Questo documento introduce i concetti di SBOM e descrive le funzionalità di Artifact Analysis disponibili per aiutarti a comprendere le dipendenze nella tua supply chain del software.
Quando memorizzi un'immagine container in Artifact Registry, puoi creare una distinta base del software (SBOM) che descrive i contenuti dell'immagine. Conoscere le dipendenze del tuo software può aiutarti a migliorare la tua postura di sicurezza. Una SBOM può anche aiutarti ad attestare la composizione del tuo software a supporto della conformità alle normative di sicurezza come l'Executive Order (EO) 14028.
SBOM
Una SBOM è un inventario leggibile da macchina di un'applicazione, che identifica i pacchetti su cui si basa il tuo software. I contenuti possono includere software di terze parti di fornitori, artefatti interni e librerie open source.
Artifact Analysis ti consente di generare SBOM o caricare le tue.
Che tu generi la tua SBOM con Artifact Analysis o carichi la tua, Artifact Analysis fornisce processi di archiviazione e recupero coerenti per aiutarti a coordinare e valutare tutte le informazioni sulle dipendenze in un'unica posizione.
Formato SBOM
Artifact Analysis produce SBOM nel formato Software Package Data Exchange (SPDX) 2.3.
Se vuoi caricare una SBOM esistente da una fonte esterna a Google Cloud, sono supportati formati aggiuntivi. Vedi Caricare le SBOM.
Archiviazione SBOM
Artifact Analysis archivia le SBOM in Cloud Storage nel tuo progetto Google Cloud . Le SBOM rimangono archiviate in Cloud Storage, a meno che tu non elimini gli oggetti SBOM o elimini il bucket. Per informazioni sui prezzi, consulta la pagina Prezzi di Cloud Storage.
Tipi di pacchetti supportati
La SBOM fornisce un elenco di tutti i pacchetti che possono essere identificati dalla scansione di Artifact Analysis. I pacchetti devono essere containerizzati e archiviati in un repository Docker in Artifact Registry.
Per saperne di più sui tipi di pacchetti supportati, consulta la Panoramica dell'analisi dei container.
Occorrenza di riferimento SBOM
Oltre alla SBOM specifica del container, Artifact Analysis genera un'occorrenza di riferimento della SBOM Grafeas che include le seguenti informazioni:
- Il percorso Cloud Storage della SBOM
- Un hash della SBOM
- Una firma sopra il
SbomReferenceIntotoPayload
Puoi utilizzare la firma per verificare che la SBOM sia stata generata da Artifact Analysis.
La firma utilizza il protocollo di firma DSSE, con il
tipo di payload application/vnd.in-toto+json.Il payload è il valore jsonificato
di SbomReferenceIntotoPayload.
PackageOccurrence
Per fornire ulteriori informazioni sulle dipendenze, Artifact Analysis genera anche un'occorrenza di pacchetto Grafeas per ogni pacchetto installato. Le occorrenze del pacchetto includono le seguenti informazioni:
- Versione pacchetto
- Tipo di pacchetto
- Informazioni sulla licenza per i pacchetti installati
Limitazioni
- Il monitoraggio dei pacchetti installati è supportato solo per le immagini container trasferite ad Artifact Registry e valutate dall'API Container Scanning. Per estensione, la ricerca dell'interfaccia a riga di comando gcloud basata sui pacchetti installati funziona solo con le immagini archiviate in Artifact Registry, perché i pacchetti installati vengono monitorati solo su queste immagini.