아마존 SBOMs 인스펙터로 내보내기 - Amazon Inspector

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 SBOMs 인스펙터로 내보내기

소프트웨어 BOM (SBOM) 은 코드베이스에 있는 모든 오픈 소스 및 타사 소프트웨어 구성 요소의 중첩된 인벤토리입니다. Amazon Inspector는 사용자 SBOMs 환경의 개별 리소스를 제공합니다. Amazon Inspector 콘솔 또는 Amazon Inspector를 사용하여 리소스를 API SBOMs 생성할 수 있습니다. Amazon Inspector가 지원하고 모니터링하는 모든 리소스를 내보낼 SBOMs 수 있습니다. 내보낸 정보는 소프트웨어 공급에 대한 정보를 SBOMs 제공합니다. AWS 환경의 적용 범위를 평가하여 리소스 상태를 검토할 수 있습니다. 이 섹션에서는 구성 및 내보내기 SBOMs 방법을 설명합니다.

참고

현재 Amazon Inspector는 윈도우 아마존 SBOMs 인스턴스용 익스포트를 지원하지 않습니다. EC2

Amazon Inspector 형식

Amazon Inspector는 CyclonedX SBOMs 1.4 및 2.3 호환 포맷으로 익스포트를 지원합니다. SPDX Amazon Inspector는 선택한 Amazon S3 버킷에 SBOMs JSON 파일로 내보냅니다.

참고

SPDXAmazon Inspector의 형식 내보내기는 SPDX2.3을 사용하는 시스템과 호환되지만 크리에이티브 커먼즈 제로 (CC0) 필드는 포함하지 않습니다. 이 필드가 포함되어 있으면 사용자가 자료를 재배포하거나 편집할 수 있기 때문입니다.

{ "bomFormat": "CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2023-06-02T01:17:46Z", "component": null, "properties": [ { "name": "imageId", "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6" }, { "name": "architecture", "value": "arm64" }, { "name": "accountId", "value": "111122223333" }, { "name": "resourceType", "value": "AWS_ECR_CONTAINER_IMAGE" } ] }, "components": [ { "type": "library", "name": "pip", "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA", "bom-ref": "98dc550d1e9a0b24161daaa0d535c699" }, { "type": "application", "name": "libss2", "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg", "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2" }, { "type": "application", "name": "liblz4-1", "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg", "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a" }, { "type": "application", "name": "mawk", "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg", "bom-ref": "c2015852a729f97fde924e62a16f78a5" }, { "type": "application", "name": "libgmp10", "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg", "bom-ref": "52907290f5beef00dff8da77901b1085" }, { "type": "application", "name": "ncurses-bin", "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg", "bom-ref": "cd20cfb9ebeeadba3809764376f43bce" } ], "vulnerabilities": [ { "id": "CVE-2022-40897", "affects": [ { "ref": "a74a4862cc654a2520ec56da0c81cdb3" }, { "ref": "0119eb286405d780dc437e7dbf2f9d9d" } ] } ] }
{ "name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8", "spdxVersion": "SPDX-2.3", "creationInfo": { "created": "2023-06-02T21:19:22Z", "creators": [ "Organization: 409870544328", "Tool: Amazon Inspector SBOM Generator" ] }, "documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64", "comment": "", "packages": [{ "name": "elfutils-libelf", "versionInfo": "0.176-2.amzn2", "downloadLocation": "NOASSERTION", "sourceInfo": "/var/lib/rpm/Packages", "filesAnalyzed": false, "externalRefs": [{ "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm" }], "SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463" }, { "name": "libcurl", "versionInfo": "7.79.1-1.amzn2.0.1", "downloadLocation": "NOASSERTION", "sourceInfo": "/var/lib/rpm/Packages", "filesAnalyzed": false, "externalRefs": [{ "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm" }, { "referenceCategory": "SECURITY", "referenceType": "vulnerability", "referenceLocator": "CVE-2022-32205" } ], "SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5" }, { "name": "hunspell-en-US", "versionInfo": "0.20121024-6.amzn2.0.1", "downloadLocation": "NOASSERTION", "sourceInfo": "/var/lib/rpm/Packages", "filesAnalyzed": false, "externalRefs": [{ "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm" }], "SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5" }, { "name": "grub2-tools-minimal", "versionInfo": "2.06-2.amzn2.0.6", "downloadLocation": "NOASSERTION", "sourceInfo": "/var/lib/rpm/Packages", "filesAnalyzed": false, "externalRefs": [{ "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm" }, { "referenceCategory": "SECURITY", "referenceType": "vulnerability", "referenceLocator": "CVE-2021-3981" } ], "SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636" }, { "name": "unixODBC-devel", "versionInfo": "2.3.1-14.amzn2", "downloadLocation": "NOASSERTION", "sourceInfo": "/var/lib/rpm/Packages", "filesAnalyzed": false, "externalRefs": [{ "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm" }], "SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2" } ], "relationships": [{ "spdxElementId": "SPDXRef-DOCUMENT", "relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463", "relationshipType": "DESCRIBES" }, { "spdxElementId": "SPDXRef-DOCUMENT", "relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903", "relationshipType": "DESCRIBES" }, { "spdxElementId": "SPDXRef-DOCUMENT", "relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2", "relationshipType": "DESCRIBES" } ], "SPDXID": "SPDXRef-DOCUMENT" }

필터: SBOMs

SBOMs내보낼 때 필터를 포함하여 리소스의 특정 하위 집합에 대한 보고서를 만들 수 있습니다. 필터를 제공하지 않으면 SBOMs 지원되는 모든 활성 리소스가 내보내집니다. 또한 위임 관리자인 경우 여기에 모든 멤버를 위한 리소스도 포함됩니다. 다음과 같은 필터를 사용할 수 있습니다.

