Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Générateur de SBOM Amazon Inspector
Une nomenclature logicielle (SBOM) est une liste complète et formellement structurée de composants, de bibliothèques et de modules nécessaires à la création d'un logiciel.
Le générateur Amazon Inspector SBOM (Sbomgen) est un outil qui produit une nomenclature logicielle (SBOM) pour les archives, les images de conteneurs, les répertoires, les systèmes locaux, les compilés et les fichiers binaires. Go Rust
Sbomgenrecherche les fichiers contenant des informations sur les packages installés. Lorsqu'il Sbomgen trouve un fichier pertinent, il extrait les noms de package, les versions et les autres métadonnées. Sbomgentransforme ensuite les métadonnées du package en CycloneDX SBOM.
Vous pouvez l'utiliser Sbomgen comme outil autonome pour générer le CycloneDX SBOM sous forme de fichier ou vers STDOUT, ainsi que pour envoyer le SBOM à Amazon Inspector à des fins de détection des vulnérabilités.
Vous pouvez également l'utiliser dans le Sbomgen cadre de l'intégration CI/CD, qui scanne automatiquement les images des conteneurs dans le cadre de votre pipeline de déploiement.
Types de packages pris en charge
Sbomgencollecte l'inventaire des types de colis suivants :
-
Alpine APK
-
Debian/Ubuntu DPKG
-
Red Hat RPM
-
C#
-
Go
-
Java
-
Node.js
-
PHP
-
Python
-
Ruby
-
Rust
Contrôles de configuration d'image de conteneur pris en charge
Sbomgenpeut scanner des fichiers Dockerfiles autonomes et créer un historique à partir d'images existantes pour des problèmes de sécurité. Pour plus d'informations, consultez Amazon Inspector Dockerfile checks.
Installation deSbomgen
Sbomgenest uniquement disponible pour les systèmes d'exploitation Linux.
Vous devez l'avoir Docker installé si vous Sbomgen souhaitez analyser des images mises en cache localement. Dockern'est pas nécessaire pour analyser les images exportées sous forme de .tar
fichiers ou d'images hébergées dans des registres de conteneurs distants.
Amazon Inspector vous recommande de l'exécuter Sbomgen à partir d'un système présentant au moins les caractéristiques matérielles suivantes :
-
Processeur 4 cœurs
-
8 Go de RAM
Pour installer Sbomgen
-
Téléchargez le dernier fichier Sbomgen zip à partir de l'URL correspondant à votre architecture :
Linux AMD64 : https://.s3.amazonaws.com/latest/linux/amd64/inspector-sbomgen.zip amazon-inspector-sbomgen
Linux ARM64 : amazon-inspector-sbomgenhttps://.s3.amazonaws.com/latest/linux/arm64/inspector-sbomgen.zip
Vous pouvez également télécharger les versions précédentes du fichier zip Amazon Inspector SBOM Generator.
-
Décompressez le téléchargement à l'aide de la commande suivante :
unzip inspector-sbomgen.zip
-
Vérifiez la présence des fichiers suivants dans le répertoire extrait :
-
inspector-sbomgen
— Il s'agit de l'outil que vous allez exécuter pour générer des SBOM. -
README.txt
— Voici la documentation d'utilisationSbomgen. -
LICENSE.txt
— Ce fichier contient la licence logicielle pourSbomgen. -
licenses
— Ce dossier contient les informations de licence pour les packages tiers utilisés parSbomgen. -
checksums.txt
— Ce fichier fournit les hachages de l'Sbomgenoutil. -
sbom.json
— Il s'agit d'un CycloneDX SBOM pour l'Sbomgenoutil. -
WhatsNew.txt
— Ce fichier contient un journal des modifications résumé, qui vous permet de visualiser rapidement les principales modifications et améliorations entre Sbomgen les versions.
-
-
(Facultatif) Vérifiez l'authenticité et l'intégrité de l'outil à l'aide de la commande suivante :
sha256sum < inspector-sbomgen
-
Comparez les résultats avec le contenu du
checksums.txt
fichier.
