View a markdown version of this page

Umfassende Ökosystemsammlung von Amazon Inspector SBOM Generator - Amazon Inspector
Unterstützte Ökosysteme7-ZipSammlung von ÖkosystemenAmazon Q DeveloperSammlung von ÖkosystemenApacheSammlung von ÖkosystemenAtlassianSammlung von ÖkosystemenClaude CodeSammlung von ÖkosystemenCondaSammlung von ÖkosystemenCurlSammlung von ÖkosystemenDocker binariesSammlung von ÖkosystemenElasticsearchSammlung von ÖkosystemenGeneric AI/ML ModelsSammlung von ÖkosystemenGitHub CopilotSammlung von ÖkosystemenGoogleSammlung von ÖkosystemenHuggingFaceSammlung von ÖkosystemenJavaSammlung von ÖkosystemenJenkinsSammlung von ÖkosystemenKiro CLISammlung von ÖkosystemenMariaDBund Sammlung von MySQL ÖkosystemenMicrosoft applicationsSammlung von ÖkosystemenMicrosoft SQL ServerSammlung von ÖkosystemenMongoDBSammlung von ÖkosystemenNginxSammlung von ÖkosystemenNode.JSRuntime-SammlungOllamaSammlung von ÖkosystemenOllama Model CollectorSammlung von ÖkosystemenSammlung des OpenSSH-ÖkosystemsSammlung des OpenSSL-ÖkosystemsSammlung des Oracle-DatenbankserversPHPSammlung von ÖkosystemenRedisSammlung von ÖkosystemenWordPressSammlung von Ökosystemen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umfassende Ökosystemsammlung von Amazon Inspector SBOM Generator

Der Amazon Inspector SBOM Generator ist ein Tool zum Erstellen einer Software-Stückliste (SBOM) und zum Durchführen von Sicherheitslücken nach unterstützten Paketen aus Betriebssystemen und Programmiersprachen. Er unterstützt das Scannen verschiedener Ökosysteme, die über die Kernbetriebssysteme hinausgehen, und gewährleistet so eine robuste und detaillierte Analyse der Infrastrukturkomponenten. Durch die Generierung einer SBOM können Sie die Zusammensetzung moderner Technologie-Stacks verstehen, Schwachstellen in Ökosystemkomponenten identifizieren und Einblicke in Software von Drittanbietern gewinnen.

Unterstützte Ökosysteme

Die Ökosystemsammlung erweitert die SBOM-Generierung über Pakete hinaus, die über Betriebssystem-Paketmanager installiert wurden. Dies erfolgt durch die Sammlung von Anwendungen, die mit alternativen Methoden, wie z. B. manueller Installation, bereitgestellt werden. Der Amazon Inspector SBOM Generator unterstützt das Scannen für die folgenden Ökosysteme:

Ökosysteme Anwendungen

7-Zip

7-ZipArchiver (Version 21.07 und höher)

Amazon Q Developer

Amazon Q Developer CLI

Amazon Q VS Code extension

Amazon Q JetBrains plugin

Anthropic

Claude Code CLI

Apache

Apache Cassandra

Apache httpd

Apache Struts

Apache tomcat

Atlassian

Jira Core

Confluence

Jira Software

Jira Service Management

Conda

Miniconda-Umgebungen

Anaconda-Umgebungen

Miniforge-Umgebungen

Mambaforge-Umgebungen
Curl

Curl

Libcurl

Docker binaries

docker

dockerd

containerd

runc
Elasticsearch Elasticsearch

Generic AI/ML Models

.gguf – GGUF

.safetensors – Safetensors

.onnx – ONNX

.pt – PyTorch

.pth – PyTorch

.h5 – Keras / HDF5

GitHub

GitHub Copilot CLI

GitHub Copilot VS Code extension

GitHub Copilot JetBrains plugin

Google

Chrome

HuggingFace

HuggingFace CLI Models Cache

Java

JDK

JRE

Amazon Corretto

Jenkins

Jenkins(Version 2.400.* und höher)

Kiro

Kiro CLI

MariaDB und MySQL

MariaDB Server(10.6+, 11.x, 12.x)

Oracle MySQL Server Server(8,0, 8,4, 9,4+)

Microsoft applications

PowerShell

NuGet CLI

Visual Studio Code

Microsoft Edge

SharePoint Server

Microsoft Defender

Exchange Server

Visual Studio

.NET Core Runtime

.NET Framework

ASP.NET Core Runtime

Microsoft Teams

Outlook for Windows

Microsoft Office

Microsoft 365

Microsoft SQL Server

Microsoft SQL Server

MongoDB

MongoDB Server(7,0+, 8,0+)

Nginx

Nginx

Node

Node

Node.JS

node

Ollama

Ollama

Ollama Model Collector

OpenSSH

OpenSSH(Versionen 9 und 10)

OpenSSL

OpenSSL

Oracle

Oracle Database Server

PHP

PHP(Version 8.1 und höher)

Redis

Redis(Version 7.2 und höher)

WordPress

core

plugin

theme

7-ZipSammlung von Ökosystemen

Unterstützte Anwendungen

  • 7 Zip-Archiver (Version 21.07 oder höher)

Schlüssel-Features

  • Untersucht 7-Zip Binärdateien, um die eingebetteten Versionsinformationen zu extrahieren.

Anmerkung

Insbesondere sucht es nach dem Wert der Produktversion aus der Binärdatei.

Unterstützte Plattformen — Windows

  • C:/Program Files/7-Zip/7z.exe

  • C:/Program Files/7-Zip/7za.exe

  • C:/Program Files/7-Zip/7zz.exe

  • C:/Program Files/7-Zip/7zr.exe

  • C:/Program Files (x86)/7-Zip/7z.exe

  • C:/Program Files (x86)/7-Zip/7za.exe

  • C:/Program Files (x86)/7-Zip/7zz.exe

  • C:/Program Files (x86)/7-Zip/7zr.exe

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für7-Zip. 

pkg:generic/7zip/7zip@25.01

Amazon Q DeveloperSammlung von Ökosystemen

Unterstützte Anwendungen

  • Amazon Q Developer CLI

  • Amazon Q VS Code extension

  • Amazon Q JetBrains plugin

Schlüssel-Features

  • Untersucht die q CLI-Binärdatei auf die eingebettete AmazonQ-For-CLI Identitätszeichenfolge und extrahiert die Version aus den Metadaten des AWS Tooling-Benutzeragenten.

  • Analysiert bei IDE-Erweiterungen package.json (VS Code) und META-INF/plugin.xml (JetBrains), um die Version zu extrahieren.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux und macOS

  • ~/.local/bin/q

  • /usr/local/bin/q

  • ~/.vscode/extensions/amazonwebservices.amazon-q-vscode-*/

  • <IDE>/plugins/amazon-q/META-INF/plugin.xml

Windows

  • %APPDATA%\npm\q.cmd

  • %USERPROFILE%\.vscode\extensions\amazonwebservices.amazon-q-vscode-*\

  • %APPDATA%\JetBrains\<IDE>\plugins\amazon-q\

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürAmazon Q Developer. 

Sample PURL: pkg:generic/amazon/amazon-q@1.19.7?distro=linux

ApacheSammlung von Ökosystemen

Dieser Abschnitt enthält Einzelheiten zu Apache CassandraApache httpd,Apache Struts, und Apache tomcat Anwendungen.

