Umgang mit ungelösten oder nicht standardmäßigen Versionsreferenzen im Amazon Inspector SBOM Generator - Amazon Inspector
EmpfehlungenJavaJavaScriptPython

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umgang mit ungelösten oder nicht standardmäßigen Versionsreferenzen im Amazon Inspector SBOM Generator

Der Amazon Inspector SBOM Generator lokalisiert und analysiert unterstützte Artefakte innerhalb eines Systems, indem er Abhängigkeiten direkt aus Quelldateien identifiziert. Er ist kein Paketmanager und löst keine Versionsbereiche auf, leitet keine Versionen auf der Grundlage dynamischer Verweise ab und verarbeitet auch keine Abfragen in der Registrierung. Es erfasst Abhängigkeiten nur so, wie sie in den Artefakten der Projektquelle definiert sind. In vielen Fällen werden Abhängigkeiten in Paketmanifesten, wiepackage.json, oder pom.xmlrequirements.txt, mit ungelösten oder bereichsbasierten Versionen spezifiziert. Dieses Thema enthält Beispiele dafür, wie diese Abhängigkeiten aussehen könnten.

Empfehlungen

Der Amazon Inspector SBOM Generator extrahiert Abhängigkeiten aus Quellartefakten, löst oder interpretiert jedoch weder Versionsbereiche noch dynamische Verweise. Für genauere Sicherheitslücken und für eine genauere Suche nach Sicherheitslücken empfehlen wir SBOMs, behobene, semantische Versions-IDs in Projektabhängigkeiten zu verwenden.

Java

Denn Maven Projekte können Versionsbereiche verwendenJava, um Abhängigkeiten in der pom.xml Datei zu definieren. 


<dependency>
    <groupId>org.inspector</groupId>
    <artifactId>inspector-api</artifactId>
    <version>(,1.0]</version>
</dependency>

Der Bereich gibt an, dass jede Version bis einschließlich 1.0 zulässig ist. Wenn es sich bei einer Version jedoch nicht um eine aufgelöste Version handelt, erfasst der Amazon Inspector SBOM Generator sie nicht, da sie keiner bestimmten Version zugeordnet werden kann.

JavaScript

Denn JavaScript die package.json Datei kann Versionsbereiche enthalten, die den folgenden ähneln: 


"dependencies": {
    "ky": "^1.2.0",
    "registry-auth-token": "^5.0.2",
    "registry-url": "^6.0.1",
    "semver": "^7.6.0"
}

Der ^ Operator gibt an, dass jede Version, die größer oder gleich der angegebenen Version ist, zulässig ist. Wenn es sich bei der angegebenen Version jedoch nicht um eine aufgelöste Version handelt, erfasst der Amazon Inspector SBOM Generator sie nicht, da dies zu Fehlalarmen bei der Erkennung von Sicherheitslücken führen kann.

Python

Denn Python die requirements.txt Datei kann Einträge mit einem booleschen Ausdruck enthalten. 

requests>=1.0.0

Der >= Operator gibt an, dass jede Version, die größer oder gleich 1.0.0 ist, zulässig ist. Da dieser spezielle Ausdruck keine genaue Version angibt, kann der Amazon Inspector SBOM Generator keine zuverlässige Version für die Schwachstellenanalyse sammeln.

Der Amazon Inspector SBOM Generator unterstützt keine nicht standardmäßigen oder mehrdeutigen Versionskennungen wie Beta, Latest oder Snapshot. 

pkg:maven/org.example.com/testmaven@1.0.2%20Beta-RC-1_Release
Anmerkung

Die Verwendung eines nicht standardmäßigen Suffixes, wie Beta-RC-1_Release z. B., entspricht nicht der standardmäßigen semantischen Versionierung und kann nicht auf Sicherheitslücken innerhalb der Amazon Inspector Detection Engine untersucht werden.