Mengekspor SBOM dengan Amazon Inspector - Amazon Inspector
Format Amazon InspectorFilter untuk SBOMKonfigurasikan dan ekspor SBOM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengekspor SBOM dengan Amazon Inspector

Software bill of materials (SBOM) adalah inventaris bersarang dari semua komponen perangkat lunak open-source dan pihak ketiga dari basis kode Anda. Amazon Inspector menyediakan SBOM untuk sumber daya individual di lingkungan Anda.

Anda dapat menggunakan konsol Amazon Inspector atau Amazon Inspector API untuk menghasilkan SBOM untuk sumber daya Anda. Topik ini menjelaskan cara mengekspor SBOM. Anda dapat mengekspor SBOM untuk semua sumber daya yang didukung dan dipantau oleh Amazon Inspector.

SBOM yang diekspor memberikan informasi tentang pasokan perangkat lunak Anda, seperti paket yang paling umum digunakan dan kerentanan terkait di seluruh organisasi Anda. Anda dapat meninjau status sumber daya Anda denganMenilai cakupan Amazon Inspector dari lingkungan Anda AWS.

catatan

Saat ini, Amazon Inspector tidak mendukung ekspor SBOM untuk instans Windows Amazon EC2.

Format Amazon Inspector

Amazon Inspector mendukung ekspor SBOM dalam format yang kompatibel dengan CycloneDX 1.4 dan SPDX 2.3. Amazon Inspector mengekspor SBOM sebagai file JSON ke bucket Amazon S3 yang Anda pilih.

catatan

Ekspor format SPDX dari Amazon Inspector kompatibel dengan sistem yang menggunakan SPDX 2.3, namun tidak mengandung bidang Creative Commons Zero (CC0). Ini karena menyertakan bidang ini akan memungkinkan pengguna untuk mendistribusikan ulang atau mengedit materi.


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filter untuk SBOM

Saat Anda mengekspor SBOM, Anda dapat menyertakan filter untuk membuat laporan untuk subset sumber daya tertentu. Jika Anda tidak menyediakan filter, SBOM untuk semua sumber daya aktif yang didukung akan diekspor. Dan jika Anda adalah administrator yang didelegasikan, ini termasuk sumber daya untuk semua anggota juga. Filter berikut tersedia:

  • AccountID — Filter ini dapat digunakan untuk mengekspor SBOM untuk sumber daya apa pun yang terkait dengan ID Akun tertentu.

  • Tag instans EC2 - Filter ini dapat digunakan untuk mengekspor SBOM untuk instans EC2 dengan tag tertentu.

  • Nama fungsi - Filter ini dapat digunakan untuk mengekspor SBOM untuk fungsi Lambda tertentu.

  • Tag gambar - Filter ini dapat digunakan untuk mengekspor SBOM untuk gambar kontainer dengan tag tertentu.

  • Tag fungsi Lambda - Filter ini dapat digunakan untuk mengekspor SBOM untuk fungsi Lambda dengan tag tertentu.

  • Jenis sumber daya - Filter ini dapat digunakan untuk memfilter jenis sumber daya: EC2/ECR/Lambda.

  • ID Sumber Daya — Filter ini dapat digunakan untuk mengekspor SBOM untuk sumber daya tertentu.

  • Nama repositori —Filter ini dapat digunakan untuk menghasilkan SBOM untuk gambar kontainer di repositori tertentu.

Konfigurasikan dan ekspor SBOM

Untuk mengekspor SBOM, Anda harus terlebih dahulu mengonfigurasi bucket Amazon S3 dan kunci AWS KMS yang diizinkan untuk digunakan oleh Amazon Inspector. Anda dapat menggunakan filter untuk mengekspor SBOM untuk himpunan bagian tertentu dari sumber daya Anda. Untuk mengekspor SBOM untuk beberapa akun di AWS Organisasi, ikuti langkah-langkah ini saat masuk sebagai administrator yang didelegasikan Amazon Inspector.

Prasyarat

  • Sumber daya yang didukung yang sedang dipantau secara aktif oleh Amazon Inspector.

  • Bucket Amazon S3 yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector menambahkan objek. Untuk informasi tentang mengonfigurasi kebijakan, lihat Mengonfigurasi izin ekspor.

  • AWS KMS Kunci yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector digunakan untuk mengenkripsi laporan Anda. Untuk informasi tentang mengonfigurasi kebijakan, lihat Mengonfigurasi AWS KMS kunci untuk ekspor.

catatan

Jika sebelumnya Anda telah mengonfigurasi bucket Amazon S3 dan AWS KMS kunci untuk ekspor temuan, Anda dapat menggunakan bucket dan kunci yang sama untuk ekspor SBOM.

Pilih metode akses pilihan Anda untuk mengekspor SBOM.

Console

  1. Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  2. Menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah dengan sumber daya yang ingin Anda ekspor SBOM.

  3. Di panel navigasi, pilih Ekspor SBOM.

  4. (Opsional) Di halaman Ekspor SBOM, gunakan menu Tambahkan filter untuk memilih subset sumber daya untuk membuat laporan. Jika tidak ada filter yang disediakan, Amazon Inspector akan mengekspor laporan untuk semua sumber daya aktif. Jika Anda adalah administrator yang didelegasikan, ini akan mencakup semua sumber daya aktif di organisasi Anda.

  5. Di bawah Pengaturan ekspor pilih format yang Anda inginkan untuk SBOM.

  6. Masukkan URI Amazon S3 atau pilih Jelajahi Amazon S3 untuk memilih lokasi Amazon S3 untuk menyimpan SBOM.

  7. Masukkan AWS KMS kunci yang dikonfigurasi untuk Amazon Inspector untuk digunakan untuk mengenkripsi laporan Anda.

API

  • Untuk mengekspor SBOM untuk sumber daya Anda secara terprogram, gunakan CreateSbomExportpengoperasian Amazon Inspector API.

    Dalam permintaan Anda, gunakan reportFormat parameter untuk menentukan format output SBOM, pilih CYCLONEDX_1_4 atauSPDX_2_3. s3DestinationParameter diperlukan dan Anda harus menentukan bucket S3 yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector menulis ke sana. Secara opsional gunakan resourceFilterCriteria parameter untuk membatasi ruang lingkup laporan ke sumber daya tertentu.

AWS CLI

  • Untuk mengekspor SBOM untuk sumber daya Anda menggunakan AWS Command Line Interface jalankan perintah berikut:

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=DOC-EXAMPLE-BUCKET1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Dalam permintaan Anda, ganti FORMAT dengan format pilihan Anda, CYCLONEDX_1_4 atauSPDX_2_3. Kemudian ganti user input placeholdersuntuk tujuan s3 dengan nama bucket S3 untuk diekspor, awalan yang akan digunakan untuk output di S3, dan ARN untuk kunci KMS yang Anda gunakan untuk mengenkripsi laporan.