Nachdem Sie Assured OSS in Security Command Center einbinden Assured Open-Source-Softwarepakete sind in einem Artifact Registry-Repository gehostet werden, das in einem von Ihnen Steuerung.
Auf dieser Seite wird erläutert, wie Sie eine Verbindung zum Artifact Registry-Repository für Assured OSS für den direkten Zugriff auf und das Herunterladen der Python-Pakete.
Dieses Dokument gilt nur für die Premium-Stufe von Assured OSS. Informationen zur kostenlosen Stufe finden Sie unter Python-Pakete mit direktem Repositoryzugriff für die kostenlose Stufe herunterladen.
Hinweis
Assurance-basiertes Betriebsunterstützungssystem in Security Command Center einbinden
Konnektivität validieren zu Assured OSS für die angeforderten Dienstkonten.
Installieren Sie die neueste Version der Google Cloud CLI.
Wenn Sie die Google Cloud CLI bereits installiert haben, benötigen Sie die mit dem folgenden Befehl aktualisieren:
gcloud components update
Authentifizierung einrichten
Sie können sich beim Assured OSS-Python-Paket authentifizieren mit einer der folgenden Methoden:
- Mit einem Schlüsselbund authentifizieren
- Mit einem Dienstkontoschlüssel authentifizieren
In den folgenden Abschnitten wird beschrieben, wie Sie diese Authentifizierungsmethoden einrichten.
Mit Schlüsselbund authentifizieren
So verwenden Sie den Python-Schlüsselbund für: sich bei Artifact Registry authentifizieren zu müssen, siehe Authentifizierung mit Schlüsselbund und die Informationen zur Anmeldedatensuche Auftrag an. Wir empfehlen, für die Authentifizierung den Python-Schlüsselbund zu verwenden.
So richten Sie den Schlüsselbund für die Authentifizierung ein:
Installieren Sie die
keyring-Bibliothek:pip install keyringInstallieren Sie das Artifact Registry-Back-End:
pip install keyrings.google-artifactregistry-authListen Sie die Back-Ends auf, um die Installation zu bestätigen:
keyring --list-backendsDie Liste sollte Folgendes enthalten:
ChainerBackend(priority:10)GooglePythonAuth(priority:9)
Informationen zum Einrichten von Standardanmeldedaten für Anwendungen Siehe Authentifizierung einrichten.
Mit diesem Schritt wird sichergestellt, dass Assured OSS Credential Helper ruft Ihren Schlüssel ab, wenn eine Verbindung zu den Repositories hergestellt wird.
Mit einem Dienstkontoschlüssel authentifizieren
Authentifizieren Sie sich mit einem Dienstkontoschlüssel, wenn die Anwendung eine Authentifizierung mit einem Nutzernamen und einem Passwort erfordert.
Ersetzen Sie die URL des Paket-Repositorys https://us-python.pkg.dev/PROJECT_ID/assuredoss-python/simple durch die URL https://_json_key_base64:BASE64_KEY@us-python.pkg.dev/PROJECT_ID/assuredoss-python/simple.
Ersetzen Sie Folgendes:
- Ersetzen Sie
PROJECT_IDdurch die ID des Projekts, das Sie ausgewählt, wenn Sie Assured Open Source Software einrichten. Ersetzen Sie
BASE64_KEYdurch die Base64-codierte JSON-Schlüsseldatei des Dienstkontos. Führen Sie den folgenden Befehl aus, um die gesamte JSON-Schlüsseldatei des Dienstkontos in Base64-Codierung zu konvertieren:BASE64_KEY=$(cat KEY_FILE_LOCATION | base64 -w 0)Ersetzen Sie
KEY_FILE_LOCATIONdurch den Standort des Dienstes. JSON-Schlüsseldatei des Kontos.
Pakete installieren
In der folgenden Anleitung wird davon ausgegangen, dass Sie PyPI als Repository zum Herunterladen Ihrer Abhängigkeiten verwenden. Wenn Sie ein anderes müssen Sie zum Herunterladen der Abhängigkeiten andere Schritte ausführen.
