SBOM 생성 및 저장

이 문서에서는 컨테이너 이미지의 종속 항목을 나열하는 소프트웨어 재료명세서(SBOM)를 만들고 저장하는 방법을 설명합니다.

Artifact Registry에 컨테이너 이미지를 저장하고 Artifact Analysis로 취약점을 검사한 후 Google Cloud CLI를 사용하여 SBOM을 생성할 수 있습니다.

취약점 스캔 사용에 대한 자세한 내용은 자동 스캔가격 책정을 참고하세요.

아티팩트 분석은 Cloud Storage에 SBOM을 저장합니다. Cloud Storage 비용에 대한 자세한 내용은 가격 책정을 참고하세요.

시작하기 전에

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  7. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다. 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Container Analysis, Container Scanning APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  13. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다. 

    gcloud init
  14. Artifact Registry에 Docker 저장소를 만들고 컨테이너 이미지를 저장소에 푸시합니다. Artifact Registry에 익숙하지 않으면 Docker 빠른 시작을 참고하세요.

    15. 필요한 역할

    Cloud Storage 버킷을 관리하고 SBOM 파일을 업로드하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 스토리지 관리자 (roles/storage.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

    커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

    SBOM 파일 생성

    SBOM 파일을 생성하려면 다음 명령어를 사용하세요.

    gcloud artifacts sbom export --uri=URI

    WHERE

    • URI는 SBOM 파일이 설명하는 Artifact Registry 이미지 URI입니다(us-east1-docker.pkg.dev/my-image-repo/my-image와 유사). 이미지는 태그 형식 또는 다이제스트 형식일 수 있습니다. 태그 형식으로 제공된 이미지는 다이제스트 형식으로 변환됩니다.

    아티팩트 분석은 SBOM을 Cloud Storage에 저장합니다.

    Google Cloud 콘솔 또는 gcloud CLI를 사용하여 SBOM을 볼 수 있습니다. SBOM이 포함된 Cloud Storage 버킷을 찾으려면 gcloud CLI를 사용하여 SBOM을 검색해야 합니다.

    취약점 스캔 없이 SBOM 생성

    SBOM을 생성하고 싶지만 프로젝트에 대한 지속적인 취약점 스캔은 원하지 않는 경우, 이미지를 Artifact Registry에 푸시하기 전에 Container Scanning API를 사용 설정하면 SBOM을 내보낼 수 있습니다. 이미지를 Artifact Registry에 푸시하고 SBOM을 내보낸 후에는 추가 취약점 스캔에 대한 요금이 청구되지 않도록 Container Scanning API를 사용 중지해야 합니다.

    다음 단계