-
-
Accordez des autorisations exécutables à l'outil à l'aide de la commande suivante :
chmod +x inspector-sbomgen
-
Vérifiez qu'il Sbomgen est correctement installé à l'aide de la commande suivante :
./inspector-sbomgen --version
Vous devriez obtenir un résultat similaire à ce qui suit :
Version: 1.X.X
Utiliser Sbomgen
Cette section décrit les différentes méthodes que vous pouvez utiliserSbomgen. Pour en savoir plus sur l'utilisation, consultez Sbomgen des exemples intégrés. Pour visualiser ces exemples, exécutez la list-examples
commande suivante :
./inspector-sbomgen list-examples
Génère un SBOM pour une image de conteneur et affiche le résultat
Vous pouvez l'utiliser Sbomgen pour générer des SBOM pour les images de conteneurs et générer le résultat dans un fichier. Cette fonctionnalité peut être activée à l'aide de la container
sous-commande.
Exemple de commande
Dans l'extrait suivant, vous pouvez remplacer par
l'ID de votre image et par le chemin image:tag
d'accès à la sortie que vous souhaitez enregistrer. output_path.json
# generate SBOM for container image ./inspector-sbomgen container
--image image:tag
-ooutput_path.json
Note
La durée et les performances de numérisation dépendent de la taille de l'image et de la taille du nombre de couches. Les images plus petites améliorent non seulement Sbomgen les performances, mais réduisent également la surface d'attaque potentielle. Les images plus petites améliorent également les temps de création, de téléchargement et de chargement des images.
Lors de l'utilisation Sbomgen avec ScanSbom
, l'API Amazon Inspector Scan ne traite pas les SBOM contenant plus de 2 000 packages. Dans ce scénario, l'API Amazon Inspector Scan renvoie une réponse HTTP 400.
Si une image inclut des fichiers ou des répertoires multimédias en masse, pensez à les exclure de Sbomgen l'utilisation de l'--skip-files
argument.
Générer un SBOM à partir de répertoires et d'archives
Vous pouvez l'utiliser Sbomgen pour générer des SBOM à partir de répertoires et d'archives. Cette fonctionnalité peut être activée à l'aide des archive
sous-commandes directory
ou. Amazon Inspector recommande d'utiliser cette fonctionnalité lorsque vous souhaitez générer une SBOM à partir d'un dossier de projet, tel qu'un dépôt git téléchargé.
Exemple de commande 1
L'extrait suivant montre une sous-commande qui génère une SBOM à partir d'un fichier de répertoire.
# generate SBOM from directory ./inspector-sbomgen directory --path /path/to/dir -o /tmp/sbom.json
Exemple de commande 2
L'extrait suivant montre une sous-commande qui génère une SBOM à partir d'un fichier d'archive. Les seuls formats d'archive pris en charge sont .zip
.tar
, et.tar.gz
.
# generate SBOM from archive file (tar, tar.gz, and zip formats only) ./inspector-sbomgen archive --path testData.zip -o /tmp/sbom.json
Génération d'un SBOM à partir de fichiers binaires Go compilés Rust
Vous pouvez l'utiliser Sbomgen pour générer des SBOM à partir de fichiers compilés Go et Rust binaires. Vous pouvez activer cette fonctionnalité par le biais de la binary
sous-commande :
./inspector-sbomgen binary --path /path/to/your/binary
Envoyez un SBOM à Amazon Inspector pour identifier les vulnérabilités
Outre la génération d'une SBOM, vous pouvez envoyer une SBOM à scanner à l'aide d'une seule commande depuis l'API Amazon Inspector Scan. Amazon Inspector évalue le contenu de la SBOM pour détecter les vulnérabilités avant de renvoyer les résultats à. Sbomgen En fonction de votre saisie, les résultats peuvent être affichés ou écrits dans un fichier.
Note
Pour utiliser cette fonctionnalité, vous devez disposer InspectorScan:ScanSbom
d'une autorisation de lecture active Compte AWS .
Pour activer cette fonctionnalité, vous devez transmettre l'--scan-sbom
argument à la Sbomgen CLI. Vous pouvez également transmettre l'--scan-sbom
argument à l'une des Sbomgen sous-commandes suivantes :archive
,binary
, container
directory
,localhost
.
Note
L'API Amazon Inspector Scan ne traite pas les SBOM contenant plus de 2 000 packages. Dans ce scénario, l'API Amazon Inspector Scan renvoie une réponse HTTP 400.
