Amazon Inspector SBOM Generator-Zertifikatscans SSL/TLS - Amazon Inspector
Verwenden von Sbomgen Zertifikatscans

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Inspector SBOM Generator-Zertifikatscans SSL/TLS

In diesem Abschnitt wird beschrieben, wie Sie den Amazon Inspector SBOM Generator zur Inventarisierung SSL/TLS von Zertifikaten verwenden. Er Sbomgen inventarisiert SSL/TLS Zertifikate, indem er nach Zertifikaten an vordefinierten Speicherorten sowie in vom Benutzer bereitgestellten Verzeichnissen sucht. Die Funktion soll es Benutzern ermöglichen, SSL/TLS Zertifikate zu inventarisieren und abgelaufene Zertifikate zu identifizieren. CA-Zertifikate werden auch im Ausgabeinventar angezeigt.

Verwenden von Sbomgen Zertifikatscans

Sie können die Erfassung des SSL/TLS Zertifikatinventars mithilfe des --scanners certificates Arguments aktivieren. Zertifikatscans können mit jedem der anderen Scanner kombiniert werden. Standardmäßig sind Zertifikatscans nicht aktiviert.

Der Sbomgen durchsucht je nach dem gescannten Artefakt an verschiedenen Orten nach Zertifikaten. In allen Fällen wird Sbomgen versucht, Zertifikate in Dateien mit den folgenden Erweiterungen zu extrahieren. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
Der Artefakttyp Localhost

Wenn der Zertifikatsscanner aktiviert ist und der Artefakttyp localhost ist, sucht er Sbomgen rekursiv nach Zertifikaten in/etc/*/ssl,, und /opt/*/ssl/certs /usr/local/*/ssl/var/lib/*/certs, wobei nicht leer ist. * Vom Benutzer bereitgestellte Verzeichnisse werden rekursiv durchsucht, unabhängig davon, welche Verzeichnisse benannt sind. In der Regel werden CA/system Zertifikate nicht in diesen Pfaden platziert. Diese Zertifikate befinden sich häufig in Ordnern mit dem Namen pkica-certs,, oderCA. Sie können auch in den standardmäßigen Localhost-Scanpfaden vorkommen.

Verzeichnis- und Container-Artefakte

Beim Scannen von Verzeichnis- oder Container-Artefakten wird nach Zertifikaten Sbomgen gesucht, die sich irgendwo auf dem Artefakt befinden.

Beispiele für Befehle zum Scannen von Zertifikaten

Im Folgenden finden Sie Beispiele für Befehle zum Scannen von Zertifikaten. Man generiert eine SBOM, die nur Zertifikate in einem lokalen Verzeichnis enthält. Eine andere generiert eine SBOM, die Zertifikate und AlpineDebian, und Rhel Pakete in einem lokalen Verzeichnis enthält. Ein anderer generiert eine SBOM, die Zertifikate enthält, die sich an gängigen Zertifikatsspeicherorten befinden. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Beispiel für eine Dateikomponente

Im Folgenden finden Sie zwei Beispielkomponenten für die Suche nach Zertifikaten. Wenn ein Zertifikat abläuft, können Sie eine zusätzliche Eigenschaft anzeigen, die das Ablaufdatum angibt. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Beispiel einer Komponente zur Reaktion auf Sicherheitslücken

Wenn Sie den Amazon Inspector SBOM Generator mit der --scan-sbom Markierung ausführen, wird die resultierende SBOM zur Schwachstellensuche an Amazon Inspector gesendet. Im Folgenden finden Sie ein Beispiel für die Suche nach einem Zertifikat für eine Komponente zur Reaktion auf Sicherheitslücken. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}