipendenza.
Maven
Dichiara i pacchetti che vuoi scaricare nel file pom.xml per il tuo progetto Maven.
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
Gradle
Dichiara i pacchetti che vuoi scaricare nel file build.gradle.
dependencies {
compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.17.1'
}
Elenca tutti i pacchetti Java disponibili in Assured OSS
Per utilizzare un'API per ottenere un elenco di tutti i pacchetti Java disponibili nel repository Artifact Registry, consulta Elenca tutti i pacchetti Java disponibili in Security Command Center.
Passaggi successivi
- Scaricare i pacchetti Python utilizzando l'accesso diretto al repository nel livello Premium
- Accedere ai metadati di sicurezza e verificare i pacchetti nel livello premium