Tipi di pacchetti supportati Controlli di configurazione dell'immagine del contenitore supportati Installazione di Sbomgen Uso di Sbomgen Autenticazione in registri privati con Sbomgen Esempi di risultati da Sbomgen

Generatore SBOM Amazon Inspector

Una Software Bill of Materials (SBOM) è un elenco completo e formalmente strutturato di componenti, librerie e moduli necessari per creare un software.

Amazon Inspector SBOM Generator (Sbomgen) è uno strumento che produce una distinta base del software (SBOM) per archivi, immagini di container, directory, sistemi locali, compilati e binari. Go Rust

Sbomgencerca i file che contengono informazioni sui pacchetti installati. Quando Sbomgen trova un file pertinente, estrae i nomi dei pacchetti, le versioni e altri metadati. Sbomgenquindi trasforma i metadati del pacchetto in un SBOM. CycloneDX

Puoi utilizzarlo Sbomgen come strumento autonomo per generare la CycloneDX SBOM come file o su STDOUT, nonché per inviare SBOM ad Amazon Inspector per il rilevamento delle vulnerabilità.

Puoi anche utilizzarlo Sbomgen come parte dell'integrazione CI/CD, che scansiona automaticamente le immagini dei container come parte della tua pipeline di distribuzione.

Tipi di pacchetti supportati

Sbomgenraccoglie l'inventario per i seguenti tipi di pacchi:

Alpine APK
Debian/Ubuntu DPKG
Red Hat RPM
C#
Go
Java
Node.js
PHP
Python
Ruby
Rust

Controlli di configurazione dell'immagine del contenitore supportati

Sbomgenpuò scansionare file Dockerfile autonomi e creare una cronologia da immagini esistenti per individuare problemi di sicurezza. Per ulteriori informazioni, consulta Amazon Inspector Dockerfile checks.

Installazione di Sbomgen

Sbomgenè disponibile solo per i sistemi operativi Linux.

È necessario averlo Docker installato se si desidera analizzare Sbomgen le immagini memorizzate nella cache locale. Dockernon è necessario analizzare le immagini esportate come .tar file o le immagini ospitate in registri di container remoti.

Amazon Inspector consiglia l'esecuzione Sbomgen da un sistema con almeno le seguenti specifiche hardware:

CPU a 4 core
8 GB RAM

Per installare Sbomgen

Scarica il file Sbomgen zip più recente dall'URL corretto per la tua architettura:

Linux AMD64: https://.s3.amazonaws.com/latest/linux/amd64/inspector-sbomgen.zip amazon-inspector-sbomgen

Linux ARM64: amazon-inspector-sbomgen https://.s3.amazonaws.com/latest/linux/arm64/inspector-sbomgen.zip

In alternativa, puoi scaricare le versioni precedenti del file zip di Amazon Inspector SBOM Generator.
Decomprimi il download utilizzando il seguente comando:

unzip inspector-sbomgen.zip
Verificate la presenza dei seguenti file nella directory estratta:
- inspector-sbomgen— Questo è lo strumento che eseguirete per generare SBOM.
- README.txt— Questa è la documentazione per l'utilizzoSbomgen.
- LICENSE.txt— Questo file contiene la licenza software perSbomgen.
- licenses— Questa cartella contiene informazioni sulla licenza per i pacchetti di terze parti utilizzati daSbomgen.
- checksums.txt— Questo file fornisce gli hash dello Sbomgen strumento.
- sbom.json— Questa è una CycloneDX SBOM per lo strumento. Sbomgen
- WhatsNew.txt— Questo file contiene un registro delle modifiche riepilogativo, in modo da poter visualizzare rapidamente le principali modifiche e miglioramenti tra le Sbomgen versioni.
(Facoltativo) Verifica l'autenticità e l'integrità dello strumento utilizzando il seguente comando:

sha256sum < inspector-sbomgen
1. Confrontate i risultati con il contenuto del checksums.txt file.
Concedi le autorizzazioni eseguibili allo strumento utilizzando il seguente comando:

chmod +x inspector-sbomgen
Verificate che Sbomgen sia installato correttamente utilizzando il seguente comando:

