本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Inspector SBOM 生成器 SSL/TLS 证书扫描
本节介绍如何使用 Amazon Inspector SBOM 生成器来清点 SSL/TLS 证书。通过在预定义的位置以及用户提供的目录中搜索证书来Sbomgen清 SSL/TLS 点证书。该功能旨在使用户能够清点 SSL/TLS 证书并识别过期的证书。CA 证书也将出现在输出清单中。
使用Sbomgen证书扫描
您可以使用--scanners certificates参数启用 SSL/TLS 证书清单收集。证书扫描可以与其他任何扫描仪结合使用。默认情况下,不启用证书扫描。
根据要扫描的工件,Sbomgen会在不同的位置搜索证书。在所有情况下,都会Sbomgen尝试将证书提取到具有以下扩展名的文件中。
.pem .crt .der .p7b .p7m .p7s .p12 .pfx
本地主机构件类型
如果启用了证书扫描器并且构件类型为 localhost,则Sbomgen递归地在/etc/*/ssl、/opt/*/ssl/certs/usr/local/*/ssl/var/lib/*/certs、和(其中不*为空)中查找证书。无论命名什么目录,都将以递归方式搜索用户提供的目录。通常, CA/system 证书不会放在这些路径中。这些证书通常位于名为pkica-certs、或的文件夹中CA。它们也可能出现在默认的本地主机扫描路径中。
目录和容器工件
扫描目录或容器对象时,会Sbomgen搜索位于对象上任意位置的证书。
证书扫描命令示例
以下内容包含证书扫描命令示例。生成的 SBOM 仅包含本地目录中的证书。另一个生成一个 SBOM,其中包含本地目录中的证书AlpineDebian、、和Rhel软件包。另一个生成一个 SBOM,其中包含在常见证书位置找到的证书。
# generate SBOM only containing certificates in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates # generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm # generate SBOM only containing certificates, taken from common localhost certificate locations ./inspector-sbomgen localhost --scanners certificates
示例文件组件
以下包含两个证书查找组件示例。证书到期后,您可以查看标识到期日期的额外属性。
{ "bom-ref": "comp-2", "type": "file", "name": "certificate:expired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001", "value": "expired:2015-06-06T11:59:59Z" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/expired.pem" } ] }, { "bom-ref": "comp-3", "type": "file", "name": "certificate:unexpired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/unexpired.pem" } ] }
漏洞响应组件示例
运行带有--scan-sbom标志的 Amazon Inspector SBOM 生成器会将生成的 SBOM 发送给 Amazon Inspector 进行漏洞扫描。以下是漏洞响应组件的证书查找示例。
{ "advisories": [ { "url": "https://aws.amazon.com/inspector/" }, { "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html" } ], "affects": [ { "ref": "comp-2" } ], "analysis": { "state": "in_triage" }, "bom-ref": "vuln-1", "created": "2025-04-17T18:48:20Z", "cwes": [ 324, 298 ], "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.", "id": "IN-CERTIFICATE-001", "properties": [ { "name": "amazon:inspector:sbom_scanner:priority", "value": "standard" }, { "name": "amazon:inspector:sbom_scanner:priority_intelligence", "value": "unverified" } ], "published": "2025-04-17T18:48:20Z", "ratings": [ { "method": "other", "severity": "medium", "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" } } ], "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" }, "updated": "2025-04-17T18:48:20Z" }
