Scansioni dei certificati di Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Utilizzo delle scansioni dei Sbomgen certificati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansioni dei certificati di Amazon Inspector SBOM Generator SSL/TLS

Questa sezione descrive come utilizzare Amazon Inspector SBOM Generator per inventariare i certificati. SSL/TLS L'Sbomgeninventario SSL/TLS dei certificati cercando i certificati in posizioni predefinite e nelle directory fornite dall'utente. La funzionalità ha lo scopo di consentire agli utenti di effettuare l'inventario SSL/TLS dei certificati e di identificare i certificati scaduti. I certificati CA verranno visualizzati anche nell'inventario di output.

Utilizzo delle scansioni dei Sbomgen certificati

È possibile abilitare la raccolta dell'inventario dei SSL/TLS certificati utilizzando l'--scanners certificatesargomento. Le scansioni dei certificati possono essere combinate con qualsiasi altro scanner. Per impostazione predefinita, le scansioni dei certificati non sono abilitate.

SbomgenCerca i certificati in diverse posizioni a seconda dell'elemento da scansionare. In tutti i casi, i Sbomgen tentativi di estrarre i certificati in file con le seguenti estensioni. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
Il tipo di artefatto localhost

Se lo scanner di certificati è abilitato e il tipo di artefatto è localhost, cerca Sbomgen ricorsivamente i certificati in,, e /etc/*/ssl/opt/*/ssl/certs, /usr/local/*/ssl where non è vuoto. /var/lib/*/certs * Le directory fornite dall'utente verranno ricercate in modo ricorsivo, indipendentemente dal nome delle directory. In genere, CA/system i certificati non vengono inseriti in questi percorsi. Questi certificati si trovano spesso in cartelle denominate pkica-certs, oCA. Possono inoltre apparire nei percorsi di scansione predefiniti di localhost.

Elementi della directory e del contenitore

Durante la scansione degli elementi della directory o del contenitore, Sbomgen cerca i certificati posizionati in qualsiasi punto dell'elemento.

Esempi di comandi di scansione dei certificati

Di seguito sono riportati esempi di comandi di scansione dei certificati. Uno genera un SBOM che contiene solo certificati in una directory locale. Un altro genera un SBOM che contiene certificati e Alpine Rhel pacchetti in una directory locale. Debian Un altro genera un SBOM che contiene i certificati che si trovano in posizioni di certificati comuni. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Componente di file di esempio

Di seguito sono riportati due esempi di componenti per la ricerca di certificati. Quando un certificato scade, è possibile visualizzare una proprietà aggiuntiva che identifica la data di scadenza. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Esempio di componente di risposta alla vulnerabilità

L'esecuzione di Amazon Inspector SBOM Generator con il --scan-sbom flag invia la SBOM risultante ad Amazon Inspector per la scansione delle vulnerabilità. Di seguito è riportato un esempio di ricerca di certificati per un componente di risposta alle vulnerabilità. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}