Exportieren SBOMs mit Amazon Inspector - Amazon Inspector
Amazon Inspector Inspector-FormateFiltert für SBOMsKonfigurieren und exportieren SBOMs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exportieren SBOMs mit Amazon Inspector

Eine Softwareliste (SBOM) ist ein verschachteltes Inventar aller Open-Source-Softwarekomponenten und Softwarekomponenten von Drittanbietern in Ihrer Codebasis. Amazon Inspector stellt SBOMs einzelne Ressourcen in Ihrer Umgebung bereit. Sie können die Amazon Inspector-Konsole oder Amazon Inspector verwendenAPI, um SBOMs für Ihre Ressourcen zu generieren. Sie können SBOMs für alle Ressourcen exportieren, die Amazon Inspector unterstützt und überwacht. Exportiert SBOMs bieten Informationen zu Ihrem Softwareangebot. Sie können den Status Ihrer Ressourcen überprüfen, indem Sie die Abdeckung Ihrer AWS Umgebung bewerten. In diesem Abschnitt wird die Konfiguration und der Export beschriebenSBOMs.

Anmerkung

Derzeit unterstützt Amazon Inspector den Export SBOMs für EC2 Windows-Amazon-Instances nicht.

Amazon Inspector Inspector-Formate

Amazon Inspector unterstützt den Export SBOMs in CyclonedX 1.4 - und SPDX2.3-kompatiblen Formaten. Amazon Inspector exportiert SBOMs als JSON Dateien in den Amazon S3 S3-Bucket Ihrer Wahl.

Anmerkung

SPDXFormatexporte von Amazon Inspector sind mit Systemen kompatibel, die SPDX2.3 verwenden, enthalten jedoch nicht das Feld Creative Commons Zero (CC0). Dies liegt daran, dass die Aufnahme dieses Felds es Benutzern ermöglichen würde, das Material weiterzuverteilen oder zu bearbeiten.


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filtert für SBOMs

Beim Exportieren können SBOMs Sie Filter hinzufügen, um Berichte für bestimmte Teilmengen von Ressourcen zu erstellen. Wenn Sie keinen Filter angeben, werden die SBOMs für alle aktiven, unterstützten Ressourcen exportiert. Und wenn Sie ein delegierter Administrator sind, umfasst dies auch Ressourcen für alle Mitglieder. Die folgenden Filter sind verfügbar:

  • AccountID — Dieser Filter kann SBOMs für den Export aller Ressourcen verwendet werden, die mit einer bestimmten Konto-ID verknüpft sind.

  • EC2Instanz-Tag — Dieser Filter kann SBOMs für den Export von EC2 Instanzen mit bestimmten Tags verwendet werden.

  • Funktionsname — Dieser Filter kann SBOMs für den Export bestimmter Lambda-Funktionen verwendet werden.

  • Bild-Tag — Dieser Filter kann SBOMs für den Export von Container-Images mit bestimmten Tags verwendet werden.

  • Lambda-Funktions-Tag — Dieser Filter kann SBOMs für den Export von Lambda-Funktionen mit bestimmten Tags verwendet werden.

  • Ressourcentyp — Dieser Filter kann verwendet werden, um den Ressourcentyp zu filtern:EC2/ECR/Lambda.

  • Ressourcen-ID — Dieser Filter kann verwendet werden, um einen nach einer SBOM bestimmten Ressource zu exportieren.

  • Repository-Name — Dieser Filter kann verwendet werden, um Container-Images in bestimmten Repositorys zu generierenSBOMs.

Konfigurieren und exportieren SBOMs

Für den Export SBOMs müssen Sie zunächst einen Amazon S3 S3-Bucket und einen AWS KMS Schlüssel konfigurieren, den Amazon Inspector verwenden darf. Sie können Filter verwenden, um SBOMs für bestimmte Teilmengen Ihrer Ressourcen zu exportieren. Um SBOMs für mehrere Konten in einer AWS Organisation zu exportieren, folgen Sie diesen Schritten, während Sie als delegierter Amazon Inspector-Administrator angemeldet sind.

Voraussetzungen

  • Unterstützte Ressourcen, die aktiv von Amazon Inspector überwacht werden.

  • Ein Amazon S3 S3-Bucket, der mit einer Richtlinie konfiguriert ist, die es Amazon Inspector ermöglicht, Objekte hinzuzufügen. Informationen zur Konfiguration der Richtlinie finden Sie unter Exportberechtigungen konfigurieren.

  • Ein AWS KMS Schlüssel, der mit einer Richtlinie konfiguriert ist, die es Amazon Inspector ermöglicht, Ihre Berichte zu verschlüsseln. Informationen zur Konfiguration der Richtlinie finden Sie unter Einen AWS KMS Schlüssel für den Export konfigurieren.

Anmerkung

Wenn Sie zuvor einen Amazon S3 S3-Bucket und einen AWS KMS Schlüssel für den Export von Ergebnissen konfiguriert haben, können Sie denselben Bucket und Schlüssel für den SBOM Export verwenden.

Wählen Sie Ihre bevorzugte Zugriffsmethode für den Export einesSBOM.

Console

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie mit der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region mit den Ressourcen aus, für die Sie exportieren möchten. SBOM

  3. Wählen Sie im Navigationsbereich Exportieren aus. SBOMs

  4. (Optional) Verwenden Sie auf der SBOMsExportseite das Menü Filter hinzufügen, um eine Teilmenge von Ressourcen auszuwählen, für die Berichte erstellt werden sollen. Wenn kein Filter angegeben ist, exportiert Amazon Inspector Berichte für alle aktiven Ressourcen. Wenn Sie ein delegierter Administrator sind, umfasst dies alle aktiven Ressourcen in Ihrer Organisation.

  5. Wählen Sie unter Exporteinstellung das gewünschte Format für. SBOM

  6. Geben Sie ein Amazon S3 ein URI oder wählen Sie Amazon S3 durchsuchen, um einen Amazon S3 S3-Standort zum Speichern des auszuwählenSBOM.

  7. Geben Sie einen AWS KMS Schlüssel ein, der für Amazon Inspector konfiguriert ist, um Ihre Berichte zu verschlüsseln.

API

  • Verwenden Sie SBOMs den CreateSbomExportBetrieb von Amazon Inspector, um Ihre Ressourcen programmgesteuert zu exportieren. API

    Verwenden Sie in Ihrer Anfrage den reportFormat Parameter, um das SBOM Ausgabeformat anzugeben, und wählen Sie CYCLONEDX_1_4 oder. SPDX_2_3 Der s3Destination Parameter ist erforderlich, und Sie müssen einen S3-Bucket angeben, der mit einer Richtlinie konfiguriert ist, die es Amazon Inspector ermöglicht, in diesen Bucket zu schreiben. Verwenden Sie optional resourceFilterCriteria Parameter, um den Umfang des Berichts auf bestimmte Ressourcen zu beschränken.

AWS CLI

  • AWS Command Line Interface Führen Sie den folgenden Befehl aus, um SBOMs für Ihre Ressourcen mit dem folgenden Befehl zu exportieren:

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Ersetzen Sie in Ihrer Anfrage FORMAT durch das Format Ihrer Wahl, CYCLONEDX_1_4 oderSPDX_2_3. Dann ersetze das Platzhalter für Benutzereingaben für das S3-Ziel mit dem Namen des S3-Buckets, in den exportiert werden soll, dem Präfix, das für die Ausgabe in S3 verwendet werden soll, und dem ARN für den KMS Schlüssel, den Sie zum Verschlüsseln der Berichte verwenden.