View a markdown version of this page

Koleksi ekosistem komprehensif Amazon Inspector SBOM Generator - Amazon Inspector
Ekosistem yang didukung7-Zippengumpulan ekosistemApachepengumpulan ekosistemAtlassianpengumpulan ekosistemCurlpengumpulan ekosistemElasticsearchpengumpulan ekosistemGooglepengumpulan ekosistemHuggingFacepengumpulan ekosistemJavapengumpulan ekosistemJenkinspengumpulan ekosistemMariaDBdan pengumpulan MySQL ekosistemMicrosoft applicationspengumpulan ekosistemMongoDBpengumpulan ekosistemNginxpengumpulan ekosistemNode.JSkoleksi runtimeKoleksi ekosistem OpenSSHKoleksi ekosistem OpenSSLKoleksi Server Database OraclePHPpengumpulan ekosistemRedispengumpulan ekosistemWordPresspengumpulan ekosistem

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Koleksi ekosistem komprehensif Amazon Inspector SBOM Generator

Amazon Inspector SBOM Generator adalah alat untuk membuat tagihan bahan perangkat lunak (SBOM) dan melakukan pemindaian kerentanan untuk paket yang didukung dari sistem operasi dan bahasa pemrograman. Ini mendukung pemindaian berbagai ekosistem di luar sistem operasi inti, memastikan analisis komponen infrastruktur yang kuat dan terperinci. Dengan membuat SBOM, Anda dapat memahami komposisi tumpukan teknologi modern, mengidentifikasi kerentanan dalam komponen ekosistem, dan mendapatkan visibilitas ke perangkat lunak pihak ketiga.

Ekosistem yang didukung

Koleksi ekosistem memperluas generasi SBOM di luar paket yang diinstal melalui manajer paket OS. Ini dilakukan melalui pengumpulan aplikasi yang digunakan dalam metode alternatif, seperti instalasi manual. Amazon Inspector SBOM Generator mendukung pemindaian untuk ekosistem berikut:

Ekosistem Aplikasi

7-Zip

7-Zippengarsipan (versi 21.07 dan lebih tinggi)

Apache

Apache httpd

Apache tomcat

Atlassian

Jira Core

Confluence

Jira Software

Jira Service Management
Curl

Curl

Libcurl
Elasticsearch Elasticsearch

Google

Chrome

HuggingFace

HuggingFace CLI Models Cache

Java

JDK

JRE

Amazon Corretto

Jenkins

Jenkins(versi 2.400.* dan lebih tinggi)

MariaDB dan MySQL

MariaDB Server(10.6+, 11.x, 12.x)

Oracle MySQL Server Server(8.0, 8.4, 9.4+)

Microsoft applications

PowerShell

NuGet CLI

Visual Studio Code

Microsoft Edge

SharePoint Server

Microsoft Defender

Exchange Server

Visual Studio

.NET Core Runtime

.NET Framework

ASP.NET Core Runtime

Microsoft Teams

Outlook for Windows

Microsoft Office

Microsoft 365

MongoDB

MongoDB Server(7.0+, 8.0+)

Nginx

Nginx

Node

Node

Node.JS

node

OpenSSH

OpenSSH(versi 9 dan 10)

OpenSSL

OpenSSL

Oracle

Oracle Database Server

PHP

PHP(versi 8.1 dan lebih tinggi)

Redis

Redis(versi 7.2 dan lebih tinggi)

WordPress

core

plugin

theme

7-Zippengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • 7 Zip archiver (versi 21.07 atau lebih tinggi)

Fitur utama

  • Memeriksa 7-Zip binari untuk mengekstrak informasi versi tertanam.

catatan

Secara khusus, ia mencari nilai versi produk dari biner.

Platform yang didukung — Windows

  • C:/Program Files/7-Zip/7z.exe

  • C:/Program Files/7-Zip/7za.exe

  • C:/Program Files/7-Zip/7zz.exe

  • C:/Program Files/7-Zip/7zr.exe

  • C:/Program Files (x86)/7-Zip/7z.exe

  • C:/Program Files (x86)/7-Zip/7za.exe

  • C:/Program Files (x86)/7-Zip/7zz.exe

  • C:/Program Files (x86)/7-Zip/7zr.exe

Contoh PURL

Berikut ini adalah contoh URL paket untuk7-Zip. 

pkg:generic/7zip/7zip@25.01

Apachepengumpulan ekosistem

Bagian ini memberikan detail tentang aplikasi Apache httpd dan Apache tomcat.