Apache Cassandra

Unterstützte Anwendungen

  • Apache Cassandra

Schlüssel-Features

  • Erkennt apache-cassandra-<specific.version>.jar Dateien und entpackt sie, um die Versionszeichenfolge aus dem Implementation-Version Eintrag in der Datei zu extrahieren. META-INF/MANIFEST.MF

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux

  • /usr/share/cassandra/lib/

  • /opt/cassandra/lib/

macOS

  • /opt/homebrew/Cellar/cassandra/

  • /usr/local/Cellar/cassandra/

Windows

  • /Program Files/cassandra/lib/

  • /Program Files/apache-cassandra/lib/

  • /Program Files (x86)/cassandra/lib/

  • /Program Files (x86)/apache-cassandra/lib/

apache-cassandra-<specific.version>.jar/META-INF/MANIFEST.MF-Beispieldatei

Im Folgenden finden Sie ein Beispiel für den Inhalt einer apache-cassandra-<specific.version>.jar/META-INF/MANIFEST.MF Datei. 


//truncated

Manifest-Version: 1.0
Implementation-Title: Cassandra
Implementation-Version: 4.1.3
Implementation-Vendor: Apache

//truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Apache Cassandra Anwendung. 


Sample PURL: pkg:generic/apache/cassandra@4.1.3

Apache httpd

Unterstützte Anwendungen

  • Apache httpd

Anmerkung

Die Bewertung der Sicherheitslücke gilt nur für Apache httpd Version 2.0 und höher.

Schlüssel-Features

  • Analysiert die /include/ap_release.h Datei, um Installationsmakros zu extrahieren, die Hauptkennungen, Nebenkennungen und Patchkennungen enthalten.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Unix

  • /usr/local/apache2/include/

Windows

  • /Apache24/include/

  • /Program Files/Apache24/include/

  • /Program Files (x86)/Apache24/include/

ap_release.h-Beispieldatei

Im Folgenden finden Sie ein Beispiel für den Inhalt einer ap_release.h Datei. 


//truncated

#define AP_SERVER_BASEVENDOR "Apache Software Foundation"
#define AP_SERVER_BASEPROJECT "Apache HTTP Server"
#define AP_SERVER_BASEPRODUCT "Apache"

#define AP_SERVER_MAJORVERSION_NUMBER 2
#define AP_SERVER_MINORVERSION_NUMBER 4
#define AP_SERVER_PATCHLEVEL_NUMBER   1
#define AP_SERVER_DEVBUILD_BOOLEAN    0

//truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Apache httpd Anwendung. 


Sample PURL: pkg:generic/apache/httpd@2.4.1

Apache Struts

Unterstützte Anwendungen

  • Apache Struts

Schlüssel-Features

  • Erkennt struts2-core-<specific.version>.jar Dateien (die normalerweise im WEB-INF/lib/ Verzeichnis einer Webanwendung auf einem Java Anwendungsserver bereitgestellt werden) und entpackt sie, um die Versionszeichenfolge aus dem Implementation-Version Eintrag in der META-INF/MANIFEST.MF Datei zu extrahieren.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gängigen Java Anwendungsserverpfaden:

Linux

  • /opt/tomcat/

  • /usr/share/tomcat/

  • /var/lib/tomcat/

  • /usr/local/tomcat/

  • /opt/wildfly/

  • /opt/jboss/

  • /opt/jetty/

Windows

  • /Program Files/Apache Software Foundation/

  • /Program Files (x86)/Apache Software Foundation/

struts2-core-<specific.version>.jar/META-INF/MANIFEST.MF-Beispieldatei

Im Folgenden finden Sie ein Beispiel für Inhalte in einer struts2-core-<specific.version>.jar/META-INF/MANIFEST.MF Datei. 


//truncated

Manifest-Version: 1.0
Implementation-Title: Struts 2 Core
Implementation-Version: 6.4.0
Implementation-Vendor: Apache Software Foundation

//truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Apache Struts Anwendung. 


Sample PURL: pkg:generic/apache/struts@6.4.0

Apache tomcat

Unterstützte Anwendungen

  • Apache tomcat

Anmerkung

Die Bewertung der Sicherheitslücke gilt nur für Apache tomcat Version 9.0 und höher.

Schlüssel-Features

  • Entpackt die catalina.jar Datei, um die Installationsmakros in der META-INF/MANIFEST.MF Datei zu extrahieren, die die Versionszeichenfolge enthält.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux

  • /opt/tomcat/lib/

  • /usr/share/tomcat/lib

  • /var/lib/tomcat/lib/

macOS

  • /Library/Tomcat/lib/

  • /usr/local/tomcat/lib

Windows

  • /Program Files/Apache Software Foundation

  • /Program Files (x86)/Apache Software Foundation/

catalina.jar/META-INF/MANIFEST.MF-Beispieldatei

Im Folgenden finden Sie ein Beispiel für Inhalte in einer catalina.jar/META-INF/MANIFEST.MF Datei. 


//truncated

Implementation-Title: Apache Tomcat
Implementation-Vendor: Apache Software Foundation
Implementation-Version: 10.1.31

//truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Apache tomcat Anwendung. 


Sample PURL: pkg:generic/apache/tomcat@10.1.31

AtlassianSammlung von Ökosystemen

Dieser Abschnitt enthält Einzelheiten zu Atlassian Serverprodukten und -anwendungen.

Atlassian Server Products

Unterstützte Anwendungen

  • Jira Core

  • Confluence

Schlüssel-Features

  • Jira Core— Analysiert die Maven-POM-Eigenschaften vonatlassian-jira-webapp, um Versionsinformationen zu extrahieren.

  • Confluence— Analysiert die Maven-POM-Eigenschaften von, um Versionsinformationen confluence-webapp zu extrahieren.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht in gängigen Installationspfaden nach Installationen:

Linux

  • /opt/atlassian/jira/atlassian-jira/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties

  • /opt/atlassian/confluence/confluence/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispielpaket URLs für Atlassian Serverprodukte. 

// Jira Core
pkg:generic/atlassian/jira-core@10.0.1?distro=linux

// Confluence
pkg:generic/atlassian/confluence@9.2.7?distro=linux

Atlassian Applications

Unterstützte Anwendungen

  • Jira Software

  • Jira Service Management

Schlüssel-Features

  • Jira Software— Erkennt die Version über jira-software-application JAR und extrahiert die Version aus den Maven-POM-Eigenschaften.

  • Jira Service Management— Erkennt die Version über jira-servicedesk-application JAR und extrahiert die Version aus den Maven-POM-Eigenschaften.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht in gängigen Installationspfaden nach Installationen:

Linux

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-software-application/jira-software-application-*.jar

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-servicedesk-application/jira-servicedesk-application-*.jar

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispielpaket URLs für Atlassian Anwendungen. 

// Jira Software
pkg:generic/atlassian/jira-software@10.3.9?distro=linux

// Jira Service Management
pkg:generic/atlassian/jira-service-management@10.3.9?distro=linux

Claude CodeSammlung von Ökosystemen

Unterstützte Anwendungen

  • Claude Code CLI(Anthropisch)

Schlüssel-Features

  • Claude Codewird als npm-Paket () @anthropic-ai/claude-code verteilt. Der Scanner erkennt die claude CLI-Binärdatei und löst sie package.json relativ dazu auf, wobei das <prefix>/bin/<binary> Standard-NPM-Layout verwendet wird. <prefix>/lib/node_modules/@anthropic-ai/claude-code/package.json

  • Die Version wird aus dem Feld von gelesen. Version: package.json

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux und macOS

  • /usr/bin/claude

  • /usr/local/bin/claude

  • ~/.local/bin/claude

  • ~/.npm-global/bin/claude

Windows

  • %APPDATA%\npm\claude.cmd

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürClaude Code. 

