Exportando SBOMs com o Amazon Inspector - Amazon Inspector
Formatos do Amazon InspectorFiltros para SBOMsConfigurar e exportar SBOMs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exportando SBOMs com o Amazon Inspector

Uma lista de materiais de software (SBOM) é um inventário aninhado de todos os componentes de software de código aberto e de terceiros em sua base de código. O Amazon Inspector fornece SBOMs recursos individuais em seu ambiente. Você pode usar o console do Amazon Inspector ou o Amazon API Inspector para SBOMs gerar seus recursos. Você pode exportar SBOMs para todos os recursos que o Amazon Inspector suporta e monitora. Os exportados SBOMs fornecem informações sobre seu fornecimento de software. Você pode revisar o status dos seus recursos avaliando a cobertura do seu AWS ambiente. Esta seção descreve como configurar e exportarSBOMs.

nota

Atualmente, o Amazon Inspector não suporta a exportação para instâncias Amazon SBOMs do Windows. EC2

Formatos do Amazon Inspector

O Amazon Inspector suporta a exportação SBOMs em formatos compatíveis com CycloneDX 1.4 e 2.3. SPDX O Amazon Inspector exporta SBOMs como JSON arquivos para o bucket do Amazon S3 que você escolher.

nota

SPDXas exportações de formato do Amazon Inspector são compatíveis com sistemas que usam SPDX2.3, no entanto, elas não contêm o campo Creative Commons Zero (CC0). Isso ocorre porque a inclusão desse campo permitiria que os usuários redistribuíssem ou editassem o material.


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filtros para SBOMs

Ao exportar, SBOMs você pode incluir filtros para criar relatórios para subconjuntos específicos de recursos. Se você não fornecer um filtro, todos SBOMs os recursos ativos compatíveis serão exportados. E se você for um administrador delegado, isso também inclui recursos para todos os membros. Os seguintes filtros estão disponíveis:

  • AccountId — Esse filtro pode ser usado para SBOMs exportar qualquer recurso associado a um ID de conta específico.

  • EC2tag de instância — Esse filtro pode ser usado SBOMs para exportar EC2 instâncias com tags específicas.

  • Nome da função — Esse filtro pode ser usado SBOMs para exportar funções específicas do Lambda.

  • Tag de imagem — Esse filtro pode ser usado SBOMs para exportar imagens de contêiner com tags específicas.

  • Tag de função Lambda — Esse filtro pode ser usado para exportar funções SBOMs Lambda com tags específicas.

  • Tipo de recurso — Esse filtro pode ser usado para filtrar o tipo de recurso:EC2/ECR/Lambda.

  • ID do recurso — Esse filtro pode ser usado SBOM para exportar um recurso específico.

  • Nome do repositório — Esse filtro pode ser usado SBOMs para gerar imagens de contêiner em repositórios específicos.

Configurar e exportar SBOMs

Para exportarSBOMs, você deve primeiro configurar um bucket do Amazon S3 e uma AWS KMS chave que o Amazon Inspector possa usar. Você pode usar filtros SBOMs para exportar subconjuntos específicos de seus recursos. Para exportar SBOMs para várias contas em uma AWS organização, siga estas etapas enquanto estiver conectado como administrador delegado do Amazon Inspector.

Pré-requisitos

  • Recursos compatíveis que estão sendo monitorados ativamente pelo Amazon Inspector.

  • Um bucket do Amazon S3 configurado com uma política que permite ao Amazon Inspector adicionar objetos a. Para obter informações sobre como configurar a política, consulte Configurar permissões de exportação.

  • Uma AWS KMS chave configurada com uma política que permite que o Amazon Inspector use para criptografar seus relatórios. Para obter informações sobre como configurar a política, consulte Configurar uma AWS KMS chave para exportação.

nota

Se você configurou anteriormente um bucket do Amazon S3 e uma AWS KMS chave para exportação de descobertas, você pode usar o mesmo bucket e chave para SBOM exportação.

Escolha seu método de acesso preferido para exportar umSBOM.

Console

  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região com os recursos para os quais você deseja exportar. SBOM

  3. No painel de navegação, escolha Exportar SBOMs.

  4. (Opcional) Na SBOMs página Exportar, use o menu Adicionar filtro para selecionar um subconjunto de recursos para os quais criar relatórios. Se nenhum filtro for fornecido, o Amazon Inspector exportará relatórios para todos os recursos ativos. Se você for um administrador delegado, isso incluirá todos os recursos ativos em sua organização.

  5. Em Configuração de exportação, selecione o formato que você deseja para SBOM o.

  6. Insira um Amazon S3 URI ou escolha Navegar no Amazon S3 para selecionar um local do Amazon S3 para armazenar o. SBOM

  7. Insira uma chave AWS KMS configurada para o Amazon Inspector usar para criptografar seus relatórios.

API

  • SBOMsPara exportar seus recursos programaticamente, use a CreateSbomExportoperação do Amazon Inspector. API

    Em sua solicitação, use o reportFormat parâmetro para especificar o formato SBOM de saída, escolha CYCLONEDX_1_4 ouSPDX_2_3. O parâmetro s3Destination é obrigatório, e você deve especificar um bucket do S3 configurado com uma política que permita que o Amazon Inspector grave nele. Opcionalmente, use os parâmetros resourceFilterCriteria para limitar o escopo do relatório a recursos específicos.

AWS CLI

  • Para exportar SBOMs para seus recursos usando o AWS Command Line Interface comando a seguir:

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Em sua solicitação, substitua FORMAT com o formato de sua escolha, CYCLONEDX_1_4 ouSPDX_2_3. Em seguida, substitua o espaços reservados de entrada do usuário para o destino s3 com o nome do bucket do S3 para o qual exportar, o prefixo a ser usado para a saída no S3 e a KMS chave que você está usando ARN para criptografar os relatórios.