./inspector-sbomgen --version

L'output dovrebbe essere simile al seguente:

Version: 1.X.X

Uso di Sbomgen

Questa sezione descrive diversi modi di utilizzoSbomgen. Puoi saperne di più su come utilizzare Sbomgen tramite esempi incorporati. Per visualizzare questi esempi, esegui il list-examples comando:


./inspector-sbomgen list-examples

Genera un SBOM per un'immagine del contenitore e restituisci il risultato

È possibile utilizzarlo Sbomgen per generare SBOM per le immagini del contenitore e inviare il risultato in un file. Questa funzionalità può essere abilitata utilizzando il container sottocomando.

Comando della di esempio

Nel frammento seguente, puoi sostituirlo image:tagcon l'ID dell'immagine e output_path.jsoncon il percorso dell'output che desideri salvare.


# generate SBOM for container image
./inspector-sbomgen container --image image:tag -o output_path.json

Nota

Il tempo e le prestazioni di scansione dipendono dalle dimensioni dell'immagine e dal numero ridotto di livelli. Immagini più piccole non solo migliorano Sbomgen le prestazioni, ma riducono anche la potenziale superficie di attacco. Le immagini più piccole migliorano anche i tempi di creazione, download e caricamento delle immagini.

Quando viene utilizzata Sbomgen con ScanSbom, l'API Amazon Inspector Scan non elaborerà gli SBOM contenenti più di 2.000 pacchetti. In questo scenario, l'API Amazon Inspector Scan restituisce una risposta HTTP 400.

Se un'immagine include file o directory multimediali in blocco, valuta la possibilità di escluderli dall'Sbomgenutilizzo dell'argomento. --skip-files

Genera un SBOM da directory e archivi

È possibile utilizzarlo Sbomgen per generare SBOM da directory e archivi. Questa funzionalità può essere abilitata utilizzando i sottocomandi directory oarchive. Amazon Inspector consiglia di utilizzare questa funzionalità quando desideri generare un SBOM da una cartella di progetto, ad esempio un repository git scaricato.

Comando di esempio 1

Il frammento seguente mostra un sottocomando che genera un SBOM da un file di directory.


# generate SBOM from directory
./inspector-sbomgen directory --path /path/to/dir -o /tmp/sbom.json

Esempio di comando 2

Il frammento seguente mostra un sottocomando che genera un SBOM da un file di archivio. Gli unici formati di archivio supportati sono, e. .zip .tar .tar.gz


# generate SBOM from archive file (tar, tar.gz, and zip formats only)
./inspector-sbomgen archive --path testData.zip -o /tmp/sbom.json

Genera un SBOM da Go o Rust compilati file binari

È possibile utilizzarlo Sbomgen per generare SBOM da file compilati e binari. Go Rust È possibile abilitare questa funzionalità tramite il sottocomando: binary


./inspector-sbomgen binary --path /path/to/your/binary

Invia un SBOM ad Amazon Inspector per l'identificazione delle vulnerabilità

Oltre a generare un SBOM, puoi inviare un SBOM per la scansione con un solo comando dall'API Amazon Inspector Scan. Amazon Inspector valuta i contenuti dello SBOM alla ricerca di vulnerabilità prima di restituire i risultati. Sbomgen A seconda dell'input, i risultati possono essere visualizzati o scritti su un file.

Nota

È necessario disporre di un account attivo Account AWS con autorizzazioni di lettura InspectorScan:ScanSbom per utilizzare questa funzionalità.

Per abilitare questa funzionalità, si passa l'--scan-sbomargomento alla Sbomgen CLI. È inoltre possibile passare l'--scan-sbomargomento a uno dei seguenti Sbomgen sottocomandi:archive,,, binarycontainer,directory. localhost

Nota

L'API Amazon Inspector Scan non elabora gli SBOM con più di 2.000 pacchi. In questo scenario, l'API Amazon Inspector Scan restituisce una risposta HTTP 400.