Vous pouvez vous authentifier auprès d'Amazon Inspector via un AWS profil ou un rôle IAM avec les arguments suivants : AWS CLI
--aws-profile
profile
--aws-regionregion
--aws-iam-role-arnrole_arn
Vous pouvez également vous authentifier auprès d'Amazon Inspector en fournissant les variables d'environnement suivantes àSbomgen.
AWS_ACCESS_KEY_ID=$access_key \ AWS_SECRET_ACCESS_KEY=$secret_key \ AWS_DEFAULT_REGION=$region \ ./inspector-sbomgen
arguments
Pour spécifier le format de réponse, utilisez l'--scan-sbom-output-format cyclonedx
argument ou l'--scan-sbom-output-format inspector
argument.
Exemple de commande 1
Cette commande crée une SBOM pour la dernière Alpine Linux version, analyse la SBOM et écrit les résultats de la vulnérabilité dans un fichier JSON.
./inspector-sbomgen container --image alpine:latest \ --scan-sbom \ --aws-profile
your_profile
\ --aws-regionyour_region
\ --scan-sbom-output-format cyclonedx \ --outfile /tmp/inspector_scan.json
Exemple de commande 2
Cette commande s'authentifie auprès d'Amazon Inspector en utilisant les AWS informations d'identification comme variables d'environnement.
AWS_ACCESS_KEY_ID=$your_access_key \ AWS_SECRET_ACCESS_KEY=$your_secret_key \ AWS_DEFAULT_REGION=$your_region \ ./inspector-sbomgen container --image alpine:latest \ -o /tmp/sbom.json \ --scan-sbom \ --scan-sbom-output-format inspector
Exemple de commande 3
Cette commande s'authentifie auprès d'Amazon Inspector à l'aide de l'ARN d'un rôle IAM.
./inspector-sbomgen container --image alpine:latest \ --scan-sbom \ --aws-profile your_profile \ --aws-region your_region \ --outfile /tmp/inspector_scan.json --aws-iam-role-arn arn:aws:iam::123456789012:role/
your_role
Personnalisez les scans pour exclure des fichiers spécifiques
Lors de l'analyse et du traitement d'une image de conteneur, Sbomgen scanne la taille de tous les fichiers de cette image de conteneur. Vous pouvez personnaliser les analyses pour exclure des fichiers spécifiques ou cibler des packages spécifiques.
Pour réduire la consommation de disque, la consommation de RAM, le temps d'exécution écoulé et ignorer les fichiers qui dépassent le seuil indiqué, utilisez l'--max-file-size
argument associé à la sous-commande : container
./inspector-sbomgen container --image alpine:latest \ --outfile /tmp/sbom.json \ --max-file-size 300000000
Désactiver l'indicateur de progression
Sbomgenaffiche un indicateur de progression de rotation qui peut entraîner l'apparition de barres obliques excessives dans les environnements CI/CD.
INFO[2024-02-01 14:58:46]coreV1.go:53: analyzing artifact | \ / | \ / INFO[2024-02-01 14:58:46]coreV1.go:62: executing post-processors
Vous pouvez désactiver l'indicateur de progression à l'aide de l'--disable-progress-bar
argument :
./inspector-sbomgen container --image alpine:latest \ --outfile /tmp/sbom.json \ --disable-progress-bar
Authentification auprès de registres privés avec Sbomgen
En fournissant les informations d'authentification de votre registre privé, vous pouvez générer des SBOM à partir de conteneurs hébergés dans des registres privés. Vous pouvez fournir ces informations d'identification par les méthodes suivantes :
Authentifier à l'aide des informations d'identification mises en cache (recommandé)
Pour cette méthode, vous devez vous authentifier auprès de votre registre de conteneurs. Par exemple, si vous utilisezDocker, vous pouvez vous authentifier auprès de votre registre de conteneurs à l'aide de la commande de Docker journalisation :. docker login
-
Authentifiez-vous auprès de votre registre de conteneurs. Par exemple, si vous utilisezDocker, vous pouvez vous authentifier auprès de votre registre à l'aide de la Docker
login
commande suivante : -
Après vous être authentifié auprès de votre registre de conteneurs, utilisez-le Sbomgen sur une image de conteneur qui se trouve dans le registre. Pour utiliser l'exemple suivant, remplacez-le
par le nom de l'image à numériser :image:tag
./inspector-sbomgen container --image
image:tag
Authentifier à l'aide de la méthode interactive
Pour cette méthode, entrez votre nom d'utilisateur comme paramètre et vous Sbomgen serez invité à saisir un mot de passe sécurisé en cas de besoin.