Apache httpd

Aplikasi-aplikasi yang didukung

  • Apache httpd

catatan

Evaluasi kerentanan hanya berlaku untuk Apache httpd versi 2.0 dan yang lebih tinggi.

Fitur utama

  • Mem-parsing /include/ap_release.h file untuk mengekstrak makro instalasi, yang berisi string pengenal utama, string pengidentifikasi minor, dan string pengidentifikasi patch.

Platform yang didukung

Amazon Inspector SBOM Generator memindai instalasi di jalur instalasi umum di seluruh platform:

Unix

  • /usr/local/apache2/include/

Windows

  • /Apache24/include/

  • /Program Files/Apache24/include/

  • /Program Files (x86)/Apache24/include/

Contoh file ap_release.h

Berikut ini adalah contoh konten di dalam ap_release.h file. 


//truncated

#define AP_SERVER_BASEVENDOR "Apache Software Foundation"
#define AP_SERVER_BASEPROJECT "Apache HTTP Server"
#define AP_SERVER_BASEPRODUCT "Apache"

#define AP_SERVER_MAJORVERSION_NUMBER 2
#define AP_SERVER_MINORVERSION_NUMBER 4
#define AP_SERVER_PATCHLEVEL_NUMBER   1
#define AP_SERVER_DEVBUILD_BOOLEAN    0

//truncated
Contoh PURL

Berikut ini adalah contoh URL paket untuk Apache httpd aplikasi. 


Sample PURL: pkg:generic/apache/httpd@2.4.1

Apache tomcat

Aplikasi-aplikasi yang didukung

  • Apache tomcat

catatan

Evaluasi kerentanan hanya berlaku untuk Apache tomcat versi 9.0 dan lebih tinggi.

Fitur utama

  • Membongkar catalina.jar file untuk mengekstrak makro instalasi di dalam META-INF/MANIFEST.MF file, yang berisi string versi.

Platform yang didukung

Amazon Inspector SBOM Generator memindai instalasi di jalur instalasi umum di seluruh platform:

Linux

  • /opt/tomcat/lib/

  • /usr/share/tomcat/lib

  • /var/lib/tomcat/lib/

macOS

  • /Library/Tomcat/lib/

  • /usr/local/tomcat/lib

Windows

  • /Program Files/Apache Software Foundation

  • /Program Files (x86)/Apache Software Foundation/

Contoh file catalina.jar/META-INF/MANIFEST.MF

Berikut ini adalah contoh konten di dalam catalina.jar/META-INF/MANIFEST.MF file. 


//truncated

Implementation-Title: Apache Tomcat
Implementation-Vendor: Apache Software Foundation
Implementation-Version: 10.1.31

//truncated
Contoh PURL

Berikut ini adalah contoh URL paket untuk Apache tomcat aplikasi. 


Sample PURL: pkg:generic/apache/tomcat@10.1.31

Atlassianpengumpulan ekosistem

Bagian ini memberikan rincian tentang produk dan aplikasi Atlassian server.

Atlassian Server Products

Aplikasi-aplikasi yang didukung

  • Jira Core

  • Confluence

Fitur utama

  • Jira Core— Mem-parsing properti POM Maven dari atlassian-jira-webapp untuk mengekstrak informasi versi.

  • Confluence— Mem-parsing properti POM Maven dari confluence-webapp untuk mengekstrak informasi versi.

Platform yang didukung

Amazon Inspector SBOM Generator memindai instalasi di jalur instalasi umum:

Linux

  • /opt/atlassian/jira/atlassian-jira/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties

  • /opt/atlassian/confluence/confluence/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties

Contoh PURL

Berikut ini adalah contoh paket URLs untuk produk Atlassian server. 

// Jira Core
pkg:generic/atlassian/jira-core@10.0.1?distro=linux

// Confluence
pkg:generic/atlassian/confluence@9.2.7?distro=linux

Atlassian Applications

Aplikasi-aplikasi yang didukung

  • Jira Software

  • Jira Service Management

Fitur utama

  • Jira Software— Mendeteksi melalui jira-software-application JAR dan mengekstrak versi dari properti Maven POM.

  • Jira Service Management— Mendeteksi melalui jira-servicedesk-application JAR dan mengekstrak versi dari properti Maven POM.

