使用远程仓库下载 Assured OSS 软件包

本页面介绍了如何设置远程代码库,以访问和下载 Assured OSS 软件包。

本文档仅适用于 Assured OSS 付费层级。如需了解免费层级,请参阅使用远程仓库下载 Assured OSS 软件包

准备工作

  1. 将 Assured OSS 与 Security Command Center 集成

  2. 验证所请求的服务帐号与 Security Command Center 的连接

概览

安全可靠的 OSS 软件包存储在 Google 管理的 Artifact Registry 代码库中。您可以使用以下某种方法访问和下载 Assured OSS 提供的 OSS 软件包:

  • 设置远程(也称为镜像或代理)代码库,以充当 Assured OSS Artifact Registry 代码库的代理。您需要连接到远程代码库以下载软件包。此方法通常用于使用代码库管理器(如 Jfrog Artifactory 或 Sonatype Nexus)访问开源软件的组织。

  • 使用 Maven、Gradle 或 pip 等构建工具中的服务帐号直接连接到 Assured OSS Artifact Registry 代码库。

远程代码库的工作流

以下部分介绍了如何设置远程代码库,以访问和下载 Assured OSS 软件包。您可以通过以下两种方式设置远程仓库:JFrog Artifactory 或 Sonatype Nexus。

使用 JFrog Artifactory 设置远程代码库

  1. 登录 JFrog Artifactory 代码库管理器。确保您拥有创建新的远程代码库所需的权限。
  2. 选择在代码库管理器中创建新的远程代码库的选项。
  3. 选择相应的代码库类型(例如,对于 Java,选择 Maven;对于 Python,请选择 PyPi)。

  4. (可选)按照以下步骤测试与 Java、Python 或 JavaScript 代码库的连接:

    1. 代码库密钥字段中,输入远程代码库的唯一名称或标识符。

    2. 网址字段中,输入以下内容之一:

      • Java: 
        https://us-maven.pkg.dev
      • Python: 
        https://us-python.pkg.dev
      • JavaScript: 
        https://us-npm.pkg.dev

      请勿输入完整的域名,因为这可能会返回 HTTP 404 或 HTTP 405 状态代码。

    3. 将其余字段留空。

    4. 点击测试。 如果您看到以下输出,则表示连接成功:

      Successfully connected to server

  5. 如需创建新的远程代码库,请输入以下信息:

    1. 代码库密钥字段中,输入远程代码库的唯一名称或标识符。例如 assured-oss-java-repo

    2. 网址字段中,输入以下内容之一:

      • Java:
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python:
        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      • JavaScript:
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      PROJECT_ID 替换为您在设置 Assured OSS 时所选项目的 ID。

    3. 用户名字段中,输入 _json_key_base64

    4. 密码字段中,提供服务帐号 JSON 密钥文件的 base64 编码字符串。在一行中使用整个 base64 编码的字符串作为密码。如需获取 base64 编码的字符串,请运行命令 base64 key-filename.json

    5. 注册表网址字段中,输入

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
      (仅适用于 Python)。

  6. 点击创建远程代码库

    对于 Python 软件包,请在获取的网址后面附加 /simple。使用网址作为 pip install 命令中的 index-url 来下载所需的 Python 软件包。例如,如果获取的代码库网址为 https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo,则相应的 index-urlhttps://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple

设置新的远程仓库后,配置构建工具(例如 Apache Maven、Gradle Build Tool 或 pip)以使用此新的远程仓库。

已知问题

使用测试按钮测试连接可能会返回错误,即使连接配置正确也是如此。我们建议您创建远程代码库,而不考虑测试按钮行为。如需了解确认连接的其他方法,请参阅验证连接

使用 Sonatype Nexus 设置远程仓库

  1. 登录您的 Sonatype Nexus 代码库管理器。确保您拥有创建新的远程代码库所需的权限。
  2. 选择创建新代码库的选项。
  3. 选择相应的代码库类型(例如,对于 Java,选择 Maven;对于 Python,请选择 PyPi)。

  4. 为新代码库输入以下详细信息:

    1. 名称字段中,输入远程代码库的唯一名称或标识符。

    2. Remote Storage 字段中,从以下选项中进行选择:

      • Java:

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python:

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript:

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      PROJECT_ID 替换为您在设置 Assured OSS 时所选项目的 ID。

  5. HTTP 下,选择身份验证

  6. 指定以下内容:

    1. Authentication type(身份验证类型)字段中,输入 Username
    2. 用户名字段中,输入 _json_key_base64
    3. 密码字段中,提供服务帐号 JSON 密钥文件的 base64 编码字符串。在一行中使用整个 base64 编码字符串作为密码。如需获取 base64 编码的字符串,请运行命令 base64 key-filename.json

  7. 点击创建代码库

设置新的远程仓库后,使用构建工具(例如 Apache Maven、Gradle Build Tool 或 pip)来使用此新的远程仓库。

后续步骤