リモート リポジトリを使用して Assured OSS パッケージをダウンロードする

このページでは、リモート リポジトリを設定して Assured OSS パッケージにアクセスしてダウンロードする方法について説明します。

このドキュメントは、Assured OSS の有料ティアにのみ適用されます。無料枠については、リモート リポジトリを使用して Assured OSS パッケージをダウンロードするをご覧ください。

始める前に

  1. Assured OSS を Security Command Center と統合します。

  2. リクエストされたサービス アカウントの Security Command Center への接続を検証します。

概要

Assured OSS パッケージは、Google が管理する Artifact Registry リポジトリに保存されます。次のいずれかの方法で、Assured OSS によって提供される OSS パッケージにアクセスしてダウンロードできます。

  • Assured OSS Artifact Registry リポジトリのプロキシとして機能するリモート(ミラーまたはプロキシ)リポジトリを設定します。リモート リポジトリに接続してパッケージをダウンロードします。この方法は、Jfrog Artifactory や Sonatype Nexus などのリポジトリ マネージャーを使用してオープンソース ソフトウェアにアクセスする組織でよく使用されます。

  • Maven、Gradle、pip などのビルドツールのサービス アカウントを使用して、Assured OSS Artifact Registry リポジトリに直接接続します。

リモート リポジトリのワークフロー

以降のセクションでは、リモート リポジトリを設定して Assured OSS パッケージにアクセスしてダウンロードする方法について説明します。リモート リポジトリを設定するオプションは、JFrog Artifactory と Sonatype Nexus の 2 つです。

JFrog Artifactory を使用してリモート リポジトリを設定する

  1. JFrog Artifactory リポジトリ マネージャーにログインします。新しいリモート リポジトリの作成に必要な権限があることを確認します。
  2. リポジトリ マネージャーに新しいリモート リポジトリを作成するオプションを選択します。
  3. 適切なリポジトリ タイプを選択します(たとえば、Java の場合は Maven、Python の場合は PyPi を選択します)。

  4. 必要に応じて、以下の手順を使用して Java、Python、JavaScript のリポジトリへの接続をテストします。

    1. [リポジトリキー] フィールドに、リモート リポジトリの一意の名前または ID を入力します。

    2. [URL] フィールドに、次のいずれかを入力します。

      • Java
        https://us-maven.pkg.dev
      • Python
        https://us-python.pkg.dev
      • JavaScript
        https://us-npm.pkg.dev

      完全なドメイン名は入力しないでください。HTTP 404 または HTTP 405 ステータス コードが返される場合があります。

    3. 残りのフィールドは空白のままにしておきます。

    4. [TEST] をクリックします。 次の出力が表示されたら、接続に成功しています。

      Successfully connected to server

  5. 新しいリモート リポジトリを作成するには、次の情報を入力します。

    1. [リポジトリキー] フィールドに、リモート リポジトリの一意の名前または ID を入力します。例: assured-oss-java-repo

    2. [URL] フィールドに、次のいずれかを入力します。

      • Java: 
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python
        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      • JavaScript
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      PROJECT_ID は、Assured OSS の設定時に選択したプロジェクトの ID に置き換えます。

    3. [ユーザー名] フィールドに「_json_key_base64」と入力します。

    4. [パスワード] フィールドに、サービス アカウントの JSON キーファイルの base64 エンコード文字列を指定します。base64 でエンコードされた文字列全体を単一行でパスワードとして使用します。base64 でエンコードされた文字列を取得するには、base64 key-filename.json コマンドを実行します。

    5. Python のみの場合は、[レジストリ URL] フィールドに入力します

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      .

  6. [リモート リポジトリを作成] をクリックします。

    Python パッケージの場合は、取得した URL に /simple を追加します。pip install コマンドの index-url として URL を使用して、必要な Python パッケージをダウンロードします。たとえば、リポジトリの取得した URL が https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo の場合、対応する index-urlhttps://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple です。

新しいリモート リポジトリを設定したら、この新しいリモート リポジトリを使用するようにビルドツール(たとえば、Apache Maven、Gradle Build Tool、pip)を構成します。

既知の問題

たとえ接続が正しく構成されていても、[テスト] ボタンを使用して接続をテストするとエラーが返される可能性があります。テストボタンの動作に関係なく、リモート リポジトリを作成することをおすすめします。接続を確認する別の方法については、接続を検証するをご覧ください。

Sonatype Nexus を使用してリモート リポジトリを設定する

  1. Sonatype Nexus のリポジトリ マネージャーにログインします。新しいリモート リポジトリの作成に必要な権限があることを確認します。
  2. 新しいリポジトリを作成するオプションを選択します。
  3. 適切なリポジトリ タイプを選択します(たとえば、Java の場合は Maven、Python の場合は PyPi を選択します)。

  4. 新しいリポジトリの次の詳細を入力します。

    1. [名前] フィールドに、リモート リポジトリの一意の名前または ID を入力します。

    2. [リモート ストレージ] フィールドで、以下から選択します。

      • Java: 

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      PROJECT_ID は、Assured OSS の設定時に選択したプロジェクトの ID に置き換えます。

  5. [HTTP] で [認証] を選択します。

  6. 以下を指定します。

    1. [認証タイプ] フィールドに「Username」と入力します。
    2. [ユーザー名] フィールドに「_json_key_base64」と入力します。
    3. [パスワード] フィールドに、サービス アカウントの JSON キーファイルの base64 エンコード文字列を指定します。base64 でエンコードされた文字列全体を単一行でパスワードとして使用します。base64 でエンコードされた文字列を取得するには、base64 key-filename.json コマンドを実行します。

  7. [リポジトリを作成] をクリックします。

新しいリモート リポジトリを設定したら、この新しいリモート リポジトリを使用するようにビルドツール(たとえば、Apache Maven、Gradle Build Tool、pip)を指定します。

次のステップ