Platform yang didukung

Amazon Inspector SBOM Generator memindai instalasi di jalur instalasi umum:

Linux

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-software-application/jira-software-application-*.jar

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-servicedesk-application/jira-servicedesk-application-*.jar

Contoh PURL

Berikut ini adalah contoh paket URLs untuk Atlassian aplikasi. 

// Jira Software
pkg:generic/atlassian/jira-software@10.3.9?distro=linux

// Jira Service Management
pkg:generic/atlassian/jira-service-management@10.3.9?distro=linux

Curlpengumpulan ekosistem

Bagian ini memberikan rincian tentang Curl dan Libcurl aplikaton.

Curl

Aplikasi-aplikasi yang didukung

  • Curl

Platform yang didukung

  • Unix— Linux dan macOS

    • /usr/local/bin/curl

Fitur utama - Curl

  • Memeriksa curl binari untuk mengekstrak informasi versi tertanam.

catatan

Secara khusus, ia mencari string versi di bagian biner yang dapat dieksekusi (untuk binari ELF di Linux), .rodata bagian (untuk binari PE di Windows), atau .rdata bagian __cstring (untuk binari MaCho di macOS).

Curl version string

Berikut ini adalah contoh string versi yang disematkan dalam Curl biner: 

curl/8.14.1

Versi 8.14.1 diekstraksi dari string untuk mengidentifikasi Curl versi.

Contoh PURL (Curl)

Berikut ini adalah contoh URL paket untuk file Curl versi. 

Sample PURL: pkg:generic/curl/curl@8.14.1

Libcurl

Aplikasi-aplikasi yang didukung

  • Libcurl

Platform yang didukung

  • Unix— Linux dan macOS

    • /usr/local/bin/curl/curlver.h

Fitur utama - Libcurl

  • Memeriksa curlver.h untuk mengekstrak informasi versi tertanam untukLibcurl.

catatan

Secara khusus, ia mengekstrak versi dari yang ditentukanLIBCURL_VERSION_MAJOR,LIBCURL_VERSION_MINOR, dan LIBCURL_VERSION_PATCH variabel.

Libcurl version string

Berikut ini adalah contoh variabel versi dalam curlver.h file: 

#define LIBCURL_VERSION_MAJOR 8
    #define LIBCURL_VERSION_MINOR 14
    #define LIBCURL_VERSION_PATCH 1

Versi 8.14.1 diekstraksi dari baris ini untuk mengidentifikasi Libcurl versi.

Contoh PURL (Libcurl)

Berikut ini adalah contoh URL paket untuk file Libcurl versi. 

Sample PURL: pkg:generic/curl/libcurl@8.14.1

Elasticsearchpengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Elasticsearch

catatan

Evaluasi kerentanan hanya berlaku untuk Elasticsearch versi 7.17.0.

Fitur utama

  • Version— Membongkar elasticsearch-<specific.version>.jar file untuk mengekstrak makro instalasi di dalam META-INF/MANIFEST.MF file, yang berisi string Elasticsearch versi.

Platform yang didukung

  • Linux/etc/elasticsearch/lib,/opt/elasticsearch/lib/, dan /usr/share/elasticsearch/lib/

  • macOS/usr/local/var/lib/elasticsearch/lib/

  • Windows/elasticsearch/,/Program Files (x86)/Elastic/elasticsearch/lib/, dan /Program Files/Elastic/elasticsearch/lib/

Contoh file elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF

Berikut ini adalah contoh dari sebuah elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF file. 

//truncated

Manifest-Version: 1.0
Module-Origin: git@github.com:elastic/elasticsearch.git
X-Compile-Elasticsearch-Version: 8.19.0-SNAPSHOT
X-Compile-Lucene-Version: 9.12.1
X-Compile-Elasticsearch-Snapshot: true

//truncated
Contoh PURL

Berikut ini adalah contoh URL paket untuk sebuah elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF file. 

pkg:generic/elastic/elasticsearch@8.19.0-SNAPSHOT

Googlepengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Google Chrome

  • Puppeteer(mendukung perpustakaan dalang; dalang inti tidak termasuk)

catatan

Puppeteermendukung perpustakaan dalang. Puppeteerinti tidak termasuk.

