View a markdown version of this page

Escaneos de certificados de Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Uso de análisis de certificados de Sbomgen

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escaneos de certificados de Amazon Inspector SBOM Generator SSL/TLS

En esta sección se describe cómo utilizar el generador SBOM de Amazon Inspector para SSL/TLS inventariar certificados. El Sbomgen inventario de SSL/TLS los certificados se realiza mediante la búsqueda de certificados en ubicaciones predefinidas, así como en los directorios proporcionados por el usuario. La función está destinada a permitir a los usuarios hacer un inventario de SSL/TLS los certificados e identificar los certificados vencidos. Los certificados CA también aparecerán en el inventario de salida.

Uso de análisis de certificados de Sbomgen

Puede habilitar la recopilación SSL/TLS de certificados de inventario mediante el --scanners certificates argumento. Los análisis de certificados se pueden combinar con cualquiera de los otros analizadores. De forma predeterminada, los análisis de certificados no están habilitados.

Sbomgen busca diferentes ubicaciones para certificados según el artefacto que se esté analizando. En todos los casos, Sbomgen intenta extraer los certificados de archivos con las siguientes extensiones. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
El tipo de artefacto localhost

Si el analizador de certificados está habilitado y el tipo de artefacto es localhost, Sbomgen busca de forma recursiva los certificados en /etc/*/ssl, /opt/*/ssl/certs, /usr/local/*/ssl y /var/lib/*/certs, donde * no está vacío. Los directorios proporcionados por el usuario se buscarán de forma recursiva, independientemente del nombre de los directorios. Normalmente, CA/system los certificados no se colocan en estas rutas. Estos certificados suelen estar en carpetas llamadas pki, ca-certs o CA. También pueden aparecer en las rutas de análisis predeterminadas del localhost.

Artefactos de directorios y contenedores

Al analizar artefactos de directorios o contenedores, Sbomgen busca certificados ubicados en cualquier parte del artefacto.

Comandos de análisis de certificados de ejemplo

A continuación, se muestran comandos de análisis de certificados de ejemplo. Uno genera una SBOM que solo contiene certificados en un directorio local. Otro genera una SBOM que contiene certificados y paquetes de Alpine, Debian y Rhel en un directorio local. Otro genera una SBOM que contiene los certificados que se encuentran en ubicaciones de certificados comunes. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Componente de archivo de ejemplo

A continuación, se muestran dos componentes de resultados de certificados de ejemplo. Cuando un certificado caduca, puede ver una propiedad adicional que identifica la fecha de caducidad. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Componente de respuesta a vulnerabilidades de ejemplo

Al ejecutar el generador de SBOM de Amazon Inspector con la marca --scan-sbom, se envía la SBOM resultante a Amazon Inspector para que analice las vulnerabilidades. A continuación, se muestra un ejemplo de un resultado de certificado de un componente de respuesta de vulnerabilidades. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}