翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector SBOM Generator SSL/TLS 証明書スキャン
このセクションでは、Amazon Inspector SBOM Generator を使用して SSL/TLS 証明書をインベントリする方法について説明します。は、事前定義された場所の証明書と、ユーザーが提供するディレクトリを検索して SSL/TLS 証明書をSbomgenインベントリします。この機能は、ユーザーが SSL/TLS 証明書をインベントリし、期限切れの証明書を識別できるようにすることを目的としています。CA 証明書は出力インベントリにも表示されます。
Sbomgen 証明書スキャンの使用
--scanners certificates 引数を使用して SSL/TLS 証明書インベントリの収集を有効にできます。証明書スキャンは、他のスキャナーと組み合わせることができます。デフォルトでは、証明書スキャンは有効になっていません。
は、スキャンするアーティファクトに応じて異なる場所で証明書Sbomgenを検索します。いずれの場合も、 は次の拡張子を持つファイルで証明書を抽出Sbomgenしようとします。
.pem .crt .der .p7b .p7m .p7s .p12 .pfx
localhost アーティファクトタイプ
証明書スキャナーが有効で、アーティファクトタイプが localhost の場合、 は /etc/*/ssl、、/opt/*/ssl/certs/usr/local/*/ssl、および で証明書Sbomgenを再帰的に検索します。 /var/lib/*/certs*は空ではありません。ユーザーが指定したディレクトリは、名前が付けられたディレクトリに関係なく、再帰的に検索されます。通常、CA/システム証明書はこれらのパスに配置されません。これらの証明書は、多くの場合、pki、、ca-certsまたは という名前のフォルダにありますCA。また、デフォルトの localhost スキャンパスに表示される場合もあります。
ディレクトリとコンテナアーティファクト
ディレクトリまたはコンテナアーティファクトをスキャンすると、 はアーティファクトの任意の場所にある証明書Sbomgenを検索します。
証明書スキャンコマンドの例
証明書スキャンコマンドの例を以下に示します。1 つは、ローカルディレクトリに証明書のみを含む SBOM を生成します。もう 1 つの は、ローカルディレクトリに証明書と Alpine、Debian、 Rhelパッケージを含む SBOM を生成します。別の は、一般的な証明書の場所にある証明書を含む SBOM を生成します。
# generate SBOM only containing certificates in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates # generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm # generate SBOM only containing certificates, taken from common localhost certificate locations ./inspector-sbomgen localhost --scanners certificates
ファイルコンポーネントの例
以下に、2 つの証明書検出結果コンポーネントの例を示します。証明書の有効期限が切れると、有効期限を識別する追加のプロパティを表示できます。
{ "bom-ref": "comp-2", "type": "file", "name": "certificate:expired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001", "value": "expired:2015-06-06T11:59:59Z" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/expired.pem" } ] }, { "bom-ref": "comp-3", "type": "file", "name": "certificate:unexpired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/unexpired.pem" } ] }
脆弱性レスポンスコンポーネントの例
--scan-sbom フラグを使用して Amazon Inspector SBOM Generator を実行すると、脆弱性スキャンのために結果の SBOM が Amazon Inspector に送信されます。以下は、脆弱性レスポンスコンポーネントの証明書検出結果の例です。
{ "advisories": [ { "url": "https://aws.amazon.com/inspector/" }, { "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html" } ], "affects": [ { "ref": "comp-2" } ], "analysis": { "state": "in_triage" }, "bom-ref": "vuln-1", "created": "2025-04-17T18:48:20Z", "cwes": [ 324, 298 ], "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.", "id": "IN-CERTIFICATE-001", "properties": [ { "name": "amazon:inspector:sbom_scanner:priority", "value": "standard" }, { "name": "amazon:inspector:sbom_scanner:priority_intelligence", "value": "unverified" } ], "published": "2025-04-17T18:48:20Z", "ratings": [ { "method": "other", "severity": "medium", "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" } } ], "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" }, "updated": "2025-04-17T18:48:20Z" }