Sample PURL: pkg:generic/anthropic/claude-code@1.0.5?distro=linux

CondaSammlung von Ökosystemen

Unterstützte Anwendungen

  • Miniconda-Umgebungen

  • Anaconda-Umgebungen

  • Miniforge-Umgebungen

  • Mambaforge-Umgebungen

Schlüssel-Features
Unterstützte Plattformen

Bei Localhost-Scans scannt der Amazon Inspector SBOM Generator Conda-Meta-Verzeichnisse in den folgenden Installer-Standardpfaden und benutzerspezifischen Pfaden. Bei Container-, Verzeichnis- und Archivscans erkennt der Amazon Inspector SBOM Generator conda-meta/*.json Datensätze an beliebiger Stelle in der Baumstruktur.

Linux

  • /opt/conda

  • /opt/miniconda3, /opt/anaconda3, /opt/miniforge3

  • /root/miniconda3, /root/anaconda3, /root/miniforge3

  • /home/<user>/miniconda3, /home/<user>/anaconda3, /home/<user>/miniforge3

  • ~/.conda/envs/<env>

macOS

  • /opt/miniconda3, /opt/anaconda3

  • /opt/homebrew/anaconda3, /usr/local/anaconda3

  • /opt/homebrew/Caskroom/miniconda/base, /opt/homebrew/Caskroom/miniforge/base

  • /Users/<user>/miniconda3, /Users/<user>/anaconda3, /Users/<user>/miniforge3

  • ~/.conda/envs/<env>

Windows

  • C:\ProgramData\miniconda3, C:\ProgramData\anaconda3, C:\ProgramData\miniforge3

  • C:\Users\<user>\miniconda3, C:\Users\<user>\anaconda3, C:\Users\<user>\miniforge3

  • C:\Users\<user>\.conda\envs\<env>

Beispiel für conda-meta einen Datensatzpfad

Im Folgenden finden Sie einen Beispielpfad für einen conda Paketdatensatz. 

/opt/miniforge3/conda-meta/numpy-1.24.0-py311h64a7726_0.json
Beispiel für eine PURL

Im Folgenden finden Sie ein Beispielpaket URLs für ein plattformspezifisches conda Paket und ein Paket. noarch conda 

pkg:conda/numpy@1.24.0?build=py311h64a7726_0&subdir=linux-64&type=conda
pkg:conda/flask@3.0.0?build=pyhd8ed1ab_0&subdir=noarch&type=conda

CurlSammlung von Ökosystemen

Dieser Abschnitt enthält Einzelheiten zu Curl und Libcurl Anwendungen.

Curl

Unterstützte Anwendungen

  • Curl

Unterstützte Plattformen

  • Unix – Linux und macOS

    • /usr/local/bin/curl

Hauptmerkmale — Curl

  • Untersucht curl Binärdateien, um die eingebetteten Versionsinformationen zu extrahieren.

Anmerkung

Insbesondere sucht es nach Versionszeichenfolgen im .rodata Abschnitt mit ausführbaren Binärdateien (für ELF-Binärdateien unter Linux), im .rdata Abschnitt (für PE-Binärdateien unter Windows) oder im Abschnitt __cstring (für MachO-Binärdateien unter macOS).

Curl version string

Im Folgenden finden Sie ein Beispiel für eine Versionszeichenfolge, die in eine Binärdatei eingebettet ist: Curl 

curl/8.14.1

Version 8.14.1 wird aus der Zeichenfolge extrahiert, um die Curl Version zu identifizieren.

Beispiel PURL (Curl)

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Curl Versionsdatei. 

Sample PURL: pkg:generic/curl/curl@8.14.1

Libcurl

Unterstützte Anwendungen

  • Libcurl

Unterstützte Plattformen

  • Unix – Linux und macOS

    • /usr/local/bin/curl/curlver.h.

Hauptmerkmale — Libcurl

  • Überprüftcurlver.h, ob eingebettete Versionsinformationen für extrahiert Libcurl werden sollen.

Anmerkung

Insbesondere extrahiert es die Version aus den definierten LIBCURL_VERSION_PATCH Variablen LIBCURL_VERSION_MAJORLIBCURL_VERSION_MINOR, und.

Libcurl version string

Im Folgenden finden Sie ein Beispiel für die Versionsvariablen in einer curlver.h Datei: 

#define LIBCURL_VERSION_MAJOR 8
    #define LIBCURL_VERSION_MINOR 14
    #define LIBCURL_VERSION_PATCH 1

8.14.1Die Version wird aus diesen Zeilen extrahiert, um die Libcurl Version zu identifizieren.

Beispiel PURL (Libcurl)

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Libcurl Versionsdatei. 

Sample PURL: pkg:generic/curl/libcurl@8.14.1

Docker binariesSammlung von Ökosystemen

Unterstützte Anwendungen

  • docker (docker version 20.10.18+)

  • dockerd (docker version 20.10.18+)

  • containerd (docker version 20.10.18+)

  • runc (docker version 29.0.0+)

Anmerkung

Die Bewertung der Sicherheitslücke gilt nur für die Docker Versionen 25.0.0+. Frühere Versionen von Docker Binärdateien können gesammelt werden, sie werden jedoch nicht mehr von unterstützt. Docker

Schlüssel-Features

  • Untersucht Docker statische Binärdateien, um Versionsinformationen zu extrahieren.

Unterstützte Plattformen

Der SBOM-Generator sucht in den Installationspfaden, die in der Dokumentation zur statischen Binärinstallation von Docker empfohlen werden, nach Binärdateien:

Linux

  • /usr/bin/

macOS

  • /usr/local/bin/

Windows

  • C:/Program Files/Docker/

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürDocker. 

pkg:generic/docker/docker@29.4.0
pkg:generic/docker/dockerd@29.4.0
pkg:generic/docker/containerd@2.2.2
pkg:generic/docker/runc@1.3.5

ElasticsearchSammlung von Ökosystemen

Unterstützte Anwendungen

  • Elasticsearch

Anmerkung

Die Bewertung der Sicherheitslücke bezieht sich nur auf Elasticsearch Version 7.17.0.

Schlüssel-Features

  • Version— Entpackt die elasticsearch-<specific.version>.jar Datei, um Installationsmakros in META-INF/MANIFEST.MF Dateien zu extrahieren, die die Versionszeichenfolge enthalten. Elasticsearch

Unterstützte Plattformen

  • Linux/etc/elasticsearch/lib, und /opt/elasticsearch/lib/ /usr/share/elasticsearch/lib/

  • macOS/usr/local/var/lib/elasticsearch/lib/

  • Windows/elasticsearch/,/Program Files (x86)/Elastic/elasticsearch/lib/, und /Program Files/Elastic/elasticsearch/lib/

elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF-Beispieldatei

Das Folgende ist ein Beispiel für eine elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF Datei. 

//truncated

Manifest-Version: 1.0
Module-Origin: git@github.com:elastic/elasticsearch.git
X-Compile-Elasticsearch-Version: 8.19.0-SNAPSHOT
X-Compile-Lucene-Version: 9.12.1
X-Compile-Elasticsearch-Snapshot: true

//truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF Datei. 

pkg:generic/elastic/elasticsearch@8.19.0-SNAPSHOT

Generic AI/ML ModelsSammlung von Ökosystemen

Unterstützte Anwendungen

  • Lokal gespeicherte AI/ML Modelldateien in gängigen Frameworks und Tools

Schlüssel-Features

  • Erkennt AI/ML Modelldateien anhand der Dateierweiterung: .gguf.safetensors,.onnx,.pt,.pth, und.h5.

  • Scannt gängige Modellverzeichnisse, die von gängigen AI/ML Frameworks und lokalen Inferenztools verwendet werden.

