Télécharger des packages Assured OSS à l'aide d'un dépôt distant

Cette page explique comment configurer un dépôt distant pour accéder et télécharger des paquets de logiciels open source assurés. Deux options s'offrent à vous pour configurer un dépôt distant: JFrog Artifactory ou Sonatype Nexus. Pour en savoir plus sur les options de dépôt, consultez la section Options de dépôt de logiciels open source assurés.

Ce document ne s'applique qu'au niveau premium Assured OSS. Pour le niveau gratuit, consultez Télécharger des packages Assured OSS à l'aide d'un dépôt distant.

Avant de commencer

  1. Intégrez Assured OSS à Security Command Center.

  2. Validez la connectivité à Security Command Center pour les comptes de service demandés.

Configurer un dépôt distant à l'aide de JFrog Artifactory

  1. Connectez-vous au gestionnaire de dépôts JFrog Artifactory. Assurez-vous de disposer des droits nécessaires pour créer un dépôt distant.
  2. Sélectionnez l'option permettant de créer un dépôt distant dans votre gestionnaire de dépôts.
  3. Sélectionnez le type de dépôt approprié (par exemple, Maven pour Java ou PyPi pour Python).

  4. Vous pouvez éventuellement tester la connexion au dépôt Java, Python ou JavaScript en procédant comme suit:

    1. Dans le champ Clé de dépôt, saisissez un nom ou un identifiant unique pour le dépôt distant.

    2. Dans le champ URL, saisissez l'une des URL suivantes:

      • Java : 
        https://us-maven.pkg.dev
      • Python: 
        https://us-python.pkg.dev
      • JavaScript: 
        https://us-npm.pkg.dev

      Ne saisissez pas le nom de domaine complet, car cela peut renvoyer un code d'état HTTP 404 ou HTTP 405.

    3. Laissez les champs restants vides.

    4. Cliquez sur Test. La connexion aboutit lorsque le résultat suivant s'affiche:

      Successfully connected to server

  5. Pour créer un dépôt distant, saisissez les informations suivantes:

    1. Dans le champ Clé de dépôt, saisissez un nom ou un identifiant unique pour le dépôt distant. Exemple :assured-oss-java-repo

    2. Dans le champ URL, saisissez l'une des URL suivantes:

      • Java : 
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python: 
        https://us-python.pkg.dev/
      • JavaScript : 
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lorsque vous avez configuré Assured OSS.

    3. Dans le champ User Name (Nom d'utilisateur), saisissez _json_key_base64.

    4. Dans le champ Mot de passe, fournissez la chaîne encodée en base64 du fichier de clé JSON du compte de service. Utilisez l'intégralité de la chaîne encodée en base64 sur une seule ligne comme mot de passe. Pour obtenir la chaîne encodée en base64, exécutez la commande cat key-filename.json | base64 -w 0.

    5. Pour Python uniquement, dans le champ URL du dépôt, saisissez 

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      .

  6. Cliquez sur Créer un dépôt distant.

    Pour les packages Python, ajoutez /simple à l'URL obtenue. Utilisez l'URL comme index-url dans la commande pip install pour télécharger les packages Python requis. Par exemple, si l'URL obtenue du dépôt est https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo, le index-url correspondant est https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple.

Une fois le nouveau dépôt distant configuré, configurez vos outils de compilation (par exemple, Apache Maven, Gradle Build Tool ou pip) pour qu'ils utilisent ce nouveau dépôt distant.

Problèmes connus

Tester la connexion à l'aide du bouton Tester peut renvoyer une erreur même si la connexion est correctement configurée. Nous vous recommandons de créer le dépôt distant indépendamment du comportement du bouton de test. Pour une autre méthode de validation d'une connexion, consultez Valider votre connexion.

Configurer un dépôt distant à l'aide de Sonatype Nexus

  1. Connectez-vous à votre gestionnaire de dépôt Sonatype Nexus. Assurez-vous de disposer des droits nécessaires pour créer un dépôt distant.
  2. Sélectionnez l'option permettant de créer un dépôt.
  3. Sélectionnez le type de dépôt approprié (par exemple, Maven pour Java ou PyPi pour Python).

  4. Saisissez les informations suivantes pour le nouveau dépôt:

    1. Dans le champ Nom, saisissez un nom ou un identifiant unique pour le dépôt distant.

    2. Dans le champ Stockage distant, sélectionnez l'une des options suivantes:

      • Java : 

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python: 

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript : 

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lorsque vous avez configuré l'assurance OSS.

  5. Sous HTTP, sélectionnez Authentification.

  6. Renseignez les champs suivants :

    1. Dans le champ Type d'authentification, saisissez Username.
    2. Dans le champ Nom d'utilisateur, saisissez _json_key_base64.
    3. Dans le champ Mot de passe, fournissez la chaîne encodée en base64 du fichier de clé JSON du compte de service. Utilisez l'intégralité de la chaîne encodée en base64 sur une seule ligne comme mot de passe. Pour obtenir la chaîne encodée en base64, exécutez la commande base64 key-filename.json.

  7. Cliquez sur Créer un dépôt.

Une fois le nouveau dépôt distant configuré, pointez vos outils de compilation (par exemple, Apache Maven, Gradle Build Tool ou pip) vers ce nouveau dépôt distant.

Étape suivante