Télécharger des packages Assured OSS à l'aide d'un dépôt distant

Cette page explique comment configurer un dépôt distant pour accéder aux packages Assured OSS et les télécharger.

Ce document ne s'applique qu'au niveau payant d'Assured OSS. Pour en savoir plus sur la version gratuite, consultez Télécharger les packages Assured Workloads à l'aide d'un dépôt distant.

Avant de commencer

  1. Intégrez Assured OSS à Security Command Center.

  2. Validez la connectivité à Security Command Center pour les comptes de service demandés.

Présentation

Les packages Assured OSS sont stockés dans un dépôt Artifact Registry géré par Google. Vous pouvez accéder aux packages OSS proposés par Assured OSS et les télécharger à l'aide de l'une des méthodes suivantes:

  • Configurez un dépôt distant (également appelé miroir ou proxy) qui servira de proxy pour le dépôt Assured OSS Artifact Registry. Vous vous connectez au dépôt distant pour télécharger les packages. Cette méthode est couramment utilisée dans les entreprises qui accèdent à des logiciels Open Source à l'aide d'un gestionnaire de dépôts tel que Jfrog Artifactory ou Sonatype Nexus.

  • Connectez-vous directement au dépôt Assured OSS Artifact Registry directement à l'aide d'un compte de service à partir d'outils de compilation tels que Maven, Gradle ou pip.

workflow d'un dépôt distant

Les sections suivantes décrivent comment configurer un dépôt distant pour accéder aux packages Assured OSS et les télécharger. Vous disposez de deux options pour configurer un dépôt distant: JFrog Artifactory ou Sonatype Nexus.

Configurer un dépôt distant à l'aide de JFrog Artifactory

  1. Connectez-vous au gestionnaire de dépôts JFrog Artifactory. Assurez-vous de disposer des droits requis pour créer un dépôt distant.
  2. Sélectionnez l'option permettant de créer un dépôt distant dans votre gestionnaire de dépôts.
  3. Sélectionnez le type de dépôt approprié (par exemple, sélectionnez Maven pour Java ou PyPi pour Python).

  4. Si vous le souhaitez, vous pouvez tester la connexion au dépôt Java, Python ou JavaScript en procédant comme suit:

    1. Dans le champ Clé de dépôt, saisissez un nom ou un identifiant unique pour le dépôt distant.

    2. Dans le champ URL, saisissez l'une des valeurs suivantes:

      • Java: 
        https://us-maven.pkg.dev
      • Python: 
        https://us-python.pkg.dev
      • JavaScript: 
        https://us-npm.pkg.dev

      Ne saisissez pas le nom de domaine complet, car cela pourrait renvoyer un code d'état HTTP 404 ou HTTP 405.

    3. Laissez les champs restants vides.

    4. Cliquez sur Test. La connexion aboutit lorsque le résultat suivant s'affiche:

      Successfully connected to server

  5. Pour créer un dépôt distant, saisissez les informations suivantes:

    1. Dans le champ Clé de dépôt, saisissez un nom ou un identifiant unique pour le dépôt distant. Exemple :assured-oss-java-repo

    2. Dans le champ URL, saisissez l'une des valeurs suivantes:

      • Java: 
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python: 
        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      • JavaScript: 
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

    3. Dans le champ Nom d'utilisateur, saisissez _json_key_base64.

    4. Dans le champ Mot de passe, indiquez la chaîne encodée en base64 du fichier de clé JSON du compte de service. Utilisez la chaîne complète encodée en base64 sur une seule ligne comme mot de passe. Pour obtenir la chaîne encodée en base64, exécutez la commande base64 key-filename.json.

    5. Pour Python uniquement, saisissez

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      dans le champ URL du registre.

  6. Cliquez sur Créer un dépôt distant.

    Pour les packages Python, ajoutez /simple à l'URL obtenue. Utilisez l'URL comme index-url dans la commande pip install pour télécharger les packages Python requis. Par exemple, si l'URL obtenue pour le dépôt est https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo, le index-url correspondant est https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple.

Une fois le nouveau dépôt distant configuré, configurez vos outils de compilation (par exemple, Apache Maven, Gradle Build Tool ou pip) pour qu'ils utilisent ce nouveau dépôt distant.

Problèmes connus

Tester la connexion à l'aide du bouton Test peut renvoyer une erreur même si la connexion est correctement configurée. Nous vous recommandons de créer le dépôt distant, quel que soit le comportement du bouton de test. Pour un autre moyen de confirmer une connexion, consultez la section Valider votre connexion.

Configuration d'un référentiel distant à l'aide de Sonatype Nexus

  1. Connectez-vous au gestionnaire de référentiels Sonatype Nexus. Assurez-vous de disposer des droits requis pour créer un dépôt distant.
  2. Sélectionnez l'option permettant de créer un dépôt.
  3. Sélectionnez le type de dépôt approprié (par exemple, sélectionnez Maven pour Java ou PyPi pour Python).

  4. Saisissez les informations suivantes pour le nouveau dépôt:

    1. Dans le champ Nom, saisissez un nom ou un identifiant unique pour le dépôt distant.

    2. Dans le champ Stockage à distance, choisissez l'une des options suivantes:

      • Java: 

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python: 

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript: 

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

  5. Sous HTTP, sélectionnez Authentification.

  6. Renseignez les champs suivants :

    1. Dans le champ Authentication type (Type d'authentification), saisissez Username.
    2. Dans le champ Nom d'utilisateur, saisissez _json_key_base64.
    3. Dans le champ Mot de passe, indiquez la chaîne encodée en base64 du fichier de clé JSON du compte de service. Utilisez la chaîne complète encodée en base64 sur une seule ligne comme mot de passe. Pour obtenir la chaîne encodée en base64, exécutez la commande base64 key-filename.json.

  7. Cliquez sur Créer un dépôt.

Une fois le nouveau dépôt distant configuré, faites pointer vos outils de compilation (par exemple, Apache Maven, Gradle Build Tool ou pip) pour qu'ils utilisent ce nouveau dépôt distant.

Étapes suivantes