  • Erkannte Dateien werden als Komponenten mit dem machine-learning-model Komponententyp generiert.

Anmerkung

Für Komponenten, die von diesem Kollektor erkannt wurden, wird keine PURL generiert.

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Modelldateien in gemeinsamen Pfaden:

Linux und macOS

  • ~/.keras/models

  • ~/.cache/lm-studio/models

  • ~/.local/share/nomic.ai/GPT4All

  • ~/.jan/models

  • ~/.cache/llama.cpp

  • ~/.tabby/models

  • ~/.local/share/localai/models

  • ~/text-generation-webui/models

  • ~/ComfyUI/models

  • ~/stable-diffusion-webui/models

GitHub CopilotSammlung von Ökosystemen

Unterstützte Anwendungen

  • GitHub Copilot CLI

  • GitHub Copilot VS Code extension

  • GitHub Copilot JetBrains plugin

Schlüssel-Features

  • Erkennt Copilot drei Installationsoberflächen: npm-distributed CLI (löst package.json aus dem Binärpfad über das npm-Layout auf), VS Code-Erweiterung (analysiert package.json in github.copilot-<version> Verzeichnissen; schließt die separate github.copilot-chat-* Erweiterung aus) und JetBrains Plugin (analysiert das Element). META-INF/plugin.xml <version>

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux und macOS

  • /usr/bin/github-copilot-cli

  • /usr/local/bin/github-copilot-cli

  • ~/.local/bin/github-copilot-cli

  • ~/.vscode/extensions/github.copilot-*/

  • <IDE>/plugins/github-copilot/META-INF/plugin.xml

Windows

  • %APPDATA%\npm\github-copilot-cli.cmd

  • %USERPROFILE%\.vscode\extensions\github.copilot-*\

  • %APPDATA%\JetBrains\<IDE>\plugins\github-copilot\

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürGitHub Copilot. 

Sample PURL: pkg:generic/github/copilot@0.1.36?distro=linux

GoogleSammlung von Ökosystemen

Unterstützte Anwendungen

  • Google Chrome

  • Puppeteer(unterstützt die Puppeteer-Bibliothek; Puppeteer-Core ist nicht enthalten)

Anmerkung

Puppeteerunterstützt die Puppenspieler-Bibliothek. PuppeteerDer Kern ist nicht enthalten.

Unterstützte Artefakte

Amazon Inspector sammelt Google Chrome Informationen aus den folgenden Quellen:

  • Die chrome/VERSION Datei (Build-Quelle)

  • Die chrome.exe Datei (Windows ChromeInstallation)

  • Die puppeteer Datei (Installation)

Für jedes der unterstützten Artefakte Sbomgen analysiert und sammelt er entweder die chrome Datei oder die puppeteer Datei. Bei puppeteer Installationen wird die entsprechende Chromium Version auf der Grundlage der puppeteer Version gesammelt. Weitere Informationen finden Sie auf der Puppeteer-Website unter Unterstützte Browser.

Wenn die PUPPETEER_SKIP_CHROMIUM_DOWNLOAD Umgebungsvariable auf gesetzt isttrue, wird die Auswertung übersprungen und der skip_chromium_download=true Qualifier wird der Paket-URL hinzugefügt. Puppeteer

Beispiel für chrome/VERSION eine Versionsdatei

Im Folgenden finden Sie ein Beispiel für die chrome/VERSION Versionsdatei. 


MAJOR=130
MINOR=0
BUILD=6723
PATCH=58
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine chrome/VERSION Versionsdatei. 

Sample PURL: pkg:generic/google/chrome@131.0.6778.87
Beispiel für puppeteer eine Versionsdatei

Im Folgenden finden Sie ein Beispiel für die puppeteer Versionsdatei. 

{
"name": "puppeteer",
"version": "23.9.0",
"description": "A high-level API to control headless Chrome over the DevTools Protocol",
"keywords": [
  "puppeteer",
  "chrome",
  "headless",
  "automation"
]
}
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine puppeteer Versionsdatei. 

Sample PURL: pkg:generic/google/puppeteer@23.9.0
Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL mit Skip-Qualifier für eine puppeteer Versionsdatei. 

pkg:generic/google/puppeteer@22.15.0?distro=linux&skip_chromium_download=true

HuggingFaceSammlung von Ökosystemen

Unterstützte Anwendungen

  • HuggingFacehfCLI

Schlüssel-Features

  • Extrahiert lokal zwischengespeicherte AI/ML Modelle, die installiert wurden von HuggingFace

  • Generiert ein HuggingFace Package URLs

  • Modelle, die mit heruntergeladen wurden, hf download --local-dir werden derzeit nicht unterstützt

Beispiel für einen Pfad

Im Folgenden finden Sie ein Beispiel für einen zwischengespeicherten HuggingFace Modellpfad. 

/home/ec2-user/.cache/huggingface/hub/models--MiniMaxAI--MiniMax-M2.5/snapshots/<hash>
Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für ein HuggingFace Modell. Der Komponententyp istmachine-learning-model. 

pkg:huggingface/MiniMaxAI/MiniMax-M2.5@<hash>

JavaSammlung von Ökosystemen

Unterstützte Anwendungen

  • Oracle JDK

  • Oracle JRE

  • Amazon Corretto

Schlüssel-Features

  • Extrahiert die Zeichenfolge der Java Installation.

  • Identifiziert den Verzeichnispfad, der die Java Laufzeit enthält.

  • Identifiziert den Anbieter als Oracle JDKOracle JRE, undAmazon Corretto.

Der Amazon Inspector SBOM Generator sucht auf den folgenden Installationspfaden und Plattformen nach Java Installationen:

  • macOS: /Library/Java/JavaVirtualMachines

  • Linux 32-bit: /usr/lib/jvm

  • Linux 64-bit: /usr/lib64/jvm

  • Linux (generic): /usr/java and /opt/java

Beispiel für Versionsinformationen Java

Im Folgenden finden Sie ein Beispiel für eine Oracle Java Version. 


// Amazon Corretto
IMPLEMENTOR="Amazon.com Inc."
IMPLEMENTOR_VERSION="Corretto-17.0.11.9.1"
JAVA_RUNTIME_VERSION="17.0.11+9-LTS"
JAVA_VERSION="17.0.11"
JAVA_VERSION_DATE="2024-04-16"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.foreign jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom jdk.zipfs"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:7917f11551e8+"

// JDK
IMPLEMENTOR="Oracle Corporation"
JAVA_VERSION="19"
JAVA_VERSION_DATE="2022-09-20"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.zipfs jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.concurrent jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:53b4a11304b0 open:git:967a28c3d85f"
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Oracle Java Version. 


Sample PURL:
# Amazon Corretto
pkg:generic/amazon/amazon-corretto@21.0.3 
# Oracle JDK
pkg:generic/oracle/jdk@11.0.16
# Oracle JRE
pkg:generic/oracle/jre@20

JenkinsSammlung von Ökosystemen

Unterstützte Anwendungen

  • Jenkins-Core

Anmerkung

Die Bewertung der Sicherheitslücke bezieht sich auf Jenkins Version 2.400.* und höher.

Schlüssel-Features

  • Extrahiert Versionsinformationen aus der jenkins.war Datei, indem die META-INF/MANIFEST.M Datei gelesen wird, die die Versionszeichenfolge enthält. Jenkins

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Jenkins-Installationen in gemeinsamen Installationspfaden:

Linux

  • /usr/share/jenkins/jenkins.war

  • usr/share/java/jenkins/.war

macOS

  • /opt/homebrew/opt/jenkins-lts/libexec/jenkins.war

Windows

  • /Program Files/Jenkins/Jenkins.war

  • /Program Files (x86)/Jenkins/Jenkins.war

Beispieldateien

Im Folgenden finden Sie Beispiele für jenkins.war/META-INF/MANIFEST.MF Dateien für verschiedene Versionen. 

