使用远程代码库下载 Assured OSS 软件包

本页介绍了如何设置远程代码库,以便访问和下载 Assured OSS 软件包。您可以通过两种方式设置远程代码库:JFrog Artifactory 或 Sonatype Nexus。如需详细了解代码库选项,请参阅 Assured OSS 代码库选项

本文档仅适用于 Assured OSS 高级层级。 对于免费层级,请参阅使用远程代码库下载 Assured OSS 软件包

准备工作

  1. 将 Assured OSS 与 Security Command Center 集成

  2. 验证所请求的服务账号与 Security Command Center 的连接。

使用 JFrog Artifactory 设置远程代码库

  1. 登录 JFrog Artifactory 代码库管理器。确保您拥有创建新远程代码库所需的权限。
  2. 在代码库管理器中,选择用于创建新远程代码库的选项。
  3. 选择相应的代码库类型(例如,选择 Maven 表示 Java,选择 PyPi 表示 Python,选择 Go 表示 Go)。

  4. (可选)按照以下步骤测试与代码库的连接:

    1. 代码库密钥字段中,输入远程代码库的唯一名称或标识符。

    2. 网址字段中,输入以下内容之一:

      • Java:
        https://us-maven.pkg.dev
      • Python:
        https://us-python.pkg.dev
      • JavaScript: 
        https://us-npm.pkg.dev
      • Go:
        https://us-go.pkg.dev

      请勿输入完整的域名,因为此操作可能会返回 HTTP 404 或 HTTP 405 状态代码。

    3. 将其余字段留空。

    4. 点击测试。 当您看到以下输出时,表示连接成功:

      Successfully connected to server

  5. 如需创建新的远程代码库,请输入以下信息:

    1. 代码库密钥字段中,输入远程代码库的唯一名称或标识符。例如 assured-oss-java-repo

    2. 网址字段中,输入以下内容之一:

      • Java: 
        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
      • Python:
        https://us-python.pkg.dev/
      • JavaScript: 
        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm
      • Go:
        https://us-go.pkg.dev/PROJECT_ID/assuredoss-go

      PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目 ID。

    3. 用户名字段中,输入 _json_key_base64

    4. 密码字段中,提供服务账号 JSON 密钥文件的 base64 编码字符串。将整个 base64 编码的字符串作为密码放在一行中。如需获取 base64 编码的字符串,请运行命令 cat key-filename.json | base64 -w 0

    5. 对于纯 Python 代码库,请在注册表网址字段中输入以下内容: 

      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

  6. 对于纯 Go 代码库,请在高级设置标签页中选择绕过 HEAD 请求

  7. 点击创建远程代码库

    对于 Python 软件包,请在获取的网址后面附加 /simple。使用该网址作为 pip install 命令中的 index-url,下载所需的 Python 软件包。例如,如果获取的代码库网址为 https://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo,则对应的 index-urlhttps://a0a87smb7hcda.jfrog.io/artifactory/api/pypi/assured-oss-python-repo/simple

设置新的远程代码库后,请配置您的构建工具(例如 Apache Maven、Gradle Build Tool 或 pip)以使用此新的远程代码库。

已知问题

即使连接配置正确,使用测试按钮测试连接也可能会返回错误。我们建议您创建远程代码库,无论测试按钮的行为如何。如需了解确认连接的另一种方法,请参阅验证连接

使用 Sonatype Nexus 设置远程代码库

  1. 登录 Sonatype Nexus 代码库管理器。确保您拥有创建新远程代码库所需的权限。
  2. 选择用于创建新代码库的选项。
  3. 选择相应的代码库类型(例如,选择 Maven 表示 Java,选择 PyPi 表示 Python,选择 Go 表示 Go)。

  4. 为新代码库输入以下详细信息:

    1. 名称字段中,输入远程代码库的唯一名称或标识符。

    2. 远程存储字段中,从以下选项中选择:

      • Java: 

        https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java

      • Python:

        https://us-python.pkg.dev/PROJECT_ID/assuredoss-python

      • JavaScript: 

        https://us-npm.pkg.dev/PROJECT_ID/assuredoss-npm

      • Go: 

        https://us-go.pkg.dev/PROJECT_ID/assuredoss-go

      PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目 ID。

  5. HTTP 下,选择身份验证

  6. 指定下列内容:

    1. 身份验证类型字段中,输入 Username
    2. 用户名字段中,输入 _json_key_base64
    3. 密码字段中,提供服务账号 JSON 密钥文件的 base64 编码字符串。将整个 base64 编码的字符串作为密码放在一行中。如需获取 base64 编码的字符串,请运行命令 cat key-filename.json | base64

  7. 点击创建代码库

设置好新的远程代码库后,请将您的 build 工具(例如 Apache Maven、Gradle Build Tool 或 pip)指向此新的远程代码库。

后续步骤