Esportazione di SBOM con Amazon Inspector - Amazon Inspector
Formati Amazon InspectorFiltri per SBOMConfigura ed esporta gli SBOM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione di SBOM con Amazon Inspector

Una lista dei materiali software (SBOM) è un inventario annidato di tutti i componenti software open source e di terze parti della tua codebase. Amazon Inspector fornisce SBOM per le singole risorse del tuo ambiente.

Puoi utilizzare la console Amazon Inspector o l'API Amazon Inspector per generare SBOM per le tue risorse. Questo argomento descrive come esportare gli SBOM. Puoi esportare gli SBOM per tutte le risorse supportate e monitorate da Amazon Inspector.

Gli SBOM esportati forniscono informazioni sulla fornitura di software, come i pacchetti più comunemente usati e le vulnerabilità associate all'interno dell'organizzazione. Puoi controllare lo stato delle tue risorse tramite. Valutazione della copertura di Amazon Inspector del tuo ambiente AWS

Nota

Attualmente, Amazon Inspector non supporta l'esportazione di SBOM per istanze Windows Amazon EC2.

Formati Amazon Inspector

Amazon Inspector supporta l'esportazione di SBOM in formati compatibili con CyclonedX 1.4 e SPDX 2.3. Amazon Inspector esporta gli SBOM come JSON file nel bucket Amazon S3 di tua scelta.

Nota

Le esportazioni in formato SPDX da Amazon Inspector sono compatibili con i sistemi che utilizzano SPDX 2.3, tuttavia non contengono il campo Creative Commons Zero (CC0). Questo perché l'inclusione di questo campo consentirebbe agli utenti di ridistribuire o modificare il materiale.


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filtri per SBOM

Quando esportate gli SBOM, potete includere filtri per creare report per sottoinsiemi specifici di risorse. Se non fornite un filtro, vengono esportati gli SBOM per tutte le risorse attive e supportate. E se sei un amministratore delegato, questo include anche risorse per tutti i membri. I filtri disponibili sono:

  • AccountID: questo filtro può essere utilizzato per esportare gli SBOM per qualsiasi risorsa associata a un ID account specifico.

  • Tag di istanza EC2: questo filtro può essere utilizzato per esportare SBOM per istanze EC2 con tag specifici.

  • Nome funzione: questo filtro può essere utilizzato per esportare SBOM per funzioni Lambda specifiche.

  • Tag immagine: questo filtro può essere utilizzato per esportare SBOM per immagini di contenitori con tag specifici.

  • Tag funzione Lambda: questo filtro può essere utilizzato per esportare SBOM per funzioni Lambda con tag specifici.

  • Tipo di risorsa: questo filtro può essere utilizzato per filtrare il tipo di risorsa: EC2/ECR/Lambda.

  • ID risorsa: questo filtro può essere utilizzato per esportare un SBOM per una risorsa specifica.

  • Nome del repository: questo filtro può essere utilizzato per generare SBOM per le immagini dei contenitori in repository specifici.

Configura ed esporta gli SBOM

Per esportare gli SBOM, devi prima configurare un bucket Amazon S3 e AWS KMS una chiave che Amazon Inspector può utilizzare. Puoi utilizzare i filtri per esportare gli SBOM per sottoinsiemi specifici delle tue risorse. Per esportare gli SBOM per più account in un' AWS organizzazione, segui questi passaggi dopo aver effettuato l'accesso come amministratore delegato di Amazon Inspector.

Prerequisiti
Nota

Se in precedenza hai configurato un bucket Amazon S3 e una AWS KMS chiave per l'esportazione dei risultati, puoi utilizzare lo stesso bucket e la stessa chiave per l'esportazione SBOM.

Scegli il tuo metodo di accesso preferito per esportare un SBOM.

Console

  1. Accedi utilizzando le tue credenziali, quindi apri la console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/v2/home.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione con le risorse per cui desideri esportare SBOM.

  3. Nel pannello di navigazione, scegli Esporta SBOM.

  4. (Facoltativo) Nella pagina Esporta SBOM, utilizzate il menu Aggiungi filtro per selezionare un sottoinsieme di risorse per cui creare report. Se non viene fornito alcun filtro, Amazon Inspector esporterà i report per tutte le risorse attive. Se sei un amministratore delegato, questo includerà tutte le risorse attive della tua organizzazione.

  5. In Impostazioni di esportazione selezionate il formato desiderato per la SBOM.

  6. Inserisci un URI Amazon S3 o scegli Browse Amazon S3 per selezionare una posizione Amazon S3 in cui archiviare la SBOM.

  7. Inserisci una AWS KMS chiave configurata per Amazon Inspector da utilizzare per crittografare i report.

API

  • Per esportare gli SBOM per le tue risorse in modo programmatico, utilizza il CreateSbomExportfunzionamento dell'API Amazon Inspector.

    Nella tua richiesta, utilizza il reportFormat parametro per specificare il formato di output SBOM, scegli o. CYCLONEDX_1_4 SPDX_2_3 Il s3Destination parametro è obbligatorio ed è necessario specificare un bucket S3 configurato con una policy che consenta ad Amazon Inspector di scrivere su di esso. Facoltativamente, utilizza resourceFilterCriteria i parametri per limitare l'ambito del report a risorse specifiche.

AWS CLI

  • Per esportare gli SBOM per le tue risorse usando il seguente AWS Command Line Interface comando:

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=DOC-EXAMPLE-BUCKET1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Nella richiesta, sostituite FORMAT con il formato che preferite, CYCLONEDX_1_4 oppureSPDX_2_3. Quindi sostituisci user input placeholdersfor the s3 destination con il nome del bucket S3 in cui esportare, il prefisso da usare per l'output in S3 e l'ARN per la chiave KMS che stai utilizzando per crittografare i report.