기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Inspector SBOM 생성기 SSL/TLS 인증서 스캔
이 섹션에서는 Amazon Inspector SBOM 생성기를 사용하여 SSL/TLS 인증서를 인벤토리하는 방법을 설명합니다. 는 사전 정의된 위치의 인증서와 사용자가 제공한 디렉터리를 검색하여 SSL/TLS 인증서를 Sbomgen 인벤토리로 만듭니다. 이 기능은 사용자가 SSL/TLS 인증서를 인벤토리화하고 만료된 인증서를 식별할 수 있도록 하기 위한 것입니다. CA 인증서는 출력 인벤토리에도 표시됩니다.
Sbomgen 인증서 스캔 사용
--scanners certificates 인수를 사용하여 SSL/TLS 인증서 인벤토리 수집을 활성화할 수 있습니다. 인증서 스캔은 다른 스캐너와 결합할 수 있습니다. 기본적으로 인증서 스캔은 활성화되지 않습니다.
는 스캔 중인 아티팩트에 따라 여러 위치에서 인증서를 Sbomgen 검색합니다. 모든 경우에는 다음 확장자가 있는 파일에서 인증서를 추출하려고 Sbomgen 시도합니다.
.pem .crt .der .p7b .p7m .p7s .p12 .pfx
localhost 아티팩트 유형
인증서 스캐너가 활성화되어 있고 아티팩트 유형이 localhost인 경우는가 /opt/*/ssl/certs비어 /var/lib/*/certs * 있지 않은 /etc/*/ssl, /usr/local/*/ssl, 및에서 인증서를 Sbomgen 반복적으로 찾습니다. 사용자가 제공한 디렉터리는 이름이 지정된 디렉터리에 관계없이 재귀적으로 검색됩니다. 일반적으로 CA/시스템 인증서는 이러한 경로에 배치되지 않습니다. 이러한 인증서는 pki, ca-certs또는 폴더에 있는 경우가 많습니다CA. 기본 localhost 스캔 경로에도 나타날 수 있습니다.
디렉터리 및 컨테이너 아티팩트
디렉터리 또는 컨테이너 아티팩트를 스캔할 때는 아티팩트의 모든 위치에 있는 인증서를 Sbomgen 검색합니다.
예제 인증서 스캔 명령
다음은 예제 인증서 스캔 명령입니다. 하나는 로컬 디렉터리에 인증서만 포함하는 SBOM을 생성합니다. 또 다른는 로컬 디렉터리에 인증서와 Alpine, Debian및 Rhel 패키지가 포함된 SBOM을 생성합니다. 또 다른는 공통 인증서 위치에 있는 인증서가 포함된 SBOM을 생성합니다.
# generate SBOM only containing certificates in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates # generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm # generate SBOM only containing certificates, taken from common localhost certificate locations ./inspector-sbomgen localhost --scanners certificates
예제 파일 구성 요소
다음은 인증서 결과 구성 요소의 2가지 예입니다. 인증서가 만료되면 만료 날짜를 식별하는 추가 속성을 볼 수 있습니다.
{ "bom-ref": "comp-2", "type": "file", "name": "certificate:expired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001", "value": "expired:2015-06-06T11:59:59Z" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/expired.pem" } ] }, { "bom-ref": "comp-3", "type": "file", "name": "certificate:unexpired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/unexpired.pem" } ] }
취약성 대응 구성 요소의 예
--scan-sbom 플래그로 Amazon Inspector SBOM 생성기를 실행하면 취약성 스캔을 위해 결과 SBOM이 Amazon Inspector로 전송됩니다. 다음은 취약성 응답 구성 요소에 대한 인증서 조사 결과의 예입니다.
{ "advisories": [ { "url": "https://aws.amazon.com/inspector/" }, { "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html" } ], "affects": [ { "ref": "comp-2" } ], "analysis": { "state": "in_triage" }, "bom-ref": "vuln-1", "created": "2025-04-17T18:48:20Z", "cwes": [ 324, 298 ], "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.", "id": "IN-CERTIFICATE-001", "properties": [ { "name": "amazon:inspector:sbom_scanner:priority", "value": "standard" }, { "name": "amazon:inspector:sbom_scanner:priority_intelligence", "value": "unverified" } ], "published": "2025-04-17T18:48:20Z", "ratings": [ { "method": "other", "severity": "medium", "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" } } ], "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" }, "updated": "2025-04-17T18:48:20Z" }