Manifest-Version: 1.0
Created-By: Maven WAR Plugin 3.4.0
Build-Jdk-Spec: 21
Implementation-Title: Jenkins war
Main-Class: executable.Main
Implementation-Version: 2.516.2
Jenkins-Version: 2.516.2
Manifest-Version: 1.0
Jenkins-Version: 2.414.1
Implementation-Title: Jenkins
Implementation-Version: 2.414.1
Built-By: kohsuke
Created-By: Apache Maven 3.8.6
Beispiel PURLs

Im Folgenden finden Sie Pakete URLs für Version 2.516.2 der Jenkins LTS-Version und Version 2.414 der Jenkins Automation-Server-Version. 

LTS: pkg:generic/jenkins/jenkins-core-lts@2.516.2.1
Regular: pkg:generic/jenkins/jenkins-core@2.414

Kiro CLISammlung von Ökosystemen

Unterstützte Anwendungen

  • Kiro CLI(Amazon AI-Codierungsassistent)

Schlüssel-Features

  • Untersucht die kiro-cli Binärdatei (oderkiro-cli.appimage), um eingebettete Versionsinformationen zu extrahieren.

  • Sucht nach Versionszeichenfolgen im .rodata Abschnitt der ausführbaren Binärdatei (für ELF-Binärdateien aktiviertLinux) oder __cstring Abschnitt (für Mach-O-Binärdateien aktiviert). macOS Die Version wird aus dem Zeichenkettenmuster des AWS Tooling-Benutzeragenten extrahiert. Version<X.Y.Z>/

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux

  • ~/.local/bin/kiro-cli

  • /usr/bin/kiro-cli

  • ~/Applications/kiro-cli.appimage

macOS

  • /Applications/Kiro CLI.app/Contents/MacOS/kiro-cli

  • ~/.local/bin/kiro-cli

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürKiro CLI. 

Sample PURL: pkg:generic/amazon/kiro@1.29.5?distro=linux

MariaDBund Sammlung von MySQL Ökosystemen

MariaDB

Unterstützte Anwendungen

  • MariaDB Server(10.6+, 11.x, 12.x)

Schlüssel-Features

  • Extrahiert Versionsinformationen aus Datenbankserver-Binärdateien und Header-Dateien mithilfe datenbankspezifischer Muster.

  • Identifiziert den Verzeichnispfad, der die Datenbankserver-Installation enthält.

  • Unterscheidet mithilfe der datengesteuerten Dateityperkennung automatisch zwischen MySQL Installationen MariaDB und Installationen.

Der SBOM-Generator sucht plattformübergreifend in gemeinsamen MariaDB Installationspfaden nach der Installation:

Linux

  • /usr/bin/mariadbd

  • /usr/sbin/mariadbd

  • /usr/local/bin/mariadbd

macOS

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Windows

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für einen MariaDB Server.

# MariaDB Server

pkg:generic/mysql/mariadb-server@10.11.8

MySQLSammlung von Ökosystemen

Unterstützte Anwendungen

  • Oracle MySQL Server Server(8.0, 8.4, 9.4+)

Schlüssel-Features

  • Extrahiert Versionsinformationen aus Datenbankserver-Binärdateien und Header-Dateien mithilfe datenbankspezifischer Muster.

  • Identifiziert den Verzeichnispfad, der die Datenbankserver-Installation enthält.

  • Unterscheidet mithilfe der datengesteuerten Dateityperkennung automatisch zwischen MariaDB Installationen MySQL und Installationen.

Der SBOM-Generator sucht plattformübergreifend in gemeinsamen MySQL Installationspfaden nach der Installation:

Linux

  • /usr/local/bin/mysqld

  • /usr/bin/mysqld

  • /usr/sbin/mysqld

macOS

  • /usr/local/mysql/include/mysql_version.h (MySQL)

Windows

  • C:/Program Files/MySQL/MySQL Server/include/mysql_version.h (MySQL)

  • C:/Program Files (x86)/MySQL/MySQL Server/include/mysql_version.h (MySQL)

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für einen MySQL Server.

# Oracle MySQL Server

pkg:generic/mysql/mysql-server@8.0.43

Microsoft applicationsSammlung von Ökosystemen

Die folgenden Microsoft-Anwendungen werden vom Amazon Inspector SBOM-Generator inventarisiert. Aufgrund von Einschränkungen in der Microsoft CVRF-API werden Erkennungen in der InspectorScan API nur für Versionen dieser Anwendungen unterstützt, die 2021 (oder später) veröffentlicht wurden. Die Ergebnisse werden Microsoft KBs oder CVEs (falls zutreffend) zugeordnet.

Unterstützte Microsoft-Anwendungen (2021+)

  • PowerShell

  • NuGet CLI

  • Visual Studio Code

  • Microsoft Edge

  • SharePoint Server

  • Microsoft Defender

  • Exchange Server

  • Visual Studio

  • .NET Core Runtime

  • .NET Framework

  • ASP.NET Core Runtime

  • Microsoft Teams

  • Outlook for Windows

  • Microsoft Office

  • Microsoft 365

Schlüssel-Features

  • PowerShell— Untersucht die pwsh.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • NuGet CLI— Untersucht die nuget.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • Visual Studio Code— Untersucht die Code.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • Microsoft Edge— Untersucht die msedge.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • SharePoint Server— Untersucht die Microsoft.SharePoint.dll Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • Microsoft Defender— Untersucht die MsMpEng.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • Exchange Server— Untersucht die Exsetup.exe Datei, um die eingebetteten Versionsinformationen zu extrahieren.

  • Visual Studio— Analysiert die state.json Datei, um die Versionszeichenfolge aus dem catalogInfo.productDisplayVersion Feld abzurufen.

  • .NET Core Runtime— Sucht Microsoft.NETCore.App.deps.json in Installationspfaden nach Dateien und extrahiert die Versionszeichenfolge aus dem folgenden Dateipfadmuster. 

    Microsoft.NETCore.App/<VERSION>/Microsoft.NETCore.App.deps.json

  • .NET Framework— Analysiert die Windows-Registrierung und liest Dateimetadaten, um installierte.NET Framework-Versionen zu erkennen. Der Scanner überprüft den folgenden Registrierungsschlüssel und -wert sowie die folgenden Dateien.

    • Registry Key(<VERSION_SUB_KEY>steht für die Version von.NET Framework, z. B. v2.0.50727v3.5, oderv4\Full)

      HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>
      HKLM\SOFTWARE\Wow6432Node\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>

    • Registry Value

      • Install— Gibt an, ob die .NET Framework-Version installiert ist.

      • Version— Installierte Version von.NET Framework (Version 4.0 oder niedriger)

      • Release— Ein REG_DWORD Wert, der der installierten .NET Framework-Version (Version 4.5 oder höher) zugeordnet ist

    • DLL Files

      Der Scanner extrahiert die Dateiversion aus mscorlib.dll undSystem.dll. Wenn diese Dateien vorhanden sind, werden sie der SBOM als verschachtelte Dateikomponenten hinzugefügt. Für .NET Framework Version 4.5 oder höher wird die größte Dateiversion unter den Dateien als Version gemeldet.

  • ASP.NET Core Runtime— Sucht Microsoft.AspNetCore.App.deps.json in Installationspfaden nach Dateien und extrahiert die Versionszeichenfolge aus dem folgenden Dateipfadmuster. 

