Scans de certificats Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Utilisation de scans Sbomgen de certificats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Scans de certificats Amazon Inspector SBOM Generator SSL/TLS

Cette section décrit comment utiliser le générateur Amazon Inspector SBOM pour inventorier SSL/TLS les certificats. L'Sbomgeninventaire des SSL/TLS certificats est effectué en recherchant des certificats dans des emplacements prédéfinis ainsi que dans des annuaires fournis par l'utilisateur. Cette fonctionnalité est destinée à permettre aux utilisateurs d'inventorier les SSL/TLS certificats et d'identifier les certificats expirés. Les certificats CA apparaîtront également dans l'inventaire des sorties.

Utilisation de scans Sbomgen de certificats

Vous pouvez activer la collecte de l'inventaire des SSL/TLS certificats à l'aide de l'--scanners certificatesargument. Les scans de certificats peuvent être combinés avec n'importe quel autre scanner. Par défaut, les scans de certificats ne sont pas activés.

Il Sbomgen recherche les certificats à différents endroits en fonction de l'artefact numérisé. Dans tous les cas, les Sbomgen tentatives d'extraction des certificats se trouvent dans des fichiers portant les extensions suivantes. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
Le type d'artefact localhost

Si le scanner de certificats est activé et que le type d'artefact est localhost, il recherche Sbomgen récursivement les certificats dans/etc/*/ssl,, et /opt/*/ssl/certs /usr/local/*/ssl/var/lib/*/certs, où * n'est pas vide. Les répertoires fournis par l'utilisateur feront l'objet d'une recherche récursive, quel que soit le nom des répertoires. Généralement, les CA/system certificats ne sont pas placés dans ces chemins. Ces certificats se trouvent souvent dans des dossiers nommés pkica-certs, ouCA. Ils peuvent également apparaître dans les chemins d'analyse par défaut de localhost.

Artefacts du répertoire et du conteneur

Lors de la numérisation d'artefacts d'un répertoire ou d'un conteneur, il Sbomgen recherche les certificats situés n'importe où sur l'artefact.

Exemples de commandes d'analyse de certificats

Vous trouverez ci-dessous des exemples de commandes d'analyse de certificats. On génère un SBOM qui ne contient que des certificats dans un répertoire local. Un autre génère une SBOM contenant des certificats et AlpineDebian, et des Rhel packages dans un répertoire local. Un autre génère une SBOM qui contient les certificats trouvés dans des emplacements de certificats courants. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Exemple de composant de fichier

Vous trouverez ci-dessous deux exemples de composants de recherche de certificats. Lorsqu'un certificat expire, vous pouvez consulter une propriété supplémentaire qui identifie la date d'expiration. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Exemple de composant de réponse aux vulnérabilités

L'exécution du générateur SBOM Amazon Inspector avec l'--scan-sbomindicateur envoie le SBOM obtenu à Amazon Inspector pour analyse des vulnérabilités. Voici un exemple de recherche de certificat pour un composant de réponse à une vulnérabilité. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}