Puoi autenticarti su Amazon Inspector tramite AWS un profilo o un ruolo IAM con i AWS CLI seguenti argomenti:



--aws-profile profile
--aws-region region
--aws-iam-role-arn role_arn

Puoi anche autenticarti su Amazon Inspector fornendo le seguenti variabili di ambiente a. Sbomgen



AWS_ACCESS_KEY_ID=$access_key \
AWS_SECRET_ACCESS_KEY=$secret_key \
AWS_DEFAULT_REGION=$region \
./inspector-sbomgen arguments

Per specificare il formato della risposta, usa l'--scan-sbom-output-format cyclonedxargomento o --scan-sbom-output-format inspector l'argomento.

Esempio di comando 1

Questo comando crea un SBOM per l'ultima Alpine Linux versione, analizza lo SBOM e scrive i risultati della vulnerabilità in un file JSON.


./inspector-sbomgen container --image alpine:latest \
                          --scan-sbom \
                          --aws-profile your_profile \
                          --aws-region your_region \
                          --scan-sbom-output-format cyclonedx \
                          --outfile /tmp/inspector_scan.json

Esempio di comando 2

Questo comando esegue l'autenticazione su Amazon Inspector AWS utilizzando credenziali come variabili di ambiente.


AWS_ACCESS_KEY_ID=$your_access_key \
AWS_SECRET_ACCESS_KEY=$your_secret_key \
AWS_DEFAULT_REGION=$your_region \
./inspector-sbomgen container --image alpine:latest \
                          -o /tmp/sbom.json \
                          --scan-sbom \
                          --scan-sbom-output-format inspector

Esempio di comando 3

Questo comando esegue l'autenticazione su Amazon Inspector utilizzando l'ARN per un ruolo IAM.


./inspector-sbomgen container --image alpine:latest \
                          --scan-sbom \
                          --aws-profile your_profile \
                          --aws-region your_region \
                          --outfile /tmp/inspector_scan.json
                          --aws-iam-role-arn arn:aws:iam::123456789012:role/your_role

Personalizza le scansioni per escludere file specifici

Durante l'analisi e l'elaborazione di un'immagine del contenitore, Sbomgen analizza le dimensioni di tutti i file in quell'immagine del contenitore. È possibile personalizzare le scansioni per escludere file specifici o indirizzare pacchetti specifici.

Per ridurre il consumo di disco, il consumo di RAM, il tempo di esecuzione trascorso e ignorare i file che superano la soglia fornita, utilizzate l'--max-file-sizeargomento con il sottocomando: container


./inspector-sbomgen container --image alpine:latest \
--outfile /tmp/sbom.json \
--max-file-size 300000000

Disattiva l'indicatore di avanzamento

Sbomgenvisualizza un indicatore di avanzamento rotante che può causare un numero eccessivo di caratteri barra negli ambienti CI/CD.


INFO[2024-02-01 14:58:46]coreV1.go:53: analyzing artifact
|
\
/
|
\
/
INFO[2024-02-01 14:58:46]coreV1.go:62: executing post-processors

È possibile disabilitare l'indicatore di avanzamento utilizzando l'argomento: --disable-progress-bar


./inspector-sbomgen container --image alpine:latest \
--outfile /tmp/sbom.json \
--disable-progress-bar

Autenticazione in registri privati con Sbomgen

Fornendo le credenziali di autenticazione del registro privato, è possibile generare SBOM da contenitori ospitati in registri privati. È possibile fornire queste credenziali tramite i seguenti metodi:

Autenticazione tramite credenziali memorizzate nella cache (scelta consigliata)

Con questo metodo, ci si autentica nel registro dei contenitori. Ad esempio, se si utilizzaDocker, è possibile autenticarsi nel registro dei contenitori utilizzando il comando di registrazione:Docker. docker login

Effettua l'autenticazione nel registro dei contenitori. Ad esempio, se si utilizzaDocker, è possibile autenticarsi nel registro utilizzando il Docker login comando:
Dopo l'autenticazione nel registro dei contenitori, utilizzala Sbomgen su un'immagine del contenitore presente nel registro. Per utilizzare l'esempio seguente, sostituiscilo image:tagcon il nome dell'immagine da scansionare:


./inspector-sbomgen container --image image:tag

Effettua l'autenticazione utilizzando il metodo interattivo

Per questo metodo, fornite il vostro nome utente come parametro e vi Sbomgen richiederà l'immissione sicura della password quando necessario.