In Assured OSS vorhandene Pakete installieren
Erstellen Sie zwei requirements.txt-Dateien, um die Assured OSS-Python-Pakete anzugeben, die Sie herunterladen möchten. Die Beispieldateien sind:
requirements-google.txt# Packages present in Google's Artifact Registry urllib3==1.26.11 --hash=sha256:1cffe1aa066363a75c856f261c8fce62d87f7c40ce0f46453ea12bf652b12a13 jsonschema==4.13.0 --hash=sha256:29895bfe55b93b75552fbdd1e09aa0c82b7c1c9395d4f267e10c7d43cd31a74erequirements-pypi.txt# Packages present in Google's Artifact Registry are mentioned here so that pip # downloads their dependencies from PyPI. urllib3==1.26.11 jsonschema==4.13.0 # Below this comment, add any package version which you need but is NOT # present in Google's Artifact Registry and therefore needs to be downloaded from # PyPI.
Führen Sie die folgenden Befehle aus, um die Pakete herunterzuladen:
Um die erforderlichen Pakete herunterzuladen, die in der Artifact Registry für Assured OSS führen Sie folgenden Befehl aus:
pip install --require-hashes --requirement=requirements-google.txt \ --index-url https://_json_key_base64:BASE64_KEY@us-python.pkg.dev/PROJECT_ID/assuredoss-python repo/simple -v \ --no-depsBerücksichtige Folgendes:
--require-hashesist optional. Falls enthalten, werden Hash-Werte für alle Pakete und alle Paketversionen in der Dateirequirements.txtangegeben.- Ersetzen Sie
BASE64_KEYdurch die base64-codierte JSON-Datei des Dienstkontos. -vist optional. Wenn Sie diesen Parameter angeben, liefert der Befehl mehr Ausgabe.
Führen Sie den folgenden Befehl aus, um die erforderlichen Pakete herunterzuladen, die nicht in der Artifact Registry für Assured OSS vorhanden sind:
pip install --requirement=requirements-pypi.txt --index-url https://pypi.org/simple -vMit diesem Befehl werden auch die fehlenden Abhängigkeiten der Pakete heruntergeladen, die Sie mit dem vorherigen Befehl heruntergeladen haben.
Alle in Assured OSS verfügbaren Python-Pakete auflisten
Informationen zum Abrufen einer Liste aller Python-Pakete im Artifact Registry-Repository mithilfe einer API finden Sie unter Alle in Assured OSS verfügbaren Python-Pakete auflisten.
requirements-google.txt-Datei generieren
In diesem Abschnitt finden Sie weitere Informationen zum Generieren der requirements-google.txt-Datei, die Sie zum Herunterladen der Python-Pakete benötigen. So laden Sie den Hash herunter und generieren die Datei requirements-google.txt
für Ihre Umgebung können Sie eine der folgenden beiden Optionen verwenden:
Verwenden Sie ein Skript, um eine einzelne Anforderungsdatei für alle Artefakte zu generieren.
Laden Sie für jedes Artefakt eine separate Anforderungsdatei herunter.
In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Optionen.
Option 1: Mit einem Script eine einzige Anforderungsdatei für alle Artefakte generieren
Verwenden Sie das Skript generator.sh, um ein einzelnes
requirements-google.txt-Datei für alle Python-Pakete
(zusammen mit ihren Hashes), die mit Assured OSS für das Linux-Betriebssystem verfügbar sind. Die Pakete müssen Einschränkungen wie Python-Version, Maschinenarchitektur und Betriebssystem erfüllen. Sie können dann die Paketversionen löschen, die Sie nicht benötigen, und die resultierende Datei verwenden.
Das Skript generator.sh hilft auf zwei Arten:
- Es generiert die aktuelle Liste der Python-Paketversionen, die mit Assured OSS verfügbar sind und auf Ihrem System installiert werden können.
- Es generiert die
requirements-google.txt-Datei zusammen mit allen Hashes.