    Microsoft.AspNetCore.App/<VERSION>/Microsoft.AspNetCore.App.deps.json

  • Outlook for Windows— Analysiert die Windows-Registrierung und extrahiert die Version aus dem folgenden Registrierungsschlüssel. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\Microsoft.OutlookForWindows_<VERSION>_<ARCH>__8wekyb3d8bbwe

  • Microsoft Teams— Analysiert die Windows-Registrierung und extrahiert die Version aus dem folgenden Registrierungsschlüssel. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\MSTeams_<VERSION>_<ARCH>__8wekyb3d8bbwee

  • Microsoft Office 365 / Microsoft 365— Analysiert die Windows-Registrierung und extrahiert die Version aus dem folgenden Registrierungsschlüssel und Wert.

    • Registrierungsschlüssel

      HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration

    • Registrierungswert

      • VersionToReport— Microsoft Office-Version

      • ProductReleaseIds— Liste der Produkte IDs. Dies wird verwendet, um installierte Office-Produkte zu identifizieren. Weitere Informationen zum Produkt IDs finden Sie product IDsauf der Microsoft Website.

  • Microsoft Office Suite— Sammelt die installierten Office-Anwendungen, indem die folgenden ausführbaren Dateien untersucht werden:

    • EXCEL.EXE – Microsoft Excel

    • WINWORD.EXE – Microsoft Word

    • POWERPNT.EXE – Microsoft PowerPoint

    • OUTLOOK.EXE – Microsoft Outlook

    Die Versionsnummer in der Windows-Registrierung wird als verbindliche Versionsnummer für jede installierte Office-Anwendung verwendet.

state.json-Beispieldatei

Im Folgenden finden Sie ein Beispiel für eine state.json Datei, die zum Sammeln der installierten Visual Studio Version verwendet werden kann. 

{
    "icon": {
        "mimeType": "image/svg+xml",
        "fileName": "product.svg"
    },
    "updateDate": "2025-11-06T05:05:35.6517471Z",
    "installDate": "2025-11-06T05:05:35.6527436Z",
    "enginePath": "C:\\Program Files (x86)\\Microsoft Visual Studio\\Installer\\resources\\app\\ServiceHub\\Services\\Microsoft.VisualStudio.Setup.Service",
    "installationName": "VisualStudio/17.14.19+36623.8",
    "catalogInfo": {
        "id": "VisualStudio/17.14.19+36623.8",
        "buildBranch": "d17.14",
        "buildVersion": "17.14.36623.8",
        "localBuild": "build-lab",
        "manifestName": "VisualStudio",
        "manifestType": "installer",
        "productDisplayVersion": "17.14.19",
// truncated

Beispiel PURL

Im Folgenden finden Sie jeweils Microsoft Applications ein Beispiel für eine Paket-URL. 

// PowerShell
Sample PURL: pkg:generic/microsoft/powershell@7.5.3

// NuGet CLI
Sample PURL: pkg:generic/microsoft/nuget@6.14.0

// Visual Studio Code
Sample PURL: pkg:generic/microsoft/visualstudiocode@1.104.2

// Microsoft Edge
Sample PURL: pkg:generic/microsoft/edge@140.0.3485.94

// SharePoint Server
Sample PURL: pkg:generic/microsoft/sharepoint@23.38.219.1

// Microsoft Defender
Sample PURL: pkg:generic/microsoft/defender@4.18.23110.3

// Exchange Server
Sample PURL: pkg:generic/microsoft/exchangeserver@15.2.2562.17

// Visual Studio
Sample PURL: pkg:generic/microsoft/visualstudio@17.14.19

// .NET Core Runtime
Sample PURL: pkg:generic/microsoft/dotnet@8.0.18

// .NET Framework
Sample PURL: pkg:generic/microsoft/dotnet-framework-v4.8.1@4.8.9320.0

// ASP.NET Core Runtime
Sample PURL: pkg:generic/microsoft/aspdotnet@8.0.18

// Microsoft Teams
Sample PURL: pkg:generic/microsoft/teams@25241.203.3947.4411

// Outlook for Windows
Sample PURL: pkg:generic/microsoft/outlookforwindows@1.2025.916.400                    

// Microsoft 365 / Office 365
Sample PURL: pkg:generic/microsoft/office@16.0.19127.20264?product_ids=O365HomePremRetail

// Microsoft Word
Sample PURL: pkg:generic/microsoft/word@16.0.19127.20264

// Microsoft Excel
Sample PURL: pkg:generic/microsoft/excel@16.0.19127.20264

// Microsoft PowerPoint
Sample PURL: pkg:generic/microsoft/powerpoint@16.0.19127.20264

// Microsoft Outlook
Sample PURL: pkg:generic/microsoft/outlook@16.0.19127.20264

Microsoft SQL ServerSammlung von Ökosystemen

Unterstützte Anwendungen

  • Microsoft SQL Server

Schlüssel-Features

  • Liest aus der Windows Registrierung, um installierte Microsoft SQL Server Instanzen zu ermitteln und Versionsinformationen zu extrahieren.

  • Erkennt Instanzen in einem zweistufigen Prozess: liest den InstalledInstances Wert, löst jeden Instanzpfad aus dem Instance Names\SQL Unterschlüssel auf und liest dann die Setup-Informationen aus dem Unterschlüssel jeder Instanz. Setup

  • Erfasst den Instanznamen, die Basisversion, das Patch-Level, die Edition, das Service Pack (falls vorhanden) und den Registrierungsschlüsselpfad.

  • Die Komponentenversion und die PURL verwenden das Patch-Level (vollständige Buildnummer).

Unterstützte Plattformen — Windows

Der Amazon Inspector SBOM Generator liest aus dem folgenden Windows Registrierungsschlüssel, um installierte Instances zu ermitteln: 

HKLM\SOFTWARE\Microsoft\Microsoft SQL Server

Der Scanner liest den InstalledInstances Wert, um die Instances aufzuzählen, löst jeden Instance-Pfad aus dem Unterschlüssel auf und liest dann die Setup-Informationen aus dem Instance Names\SQL Unterschlüssel jeder Instance. Setup

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für eine Microsoft SQL Server Instanz. 

pkg:generic/microsoft/sqlserver@16.0.1000.6

MongoDBSammlung von Ökosystemen

Unterstützte Anwendungen

  • MongoDB Server(7.0+, 8.0+)

Schlüssel-Features

  • Untersucht mongod Binärdateien, um eingebettete Versionsinformationen zu extrahieren.

Anmerkung

Die mongod Binärdatei kann eine Größe von 200 MB überschreiten. Um nach Dateien zu suchenMongoDB, muss die Dateigrößenbeschränkung von Amazon Inspector SBOM Generator so konfiguriert sein, dass Dateien über 200 MB zulässig sind.

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach MongoDB Installationen in gemeinsamen Installationspfaden:

Linux

  • /usr/bin/mongod

  • /usr/local/bin/mongod

macOS

  • /usr/local/bin/mongod

  • /opt/homebrew/bin/mongod

Windows

  • C:\Program Files\MongoDB\Server\bin\mongod.exe

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürMongoDB Server. 

pkg:generic/mongodb/mongodb-server@8.2.4?platform=linux

NginxSammlung von Ökosystemen

Unterstützte Anwendungen

  • Nginx

Unterstützte Plattformen

Die folgenden Plattformen werden unterstützt.