Pour utiliser l'exemple suivant, remplacez-le
par le nom de l'image que vous souhaitez numériser et image:tag
par un nom d'utilisateur ayant accès à l'image : your_username
./inspector-sbomgen container --image
image:tag
--usernameyour_username
Authentifiez-vous à l'aide de la méthode non interactive
Pour cette méthode, enregistrez votre mot de passe ou votre jeton de registre dans un .txt
fichier.
Note
L'utilisateur actuel ne devrait pouvoir lire que ce fichier. Le fichier doit également contenir votre mot de passe ou votre jeton sur une seule ligne.
Pour utiliser l'exemple suivant, remplacez-le
par votre nom d'utilisateur, your_username
par le password.txt
.txt
fichier contenant votre mot de passe ou votre jeton sur une seule ligne et
par le nom de l'image à numériser : image:tag
INSPECTOR_SBOMGEN_USERNAME=
your_username
\ INSPECTOR_SBOMGEN_PASSWORD=`catpassword.txt
` \ ./inspector-sbomgen container --imageimage:tag
Exemples de sorties de Sbomgen
Voici un exemple de SBOM pour une image de conteneur inventoriée à l'aide de. Sbomgen
{ "bomFormat": "CycloneDX", "specVersion": "1.5", "serialNumber": "urn:uuid:828875ef-8c32-4777-b688-0af96f3cf619", "version": 1, "metadata": { "timestamp": "2023-11-17T21:36:38Z", "tools": [ { "vendor": "Amazon Web Services, Inc. (AWS)", "name": "Amazon Inspector SBOM Generator", "version": "1.0.0", "hashes": [ { "alg": "SHA-256", "content": "10ab669cfc99774786301a745165b5957c92ed9562d19972fbf344d4393b5eb1" } ] } ], "component": { "bom-ref": "comp-1", "type": "container", "name": "fedora:latest", "properties": [ { "name": "amazon:inspector:sbom_generator:image_id", "value": "sha256:c81c8ae4dda7dedc0711daefe4076d33a88a69a28c398688090c1141eff17e50" }, { "name": "amazon:inspector:sbom_generator:layer_diff_id", "value": "sha256:eddd0d48c295dc168d0710f70364581bd84b1dda6bb386c4a4de0b61de2f2119" } ] } }, "components": [ { "bom-ref": "comp-2", "type": "library", "name": "dnf", "version": "4.18.0", "purl": "pkg:pypi/dnf@4.18.0", "properties": [ { "name": "amazon:inspector:sbom_generator:source_file_scanner", "value": "python-pkg" }, { "name": "amazon:inspector:sbom_generator:source_package_collector", "value": "python-pkg" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/usr/lib/python3.12/site-packages/dnf-4.18.0.dist-info/METADATA" }, { "name": "amazon:inspector:sbom_generator:is_duplicate_package", "value": "true" }, { "name": "amazon:inspector:sbom_generator:duplicate_purl", "value": "pkg:rpm/fedora/python3-dnf@4.18.0-2.fc39?arch=noarch&distro=39&epoch=0" } ] }, { "bom-ref": "comp-3", "type": "library", "name": "libcomps", "version": "0.1.20", "purl": "pkg:pypi/libcomps@0.1.20", "properties": [ { "name": "amazon:inspector:sbom_generator:source_file_scanner", "value": "python-pkg" }, { "name": "amazon:inspector:sbom_generator:source_package_collector", "value": "python-pkg" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/usr/lib64/python3.12/site-packages/libcomps-0.1.20-py3.12.egg-info/PKG-INFO" }, { "name": "amazon:inspector:sbom_generator:is_duplicate_package", "value": "true" }, { "name": "amazon:inspector:sbom_generator:duplicate_purl", "value": "pkg:rpm/fedora/python3-libcomps@0.1.20-1.fc39?arch=x86_64&distro=39&epoch=0" } ] } ] }