Mengekspor SBOMs dengan Amazon Inspector - Amazon Inspector
Format Amazon InspectorFilter untuk SBOMsKonfigurasikan dan ekspor SBOMs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengekspor SBOMs dengan Amazon Inspector

Software bill of materials (SBOM) adalah inventaris bersarang dari semua komponen perangkat lunak open-source dan pihak ketiga dalam basis kode Anda. Amazon Inspector menyediakan SBOMs sumber daya individual di lingkungan Anda. Anda dapat menggunakan konsol Amazon Inspector atau Amazon Inspector API untuk SBOMs menghasilkan sumber daya Anda. Anda dapat mengekspor SBOMs semua sumber daya yang didukung dan dipantau oleh Amazon Inspector. Diekspor SBOMs memberikan informasi tentang pasokan perangkat lunak Anda. Anda dapat meninjau status sumber daya Anda dengan menilai cakupan AWS lingkungan Anda. Bagian ini menjelaskan cara mengkonfigurasi dan mengekspor SBOMs.

catatan

Saat ini, Amazon Inspector tidak mendukung ekspor untuk instans SBOMs Windows Amazon. EC2

Format Amazon Inspector

Amazon Inspector mendukung ekspor SBOMs dalam format yang kompatibel dengan CycloneDX 1.4 dan SPDX 2.3. Amazon Inspector mengekspor SBOMs sebagai JSON file ke bucket Amazon S3 yang Anda pilih.

catatan

Ekspor format SPDX dari Amazon Inspector kompatibel dengan sistem yang menggunakan SPDX 2.3, namun tidak mengandung bidang Creative Commons Zero (CC0). Ini karena menyertakan bidang ini akan memungkinkan pengguna untuk mendistribusikan ulang atau mengedit materi.


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filter untuk SBOMs

Saat Anda mengekspor, SBOMs Anda dapat menyertakan filter untuk membuat laporan untuk subset sumber daya tertentu. Jika Anda tidak menyediakan filter SBOMs untuk semua sumber daya aktif yang didukung akan diekspor. Dan jika Anda adalah administrator yang didelegasikan, ini termasuk sumber daya untuk semua anggota juga. Filter berikut tersedia:

  • AccountID — Filter ini dapat digunakan untuk SBOMs mengekspor sumber daya apa pun yang terkait dengan ID Akun tertentu.

  • EC2 tag instance - Filter ini dapat digunakan SBOMs untuk mengekspor EC2 instance dengan tag tertentu.

  • Nama fungsi - Filter ini dapat digunakan SBOMs untuk mengekspor fungsi Lambda tertentu.

  • Tag gambar - Filter ini dapat digunakan SBOMs untuk mengekspor gambar kontainer dengan tag tertentu.

  • Tag fungsi Lambda - Filter ini dapat digunakan untuk mengekspor fungsi SBOMs Lambda dengan tag tertentu.

  • Jenis sumber daya - Filter ini dapat digunakan untuk memfilter jenis sumber daya: EC2 /ECR/Lambda.

  • ID Sumber Daya — Filter ini dapat digunakan untuk mengekspor SBOM untuk sumber daya tertentu.

  • Nama repositori —Filter ini dapat digunakan SBOMs untuk menghasilkan gambar kontainer di repositori tertentu.

Konfigurasikan dan ekspor SBOMs

Untuk mengekspor SBOMs, Anda harus terlebih dahulu mengonfigurasi bucket Amazon S3 dan AWS KMS kunci yang diizinkan untuk digunakan oleh Amazon Inspector. Anda dapat menggunakan filter SBOMs untuk mengekspor subset tertentu dari sumber daya Anda. SBOMs Untuk mengekspor beberapa akun di AWS Organisasi, ikuti langkah-langkah ini saat masuk sebagai administrator yang didelegasikan Amazon Inspector.

Prasyarat

  • Sumber daya yang didukung yang sedang dipantau secara aktif oleh Amazon Inspector.

  • Bucket Amazon S3 yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector menambahkan objek. Untuk informasi tentang mengonfigurasi kebijakan, lihat Mengonfigurasi izin ekspor.

  • AWS KMS Kunci yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector digunakan untuk mengenkripsi laporan Anda. Untuk informasi tentang mengonfigurasi kebijakan, lihat Mengonfigurasi AWS KMS kunci untuk ekspor.

catatan

Jika sebelumnya Anda telah mengonfigurasi bucket Amazon S3 dan AWS KMS kunci untuk ekspor temuan, Anda dapat menggunakan bucket dan kunci yang sama untuk ekspor SBOM.

Pilih metode akses pilihan Anda untuk mengekspor SBOM.

Console

  1. Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/

  2. Menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah dengan sumber daya yang ingin Anda ekspor SBOM.

  3. Di panel navigasi, pilih Ekspor SBOMs.

  4. (Opsional) Di SBOMs halaman Ekspor, gunakan menu Tambahkan filter untuk memilih subset sumber daya untuk membuat laporan. Jika tidak ada filter yang disediakan, Amazon Inspector akan mengekspor laporan untuk semua sumber daya aktif. Jika Anda adalah administrator yang didelegasikan, ini akan mencakup semua sumber daya aktif di organisasi Anda.

  5. Di bawah Pengaturan ekspor pilih format yang Anda inginkan untuk SBOM.

  6. Masukkan URI Amazon S3 atau pilih Jelajahi Amazon S3 untuk memilih lokasi Amazon S3 untuk menyimpan SBOM.

  7. Masukkan AWS KMS kunci yang dikonfigurasi untuk Amazon Inspector untuk digunakan untuk mengenkripsi laporan Anda.

API

  • SBOMs Untuk mengekspor sumber daya Anda secara terprogram, gunakan CreateSbomExportpengoperasian Amazon Inspector API.

    Dalam permintaan Anda, gunakan reportFormat parameter untuk menentukan format output SBOM, pilih CYCLONEDX_1_4 atauSPDX_2_3. s3DestinationParameter diperlukan dan Anda harus menentukan bucket S3 yang dikonfigurasi dengan kebijakan yang memungkinkan Amazon Inspector menulis ke sana. Secara opsional gunakan resourceFilterCriteria parameter untuk membatasi ruang lingkup laporan ke sumber daya tertentu.

AWS CLI

  • SBOMs Untuk mengekspor sumber daya Anda menggunakan AWS Command Line Interface jalankan perintah berikut:

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Dalam permintaan Anda, ganti FORMAT dengan format pilihan Anda, CYCLONEDX_1_4 atauSPDX_2_3. Kemudian ganti user input placeholders untuk tujuan s3 dengan nama bucket S3 untuk diekspor, awalan yang akan digunakan untuk output di S3, dan ARN untuk kunci KMS yang Anda gunakan untuk mengenkripsi laporan.