Escaneos de certificados de Amazon Inspector SBOM Generator SSL/TLS

En esta sección se describe cómo utilizar el generador SBOM de Amazon Inspector para SSL/TLS inventariar certificados. El Sbomgen inventario de SSL/TLS los certificados se realiza mediante la búsqueda de certificados en ubicaciones predefinidas, así como en los directorios proporcionados por el usuario. La función está destinada a permitir a los usuarios hacer un inventario de SSL/TLS los certificados e identificar los certificados vencidos. Los certificados de CA también aparecerán en el inventario de salida.

Uso de escaneos Sbomgen de certificados

Puede habilitar la recopilación SSL/TLS de inventario de certificados mediante el --scanners certificates argumento. Los escaneos de certificados se pueden combinar con cualquiera de los otros escáneres. De forma predeterminada, los escaneos de certificados no están habilitados.

SbomgenBusca certificados en diferentes ubicaciones según el artefacto que se esté escaneando. En todos los casos, Sbomgen intenta extraer los certificados de archivos con las siguientes extensiones.


.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx

El tipo de artefacto localhost

Si el escáner de certificados está activado y el tipo de artefacto es localhost, busca de Sbomgen forma recursiva los certificados en/etc/*/ssl,, y /opt/*/ssl/certs /usr/local/*/ssl/var/lib/*/certs, donde no estén vacíos. * Los directorios proporcionados por el usuario se buscarán de forma recursiva, independientemente del nombre de los directorios. Por lo general, CA/system los certificados no se colocan en estas rutas. Estos certificados suelen estar en carpetas denominadas pkica-certs, oCA. También pueden aparecer en las rutas de escaneo predeterminadas del localhost.

Artefactos de directorios y contenedores

Al escanear artefactos de directorios o contenedores, Sbomgen busca certificados ubicados en cualquier parte del artefacto.

Ejemplos de comandos de escaneo de certificados

A continuación, se incluyen ejemplos de comandos de escaneo de certificados. Uno genera una SBOM que solo contiene certificados en un directorio local. Otra genera una SBOM que contiene certificados y Alpine Rhel paquetes en un directorio local. Debian Otro genera una SBOM que contiene los certificados que se encuentran en ubicaciones de certificados comunes.


# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates

Componente de archivo de ejemplo

A continuación, se incluyen dos ejemplos de componentes de búsqueda de certificados. Cuando un certificado caduca, puede ver una propiedad adicional que identifica la fecha de caducidad.


{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}

Componente de respuesta a vulnerabilidades de ejemplo

Al ejecutar el generador de SBOM de Amazon Inspector con la --scan-sbom marca, se envía la SBOM resultante a Amazon Inspector para que analice las vulnerabilidades. A continuación, se muestra un ejemplo de la búsqueda de un certificado para un componente de respuesta a una vulnerabilidad.


{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Colección de ecosistemas

Recopilación de licencias