Transfira pacotes de OSS garantidos através de um repositório remoto

Esta página explica como pode configurar um repositório remoto para aceder e transferir pacotes de software de código aberto (OSS) garantidos. Tem duas opções para configurar um repositório remoto: JFrog Artifactory ou Sonatype Nexus. Para mais informações acerca das opções de repositório, consulte as opções do repositório de OSS assegurado.

Este documento aplica-se apenas ao nível premium do Assured OSS. Para o nível gratuito, consulte o artigo Transfira pacotes de OSS garantidos através de um repositório remoto.

Antes de começar

  1. Integre o Assured OSS com o Security Command Center.

  2. Valide a conetividade ao Security Command Center para as contas de serviço pedidas.

Configure um repositório remoto com o JFrog Artifactory

  1. Inicie sessão no gestor de repositórios do JFrog Artifactory. Certifique-se de que tem os privilégios necessários para criar um novo repositório remoto.
  2. Selecione a opção para criar um novo repositório remoto no seu gestor de repositórios.
  3. Selecione o tipo de repositório adequado (por exemplo, selecione Maven para Java, PyPi para Python ou Go para Go).

  4. Opcionalmente, teste a ligação ao repositório através dos seguintes passos:

    1. No campo Chave do repositório, introduza um nome ou um identificador exclusivo para o repositório remoto.

    2. No campo URL, introduza um dos seguintes elementos:

      • Java: 
        https://us-maven.pkg.dev
      • Python: 
        https://us-python.pkg.dev
      • JavaScript: 
        https://us-npm.pkg.dev
      • Ir: 
        https://us-go.pkg.dev

      Não introduza o nome do domínio completo, uma vez que esta ação pode devolver um código de estado HTTP 404 ou HTTP 405.

    3. Deixe os restantes campos em branco.

    4. Clique em Testar. A ligação é estabelecida com êxito quando vê o seguinte resultado:

      Successfully connected to server

  5. Para criar um novo repositório remoto, introduza as seguintes informações:

    1. No campo Chave do repositório, introduza um nome ou um identificador exclusivo para o repositório remoto. Por exemplo, assured-oss-java-repo.

    2. No campo URL, introduza um dos seguintes elementos:

      • Java: 
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python: 
        https://us-python.pkg.dev/
      • JavaScript: 
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm
      • Ir: 
        https://us-go.pkg.dev/PROJECT_ID/assuredoss-go

      Substitua PROJECT_ID pelo ID do projeto que selecionou quando configurou o Assured OSS.

    3. No campo Nome de utilizador, introduza _json_key_base64.

    4. No campo Palavra-passe, indique a string codificada em base64 do ficheiro de chave JSON da conta de serviço. Use a string completa codificada em base64 numa única linha como palavra-passe. Para obter a string codificada em base64, execute o comando cat key-filename.json | base64 -w 0.

    5. Apenas para Python, no campo URL do registo, introduza o seguinte: 

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

  6. Apenas para o Go, no separador Definições avançadas, selecione Ignorar pedidos HEAD.

  7. Clique em Criar repositório remoto.

    Para pacotes Python, acrescente o URL obtido com /simple. Use o URL como index-url no comando pip install para transferir os pacotes Python necessários. Por exemplo, se o URL obtido do repositório for https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo, o index-url correspondente é https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple.

Depois de configurar o novo repositório remoto, configure as ferramentas de compilação (por exemplo, Apache Maven, Gradle Build Tool ou pip) para usar este novo repositório remoto.

Problemas conhecidos

O teste da associação através do botão Testar pode devolver um erro, mesmo que a associação esteja configurada corretamente. Recomendamos que crie o repositório remoto, independentemente do comportamento do botão de teste. Para outra forma de confirmar uma associação, consulte o artigo Valide a sua associação.

Configure um repositório remoto através do Sonatype Nexus

  1. Inicie sessão no seu gestor de repositórios do Sonatype Nexus. Certifique-se de que tem os privilégios necessários para criar um novo repositório remoto.
  2. Selecione a opção para criar um novo repositório.
  3. Selecione o tipo de repositório adequado (por exemplo, selecione Maven para Java, PyPi para Python ou Go para Go).

  4. Introduza os seguintes detalhes para o novo repositório:

    1. No campo Nome, introduza um nome ou um identificador exclusivo para o repositório remoto.

    2. No campo Armazenamento remoto, escolha uma das seguintes opções:

      • Java: 

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python: 

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript: 

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      • Ir: 

        https://us-go.pkg.dev/PROJECT_ID/assuredoss-go

      Substitua PROJECT_ID pelo ID do projeto que selecionou quando configurou o Assured OSS.

  5. Em HTTP, selecione Autenticação.

  6. Especifique o seguinte:

    1. No campo Tipo de autenticação, introduza Username.
    2. No campo Nome de utilizador, introduza _json_key_base64.
    3. No campo Palavra-passe, indique a string codificada em base64 do ficheiro de chave JSON da conta de serviço. Use a string codificada em base64 completa numa única linha como palavra-passe. Para obter a string codificada em base64, execute o comando cat key-filename.json | base64.

  7. Clique em Criar repositório.

Depois de configurar o novo repositório remoto, direcione as suas ferramentas de compilação (por exemplo, o Apache Maven, a ferramenta de compilação Gradle ou o pip) para usar este novo repositório remoto.

O que se segue?