  • AccountID — 이 필터는 특정 계정 ID와 관련된 모든 리소스를 SBOMs 내보내는 데 사용할 수 있습니다.

  • EC2인스턴스 태그 - 이 필터는 특정 태그가 있는 EC2 인스턴스를 내보내는 SBOMs 데 사용할 수 있습니다.

  • 함수 이름 - 이 필터는 특정 Lambda 함수를 내보내는 SBOMs 데 사용할 수 있습니다.

  • 이미지 태그 - 이 필터는 특정 태그가 있는 컨테이너 이미지를 내보내는 SBOMs 데 사용할 수 있습니다.

  • Lambda 함수 태그 — 이 필터는 특정 태그가 있는 Lambda 함수를 내보내는 SBOMs 데 사용할 수 있습니다.

  • 리소스 유형 - 이 필터는 리소스 유형:EC2/ECR/Lambda를 필터링하는 데 사용할 수 있습니다.

  • 리소스 ID - 이 필터는 특정 리소스에 SBOM 대한 를 내보내는 데 사용할 수 있습니다.

  • 리포지토리 이름 - 이 필터는 특정 리포지토리의 컨테이너 이미지를 생성하는 SBOMs 데 사용할 수 있습니다.

구성 및 내보내기 SBOMs

SBOMs내보내려면 먼저 Amazon S3 버킷과 Amazon Inspector에서 사용할 수 있는 AWS KMS 키를 구성해야 합니다. 필터를 사용하여 리소스의 특정 하위 SBOMs 집합을 내보낼 수 있습니다. AWS 조직의 여러 계정에 SBOMs 대해 내보내려면 Amazon Inspector의 위임 관리자로 로그인한 상태에서 다음 단계를 수행하십시오.

사전 조건
  • Amazon Inspector에서 적극적으로 모니터링하고 있는 지원 리소스

  • Amazon Inspector에서 객체를 추가할 수 있도록 허용하는 정책으로 구성된 Amazon S3 버킷. 정책 구성에 대한 자세한 내용은 내보내기 권한 구성을 참조하세요.

  • Amazon Inspector가 보고서를 암호화하는 데 사용할 수 있도록 허용하는 정책으로 구성된 AWS KMS 키입니다. 정책 구성에 대한 자세한 내용은 내보내기를 위한 AWS KMS 키 구성을 참조하십시오.

참고

이전에 Amazon S3 버킷과 검색 결과 내보내기용 AWS KMS 키를 구성한 경우 내보내기에 동일한 버킷과 키를 사용할 수 있습니다. SBOM

원하는 액세스 방법을 선택하여 내보내십시오SBOM.

Console
  1. 자격 증명을 사용하여 로그인한 다음 v2/home에서 Amazon Inspector 콘솔을 엽니다. https://console.aws.amazon.com/inspector/

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 내보내려는 리소스가 있는 지역을 선택합니다. SBOM

  3. 탐색 창에서 내보내기를 선택합니다. SBOMs

  4. (선택 사항) 내보내기 SBOMs 페이지에서 필터 추가 메뉴를 사용하여 보고서를 생성할 리소스의 하위 집합을 선택합니다. 필터를 제공하지 않으면 Amazon Inspector에서 모든 활성 리소스에 대한 보고서를 내보냅니다. 위임 관리자인 경우 여기에 조직의 모든 활성 리소스가 포함됩니다.

  5. 내보내기 설정에서 원하는 형식을 선택합니다. SBOM

  6. Amazon S3를 URI 입력하거나 Amazon S3 찾아보기를 선택하여 저장할 Amazon S3 위치를 선택합니다SBOM.

  7. Amazon Inspector에서 보고서를 암호화하는 데 사용하도록 구성된 AWS KMS 키를 입력합니다.

API
  • 리소스를 프로그래밍 방식으로 SBOMs 내보내려면 Amazon API Inspector의 CreateSbomExport작업을 사용하십시오.

    요청에서 reportFormat 파라미터를 사용하여 SBOM 출력 형식을 지정하고 또는 를 선택합니다CYCLONEDX_1_4. SPDX_2_3 s3Destination 파라미터는 필수이며, Amazon Inspector에서 쓰기를 허용하는 정책으로 구성된 S3 버킷을 지정해야 합니다. 선택적으로 resourceFilterCriteria 파라미터를 사용하여 보고서의 범위를 특정 리소스로 제한할 수 있습니다.

AWS CLI
  • 리소스를 SBOMs 익스포트하려면 다음 명령어를 AWS Command Line Interface 실행하세요.

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    요청에서 다음을 대체하십시오.FORMAT 원하는 형식으로, CYCLONEDX_1_4 또는SPDX_2_3. 그런 다음 교체하십시오.사용자 입력 플레이스홀더 내보낼 S3 버킷의 이름, S3의 출력에 사용할 접두사, 보고서를 암호화하는 데 사용하는 KMS 키가 포함된 s3 대상의 경우 ARN