Linux

  • /usr/sbin/nginx

  • /usr/local/nginx

  • /usr/local/etc/nginx

  • /usr/local/nginx/nginx

  • /usr/local/nginx/sbin/nginx

  • /etc/nginx/nginx

Windows

  • C:\nginx\nginx.exe

  • C:\nginx-x.y.z\nginx.exe (x.y.z ist eine beliebige Version)

macOS

  • /usr/local/etc/nginx/nginx

Schlüssel-Features

In dieser Sammlung werden Binärdateien untersucht, um eingebettete Versionsinformationen zu extrahieren. Sie sucht nach Versionszeichenfolgen im .rodata Abschnitt der ausführbaren Binärdatei (für ELF-Binärdateien aktiviertLinux), .rdata Abschnitt (für PE-Binärdateien aktiviertWindows) oder __ctring Abschnitt (für MachO Binärdateien).

Beispiel für eine Versionszeichenfolge

Das Folgende ist ein Beispiel für eine Versionszeichenfolge, die in eine Nginx Binärdatei eingebettet ist. 

nginx version: nginx/1.27.5

Die Version 1.27.5 wird extrahiert, um die Nginx Version zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für Nginx. 

Sample PURL: pkg:generic/nginx/nginx@1.27.5

Node.JSRuntime-Sammlung

Unterstützte Anwendungen

  • Knotenlaufzeit-Binärdatei für Node.JS

Unterstützte Plattformen

Die folgenden Plattformen werden unterstützt. (* ist eine beliebige Version)

Linux

  • /usr/local/bin/node

  • /usr/bin/node

  • /nodejs/bin/node

  • ~/.nvm/versions/node/*/bin/node

  • ~/.local/share/fnm/node-versions/*/installation/bin/node

  • ~/.asdf/installs/nodejs/*/bin/node

  • ~/.local/share/mise/installs/node/*/bin/node

  • ~/.volta/tools/image/node/*/bin/node

Windows

  • C:\Program Dateien\nnodejs\node.exe

  • C:\Program Dateien (x86)\nnodejs\node.exe

  • ~\\ RoamingAppData\ fnm\nOde-Versionen\ *\ Installation\node.exe

macOS

  • /opt/homebrew/Cellar/node/*/bin/node

Schlüssel-Features

In dieser Sammlung werden Binärdateien untersucht, um eingebettete Versionsinformationen zu extrahieren. Sie sucht nach Versionszeichenfolgen im .rodata Abschnitt der ausführbaren Binärdatei (für ELF-Binärdateien aktiviertLinux), .rdata Abschnitt (für PE-Binärdateien aktiviertWindows) oder __ctring Abschnitt (für MachO Binärdateien).

Beispiel für eine Versionszeichenfolge

Im Folgenden finden Sie ein Beispiel für eine Versionszeichenfolge, die in eine Node.JS Runtime-Binärdatei eingebettet ist. 

node.js/v24.11.1

Die Version 24.11.1 wird extrahiert, um die Node.JS Laufzeitversion zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürNode.JS. 

Sample PURL: pkg:generic/nodejs/node@24.11.1

OllamaSammlung von Ökosystemen

Unterstützte Anwendungen

  • Ollama(lokale LLM-Laufzeit)

Schlüssel-Features

  • Untersucht die ollama Binärdatei (oder ollama.exe aktiviertWindows), um eingebettete Versionsinformationen zu extrahieren.

  • Ollamaist eine Go Binärdatei-ldflags -X, bei der die Version beim Erstellen über eingefügt wurde. Diese wird im Datenbereich der Binärdatei als Zeichenfolge mit Tilde-Präfix angezeigt (z. B.). ~0.21.0 Bei Homebrew macOS Binärdateien mit -build kann die Version alternativ im Modul build info als vorhanden sein. Go ollama\tv<version>

Unterstützte Plattformen

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Installationen in gemeinsamen Installationspfaden:

Linux

  • /usr/local/bin/ollama

  • /usr/bin/ollama

  • ~/.local/bin/ollama

macOS

  • /Applications/Ollama.app/Contents/MacOS/ollama

  • /usr/local/bin/ollama

  • /opt/homebrew/bin/ollama

Windows

  • %LOCALAPPDATA%\Programs\Ollama\ollama.exe

  • %ProgramFiles%\Ollama\ollama.exe

Beispiel für eine Versionszeichenfolge

Das Folgende ist ein Beispiel für eine Versionszeichenfolge, die in eine Ollama Binärdatei eingebettet ist. 

~0.21.0

Die Version 0.21.0 wird extrahiert, um die Ollama Version zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürOllama. 

Sample PURL: pkg:generic/ollama/ollama@0.21.0?distro=linux

Ollama Model CollectorSammlung von Ökosystemen

Unterstützte Anwendungen

  • Ollama-CLI

Schlüssel-Features

  • Extrahiert lokal zwischengespeicherte AI/ML Modelle, die von installiert wurden Ollama

  • Generiert ein Ollama Package URLs

Beispielpfad

Im Folgenden finden Sie ein Beispiel für einen zwischengespeicherten Ollama Modellpfad. 

/usr/share/ollama/.ollama/models/manifests/registry.ollama.ai/library/gemma4/latest
Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für ein Ollama Modell. Der Komponententyp istmachine-learning-model. 

pkg:ollama/gemma4@<hash>

Sammlung des OpenSSH-Ökosystems

Unterstützte Anwendungen

  • OpenSSH(Version 9)

  • OpenSSH(Ausführung 10)

Unterstützte Plattformen Linux/macOS

  • /usr/sbin/sshd

  • /usr/local/sbin/sshd

Unterstützte Plattformen Windows

  • C:/Windows/System32/OpenSSH/sshd.exe

  • C:/Program Files/OpenSSH/sshd.exe

  • C:/Program Files (x86)/OpenSSH/sshd.exe

  • C:/OpenSSH/sshd.exe

Schlüssel-Features

  • Untersucht sshd Binärdateien, um eingebettete Versionsinformationen zu extrahieren.

  • Sucht nach Versionszeichenfolgen im .rodata Abschnitt mit ausführbaren Binärdateien (für ELF-Binärdateien aktiviert)Linux, __cstring Abschnitt (für Mach-O-Binärdateien aktiviertMacOs) oder .rdata Abschnitt (für PE-Binärdateien aktiviert). Windows

Beispiel für eine Versionszeichenfolge

Das Folgende ist ein Beispiel für eine Versionszeichenfolge, die in eine OpenSSH Binärdatei eingebettet ist. 

OpenSSH_9.9p2

Die Version 9.9p2 wird extrahiert, um die OpenSSH Version zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürOpenSSH. 

Sample PURL: pkg:generic/openssh/openssh@9.9p2

Sammlung des OpenSSL-Ökosystems

Unterstützte Anwendungen

Die Support für OpenSSL-Bibliotheken und Entwicklungspakete ist auf Software beschränkt, die mit offiziellem OpenSSL für 3.0.0-Versionen und höher erstellt wurde. Die Software muss außerdem der semantischen Versionierung folgen. Benutzerdefinierte oder geforkte OpenSSL-Varianten und Versionen unter 3.0.0 werden nicht unterstützt.

Der Amazon Inspector SBOM Generator extrahiert wichtige Paketinformationen für jede installierte OpenSSL-Instance.

Schlüssel-Features

  • Extrahiert die Basiszeichenfolge der SEMVER-Version aus der OpenSSL-Header-Datei

  • Identifiziert den Verzeichnispfad, der die OpenSSL-Installation enthält

Der Amazon Inspector SBOM Generator sucht nach OpenSSL-Installationen, indem er plattformübergreifend in gängigen Installationspfaden nach der opensslv.h Datei sucht.

Beispiel für einen Installationspfad für Linux/Unix

Im Folgenden finden Sie ein Beispiel für einen Installationspfad für Linux/Unix. 