Per utilizzare l'esempio seguente, image:tagsostituiscilo con il nome dell'immagine che desideri scansionare e your_usernamecon un nome utente che abbia accesso all'immagine:


./inspector-sbomgen container --image image:tag --username your_username

Effettua l'autenticazione utilizzando il metodo non interattivo

Per questo metodo, memorizza la password o il token di registro in un .txt file.

Nota

L'utente corrente dovrebbe essere in grado di leggere solo questo file. Il file deve contenere anche la password o il token su una sola riga.

Per utilizzare l'esempio seguente, your_usernamesostituiscilo con il tuo nome utente, password.txtcon il .txt file che include la password o il token su un'unica riga e image:tagcon il nome dell'immagine da scansionare:


INSPECTOR_SBOMGEN_USERNAME=your_username \
INSPECTOR_SBOMGEN_PASSWORD=`cat password.txt` \
./inspector-sbomgen container --image image:tag

Esempi di risultati da Sbomgen

Di seguito è riportato un esempio di SBOM per un'immagine di contenitore inventariata utilizzando. Sbomgen


{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:828875ef-8c32-4777-b688-0af96f3cf619",
  "version": 1,
  "metadata": {
    "timestamp": "2023-11-17T21:36:38Z",
    "tools": [
      {
        "vendor": "Amazon Web Services, Inc. (AWS)",
        "name": "Amazon Inspector SBOM Generator",
        "version": "1.0.0",
        "hashes": [
          {
            "alg": "SHA-256",
            "content": "10ab669cfc99774786301a745165b5957c92ed9562d19972fbf344d4393b5eb1"
          }
        ]
      }
    ],
    "component": {
      "bom-ref": "comp-1",
      "type": "container",
      "name": "fedora:latest",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:image_id",
          "value": "sha256:c81c8ae4dda7dedc0711daefe4076d33a88a69a28c398688090c1141eff17e50"
        },
        {
          "name": "amazon:inspector:sbom_generator:layer_diff_id",
          "value": "sha256:eddd0d48c295dc168d0710f70364581bd84b1dda6bb386c4a4de0b61de2f2119"
        }
      ]
    }
  },
  "components": [
    {
      "bom-ref": "comp-2",
      "type": "library",
      "name": "dnf",
      "version": "4.18.0",
      "purl": "pkg:pypi/dnf@4.18.0",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:source_file_scanner",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_package_collector",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_path",
          "value": "/usr/lib/python3.12/site-packages/dnf-4.18.0.dist-info/METADATA"
        },
        {
          "name": "amazon:inspector:sbom_generator:is_duplicate_package",
          "value": "true"
        },
        {
          "name": "amazon:inspector:sbom_generator:duplicate_purl",
          "value": "pkg:rpm/fedora/python3-dnf@4.18.0-2.fc39?arch=noarch&distro=39&epoch=0"
        }
      ]
    },
    {
      "bom-ref": "comp-3",
      "type": "library",
      "name": "libcomps",
      "version": "0.1.20",
      "purl": "pkg:pypi/libcomps@0.1.20",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:source_file_scanner",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_package_collector",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_path",
          "value": "/usr/lib64/python3.12/site-packages/libcomps-0.1.20-py3.12.egg-info/PKG-INFO"
        },
        {
          "name": "amazon:inspector:sbom_generator:is_duplicate_package",
          "value": "true"
        },
        {
          "name": "amazon:inspector:sbom_generator:duplicate_purl",
          "value": "pkg:rpm/fedora/python3-libcomps@0.1.20-1.fc39?arch=x86_64&distro=39&epoch=0"
        }
      ]
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura un account per l'integrazione CI/CD

Versioni precedenti