Pemindaian sertifikat Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Menggunakan pemindaian Sbomgen sertifikat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemindaian sertifikat Amazon Inspector SBOM Generator SSL/TLS

Bagian ini menjelaskan cara menggunakan Amazon Inspector SBOM Generator untuk inventaris sertifikat. SSL/TLS SbomgenInventaris SSL/TLS sertifikat dengan mencari sertifikat di lokasi yang telah ditentukan serta direktori yang disediakan oleh pengguna. Fitur ini dimaksudkan untuk memungkinkan pengguna untuk inventaris SSL/TLS sertifikat serta mengidentifikasi sertifikat kedaluwarsa. Sertifikat CA juga akan muncul di inventaris keluaran.

Menggunakan pemindaian Sbomgen sertifikat

Anda dapat mengaktifkan pengumpulan inventaris SSL/TLS sertifikat menggunakan --scanners certificates argumen. Pemindaian sertifikat dapat dikombinasikan dengan pemindai lainnya. Secara default, pemindaian sertifikat tidak diaktifkan.

SbomgenPencarian lokasi yang berbeda untuk sertifikat tergantung pada artefak yang dipindai. Dalam semua kasus, Sbomgen upaya untuk mengekstrak sertifikat dalam file dengan ekstensi berikut. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
Jenis artefak localhost

Jika pemindai sertifikat diaktifkan dan jenis artefak adalah localhost, Sbomgen secara rekursif mencari sertifikat di/etc/*/ssl,,, dan /opt/*/ssl/certs /usr/local/*/ssl/var/lib/*/certs, where * tidak kosong. Direktori yang disediakan pengguna akan dicari secara rekursif, terlepas dari direktori apa yang dinamai. Biasanya, CA/system sertifikat tidak ditempatkan di jalur ini. Sertifikat ini sering dalam folder bernamapki,ca-certs, atauCA. Mereka juga dapat muncul di jalur pemindaian localhost default.

Direktori dan artefak kontainer

Saat memindai direktori atau artefak kontainer, Sbomgen pencarian sertifikat terletak di mana saja pada artefak.

Contoh perintah pemindaian sertifikat

Berikut ini berisi contoh perintah pemindaian sertifikat. Satu menghasilkan SBOM yang hanya berisi sertifikat di direktori lokal. Lain menghasilkan SBOM yang berisi sertifikat danAlpine,Debian, dan Rhel paket dalam direktori lokal. Lain menghasilkan SBOM yang berisi sertifikat ditemukan di lokasi sertifikat umum. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Contoh komponen file

Berikut ini berisi dua contoh komponen pencarian sertifikat. Ketika sertifikat kedaluwarsa, Anda dapat melihat properti tambahan yang mengidentifikasi tanggal kedaluwarsa. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Contoh komponen respons kerentanan

Menjalankan Amazon Inspector SBOM Generator dengan --scan-sbom flag mengirimkan SBOM yang dihasilkan ke Amazon Inspector untuk pemindaian kerentanan. Berikut ini adalah contoh penemuan sertifikat untuk komponen respons kerentanan. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}