/usr/local/include/openssl/opensslv.h
/usr/local/ssl/include/openssl/opensslv.h
/usr/local/openssl/include/openssl/opensslv.h
/usr/local/opt/openssl/include/openssl/opensslv.h
/usr/include/openssl/opensslv.h

Der Amazon Inspector SBOM Generator extrahiert Versionsinformationen, indem er die opensslv.h Datei analysiert und nach den Versionsdefinitionen sucht. 

# define OPENSSL_VERSION_MAJOR  3
# define OPENSSL_VERSION_MINOR  4
# define OPENSSL_VERSION_PATCH  0
Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für die OpenSSL-Version. 

Sample PURL: pkg:generic/openssl/openssl@3.4.0

Sammlung des Oracle-Datenbankservers

Unterstützte Anwendungen

  • Oracle Database

Unterstützte Plattformen Linux

  • /opt/oracle

  • /u01/app/oracle

Anmerkung

Die Bewertung der Sicherheitslücke gilt nur für Oracle Datenbankserver Version 19 und höher.

Schlüssel-Features

  • Untersucht Oracle Binärdateien, um eingebettete Versionsinformationen zu extrahieren.

  • Sucht im .rodata Abschnitt der ausführbaren Binärdatei nach Versionszeichenfolgen (für ELF-Binärdateien aktiviertLinux).

  • Versionsinformationen folgen einem bestimmten Format, das die RDBMS-Versionszeichenfolge enthält.

Beispiel für eine Versionszeichenfolge

Das Folgende ist ein Beispiel für eine Versionszeichenfolge, die in eine Oracle Database Binärdatei eingebettet ist: 

RDBMS_23.7.0.25.01DBRU_LINUX.X64_240304

Die Version 23.7.0.25.01 wird extrahiert, um die Oracle Database Version zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürOracle Database. 

Sample PURL: pkg:generic/oracle/database@23.7.0.25.01

PHPSammlung von Ökosystemen

Unterstützte Anwendungen

  • PHP(Version 8.1 und höher)

Schlüssel-Features

  • Extrahiert Versionsinformationen aus ausführbaren PHP Binärdateien mithilfe eingebetteter Versionszeichenfolgen.

  • Identifiziert den Verzeichnispfad, der die PHP Binärdatei enthält.

  • Erkennt automatisch sowohl PHP Standardbinärdateien als auch versionierte Installationen wie php8.1php8.2, und. php8.3

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach PHP Installationen in gemeinsamen Installationspfaden:

Linux

  • usr/bin/php8.1 through /usr/bin/php8.9

  • /usr/sbin/php8.1 through /usr/sbin/php8.9

  • /usr/local/bin/php, /usr/bin/php, /usr/sbin/php

  • /usr/local/bin/php8.1 through /usr/local/bin/php8.9(versionierte Binärdateien)

macOS

  • /opt/homebrew/bin/php

  • /usr/bin/php

  • /usr/local/bin/php

Windows

  • C:/php/php.exe

  • C:/php8.1/php.exe through C:/php8.9/php.exe(versionierte Verzeichnisse)

Beispiel für eine PHP Versionsextraktion

Der Amazon Inspector SBOM Generator extrahiert Versionsinformationen aus PHP Binärdateien, indem er nach eingebetteten Versionszeichenfolgen nach dem folgenden Muster sucht. 

X-Powered-By: PHP/8.4.12

8.4.12wird aus diesem Muster extrahiert, um die Version zu identifizieren. PHP

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für ein PHP Muster. 

pkg:generic/php/php@8.4.12

RedisSammlung von Ökosystemen

Unterstützte Anwendungen

  • Redis(Version 7.2 und höher)

Schlüssel-Features

  • Extrahiert Versionsinformationen aus ausführbaren Redis redis-server Binärdateien mithilfe eingebetteter Versionszeichenfolgen.

  • Sucht nach Versionszeichenfolgen im .rodata Abschnitt mit ausführbaren Binärdateien (für ELF-Binärdateien aktiviertLinux) oder __cstring Abschnitt (für Mach-O-Binärdateien aktiviert). macOS

Der Amazon Inspector SBOM Generator sucht plattformübergreifend nach Redis Installationen in gemeinsamen Installationspfaden:

Linux

  • /usr/bin/redis-server

  • /usr/local/bin/redis-server

macOS

  • /opt/homebrew/bin/redis-server

  • /usr/local/bin/redis-server

Beispiel für eine Versionszeichenfolge

Das Folgende ist ein Beispiel für eine Versionszeichenfolge, die in eine Redis Binärdatei eingebettet ist. 

redis-7.2.6

Die Version 7.2.6 wird extrahiert, um die Redis Version zu identifizieren.

Beispiel für eine PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL fürRedis. 

pkg:generic/redis/redis@7.2.6

WordPressSammlung von Ökosystemen

Unterstützte Komponenten

  • WordPress-Core

  • WordPressPlug-ins

  • WordPressThemen

Schlüssel-Features

  • WordPresscore — analysiert die /wp-includes/version.php Datei, um den Versionswert aus der Variablen $wp_version zu extrahieren.

  • WordPressplugins — analysiert die /wp-content/plugins/<WordPress Plugin>/readme.txt Datei oder /wp-content/plugins/<WordPress Plugin>/readme.md Datei, um das Stable Tag als Versionsstring zu extrahieren.

  • WordPressthemes — analysiert die /wp-content/themes/<WordPress Theme>/style.css Datei, um die Version aus den Versionsmetadaten zu extrahieren.

version.php-Beispieldatei

Das Folgende ist ein Beispiel für eine WordPress version.php Core-Datei. 


// truncated

/**
* The WordPress version string.
*
* Holds the current version number for WordPress core. Used to bust caches
* and to enable development mode for scripts when running from the /src directory.
*
* @global string $wp_version
*/
$wp_version = '6.5.5';

// truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für WordPress Core. 


Sample PURL: pkg:generic/wordpress/core/wordpress@6.5.5
readme.txt-Beispieldatei

Das Folgende ist ein Beispiel für eine WordPress readme.txt Plugin-Datei. 


=== Plugin Name ===
Contributors: (this should be a list of wordpress.org userid's)
Donate link: https://example.com/
Tags: tag1, tag2
Requires at least: 4.7
Tested up to: 5.4
Stable tag: 4.3
Requires PHP: 7.0
License: GPLv2 or later
License URI: https://www.gnu.org/licenses/gpl-2.0.html

// truncated
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für ein WordPress Plugin. 


Sample PURL: pkg:generic/wordpress/plugin/exclusive-addons-for-elementor@1.0.0
style.css-Beispieldatei

Das Folgende ist ein Beispiel für eine WordPress style.css Theme-Datei. 


/*
Author: the WordPress team
Author URI: https://wordpress.org
Description: Twenty Twenty-Four is designed to be flexible, versatile and applicable to any website. Its collection of templates and patterns tailor to different needs, such as presenting a business, blogging and writing or showcasing work. A multitude of possibilities open up with just a few adjustments to color and typography. Twenty Twenty-Four comes with style variations and full page designs to help speed up the site building process, is fully compatible with the site editor, and takes advantage of new design tools introduced in WordPress 6.4.
Requires at least: 6.4
Tested up to: 6.5
Requires PHP: 7.0
Version: 1.2
License: GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: twentytwentyfour
Tags: one-column, custom-colors, custom-menu, custom-logo, editor-style, featured-images, full-site-editing, block-patterns, rtl-language-support, sticky-post, threaded-comments, translation-ready, wide-blocks, block-styles, style-variations, accessibility-ready, blog, portfolio, news
*/
Beispiel PURL

Im Folgenden finden Sie ein Beispiel für eine Paket-URL für ein WordPress Thema. 


Sample PURL: pkg:generic/wordpress/theme/avada@1.0.0