Digitalizações de certificados do Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Usando escaneamentos Sbomgen de certificados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Digitalizações de certificados do Amazon Inspector SBOM Generator SSL/TLS

Esta seção descreve como usar o Amazon Inspector SBOM Generator para inventariar certificados. SSL/TLS Os SSL/TLS certificados de Sbomgen inventário pesquisam certificados em locais predefinidos, bem como em diretórios fornecidos pelo usuário. O recurso tem como objetivo permitir que os usuários inventariem SSL/TLS certificados e identifiquem certificados expirados. Os certificados CA também aparecerão no inventário de saída.

Usando escaneamentos Sbomgen de certificados

Você pode habilitar a coleta de inventário de SSL/TLS certificados usando o --scanners certificates argumento. As digitalizações de certificados podem ser combinadas com qualquer um dos outros scanners. Por padrão, as verificações de certificados não estão habilitadas.

O Sbomgen pesquisa certificados em diferentes locais, dependendo do artefato que está sendo digitalizado. Em todos os casos, as Sbomgen tentativas de extrair certificados em arquivos com as seguintes extensões. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
O tipo de artefato localhost

Se o scanner de certificados estiver habilitado e o tipo de artefato for localhost, ele procurará Sbomgen recursivamente certificados em/etc/*/ssl,,, e /opt/*/ssl/certs /usr/local/*/ssl/var/lib/*/certs, onde * não está vazio. Os diretórios fornecidos pelo usuário serão pesquisados recursivamente, independentemente dos diretórios nomeados. Normalmente, CA/system os certificados não são colocados nesses caminhos. Esses certificados geralmente estão em pastas denominadas pkica-certs, ouCA. Eles também podem aparecer nos caminhos de escaneamento padrão do localhost.

Artefatos de diretório e contêiner

Ao escanear artefatos de diretórios ou contêineres, Sbomgen ele procura certificados localizados em qualquer lugar do artefato.

Exemplos de comandos de verificação de certificados

O seguinte contém exemplos de comandos de verificação de certificados. Um gera um SBOM que contém apenas certificados em um diretório local. Outro gera um SBOM que contém certificados eAlpine,Debian, e Rhel pacotes em um diretório local. Outro gera um SBOM que contém certificados encontrados em locais de certificados comuns. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Exemplo de componente do arquivo

A seguir estão dois exemplos de componentes de busca de certificados. Quando um certificado expira, você pode ver uma propriedade extra que identifica a data de expiração. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Exemplo de componente de resposta à vulnerabilidade

A execução do Gerador de SBOM do Amazon Inspector com a --scan-sbom bandeira envia o SBOM resultante para o Amazon Inspector para análise de vulnerabilidades. Veja a seguir um exemplo de uma descoberta de certificado para um componente de resposta à vulnerabilidade. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}