Das erforderliche Script und die zugehörige README.md-Datei sind in einem Cloud Storage-Bucket (gs://cloud-aoss/utils/python-requirements-txt/v1.0) verfügbar und können mit der Google Cloud CLI heruntergeladen werden.
So laden Sie das Skript und die Datei README.md herunter:
Mit dem Dienstkonto authentifizieren, um auf den Cloud Storage-Bucket zuzugreifen mit dem folgenden Befehl:
gcloud auth activate-service-account --key-file KEY_FILEErsetzen Sie
KEY_FILEdurch den Pfad zur Datei mit den Anmeldedaten des Dienstkontos, die Sie bei der Einrichtung angegeben haben.Laden Sie die
generator.shmit dem folgenden Befehl auf Ihren Computer herunter:gcloud storage cp gs://cloud-aoss/utils/python-requirements-txt/v1.0/generator.sh PATH_TO_LOCAL_STORE --recursiveErsetzen Sie
PATH_TO_LOCAL_STOREdurch den lokalen Pfad, wobei Sie die heruntergeladene Datei speichern möchten.Laden Sie die Datei
README.mdmit dem folgenden Befehl herunter:gcloud storage cp gs://cloud-aoss/utils/python-requirements-txt/v1.0/README.md PATH_TO_LOCAL_STORE --recursiveErsetzen Sie
PATH_TO_LOCAL_STOREdurch den lokalen Pfad, unter dem Sie die heruntergeladene Datei speichern möchten. Die DateiREADME.mdenthält eine Anleitung zur Verwendung des Skripts.
Verwenden Sie die folgenden Befehle, um das Skript auszuführen:
Führen Sie den folgenden Befehl aus, um die Datei
requirements-google.txtzu generieren:chmod +x generator.sh ./generator.shFühren Sie den folgenden Befehl aus, um die Informationen zum Paket in einer CSV-Datei abzurufen:
chmod +x generator.sh ./generator.sh -i
Option 2: requirements.txt für jedes erforderliche Artefakt herunterladen
Sie können auch für jedes Python-Artefakt eine separate requirements.txt-Datei (mit dem Hash) herunterladen und dann in einer einzigen requirements.txt-Datei kombinieren.
Artefakt-Hashes sind in einem Cloud Storage-Bucket verfügbar, der mit der gcloud CLI heruntergeladen werden kann. Die Hash-Werte für jedes Paket und jede Version befinden sich im Cloud Storage-Bucket gs://cloud-aoss/python/PACKAGE_NAME/VERSION.
So laden Sie die requirements.txt-Datei herunter:
Authentifizieren Sie sich mit dem Dienstkonto, um mit dem folgenden Befehl auf den Cloud Storage-Bucket zuzugreifen:
gcloud auth activate-service-account --key-file KEY_FILEErsetzen Sie
KEY_FILEdurch den Pfad zur Datei mit den Anmeldedaten für das Dienstkonto.Laden Sie die
requirements.txteines bestimmten Pakets und einer bestimmten Version mit dem folgenden Befehl auf Ihren lokalen Computer herunter:gcloud storage cp gs://cloud-aoss/python/PACKAGE_NAME/VERSION PATH_TO_LOCAL_STORE --recursiveErsetzen Sie Folgendes:
PACKAGE_NAME: der PaketnameVERSION: die Version des PaketsPATH_TO_LOCAL_STORE: der lokale Pfad, unter dem Sie den um die Datei herunterzuladen
Beispielbefehl:
gcloud storage cp gs://cloud-aoss/python/bleach/5.0.0 /tmp/bleach‑‑recursiveBeispieldatei
requirements.txt:bleach==5.0.0 \ --hash=sha256:6d286e765bfd3e309209cfa1d063e4d46afa966dea8cb97431c02b1e3067d812Der Inhalt jeder solchen
requirements.txt-Datei kann in einer einzelnenrequirements-google.txt-Datei kombiniert werden.
Nächste Schritte
- Java-Pakete über direkten Repositoryzugriff in der Premium-Stufe herunterladen
- Auf Sicherheitsmetadaten zugreifen und Pakete in der Premium-Stufe prüfen