Artefak yang didukung

Amazon Inspector mengumpulkan Google Chrome informasi dari berikut ini:

  • chrome/VERSIONFile (sumber build)

  • chrome.exeFile (Windows Chromeinstalasi)

  • puppeteerFile (instalasi)

Untuk setiap artefak yang didukung, Sbomgen mem-parsing dan mengumpulkan chrome file atau file. puppeteer Untuk puppeteer instalasi, Chromium versi yang sesuai dikumpulkan berdasarkan puppeteer versi. Untuk informasi selengkapnya, lihat Browser yang didukung di situs web Puppeteer.

Ketika variabel PUPPETEER_SKIP_CHROMIUM_DOWNLOAD lingkungan diatur ketrue, evaluasi dilewati, dan skip_chromium_download=true qualifier ditambahkan ke URL Puppeteer paket.

Contoh file chrome/VERSION versi

Berikut ini adalah contoh dari file chrome/VERSION versi. 


MAJOR=130
MINOR=0
BUILD=6723
PATCH=58
Contoh PURL

Berikut ini adalah contoh URL paket untuk file chrome/VERSION versi. 

Sample PURL: pkg:generic/google/chrome@131.0.6778.87
Contoh file puppeteer versi

Berikut ini adalah contoh dari file puppeteer versi. 

{
"name": "puppeteer",
"version": "23.9.0",
"description": "A high-level API to control headless Chrome over the DevTools Protocol",
"keywords": [
  "puppeteer",
  "chrome",
  "headless",
  "automation"
]
}
Contoh PURL

Berikut ini adalah contoh URL paket untuk file puppeteer versi. 

Sample PURL: pkg:generic/google/puppeteer@23.9.0
Contoh PURL

Berikut ini adalah contoh URL paket dengan skip qualifier untuk file puppeteer versi. 

pkg:generic/google/puppeteer@22.15.0?distro=linux&skip_chromium_download=true

HuggingFacepengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • HuggingFacehfCLI

Fitur utama

  • Mengekstrak AI/ML model yang di-cache secara lokal yang dipasang oleh HuggingFace

  • Menghasilkan HuggingFace Package URLs

  • Model yang diunduh menggunakan hf download --local-dir saat ini tidak didukung

Contoh jalur

Berikut ini adalah contoh dari jalur HuggingFace model cache. 

/home/ec2-user/.cache/huggingface/hub/models--MiniMaxAI--MiniMax-M2.5/snapshots/<hash>
Contoh PURL

Berikut ini adalah contoh URL paket untuk HuggingFace model. Jenis komponennya adalahmachine-learning-model. 

pkg:huggingface/MiniMaxAI/MiniMax-M2.5@<hash>

Javapengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Oracle JDK

  • Oracle JRE

  • Amazon Corretto

Fitur utama

  • Ekstrak string Java instalasi.

  • Mengidentifikasi jalur direktori yang berisi Java runtime.

  • Mengidentifikasi vendor sebagaiOracle JDK,Oracle JRE, danAmazon Corretto.

Amazon Inspector SBOM Generator memindai Java instalasi di jalur dan platform penginstalan berikut:

  • macOS: /Library/Java/JavaVirtualMachines

  • Linux 32-bit: /usr/lib/jvm

  • Linux 64-bit: /usr/lib64/jvm

  • Linux (generic): /usr/java and /opt/java

Contoh informasi Java versi

Folllowing adalah contoh Oracle Java rilis. 


// Amazon Corretto
IMPLEMENTOR="Amazon.com Inc."
IMPLEMENTOR_VERSION="Corretto-17.0.11.9.1"
JAVA_RUNTIME_VERSION="17.0.11+9-LTS"
JAVA_VERSION="17.0.11"
JAVA_VERSION_DATE="2024-04-16"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.foreign jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom jdk.zipfs"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:7917f11551e8+"

// JDK
IMPLEMENTOR="Oracle Corporation"
JAVA_VERSION="19"
JAVA_VERSION_DATE="2022-09-20"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.zipfs jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.concurrent jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:53b4a11304b0 open:git:967a28c3d85f"
Contoh PURL

Berikut ini adalah contoh URL paket untuk Oracle Java rilis. 


Sample PURL:
# Amazon Corretto
pkg:generic/amazon/amazon-corretto@21.0.3 
# Oracle JDK
pkg:generic/oracle/jdk@11.0.16
# Oracle JRE
pkg:generic/oracle/jre@20

Jenkinspengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Jenkins Core

catatan

Evaluasi kerentanan berlaku untuk Jenkins versi 2.400.* dan lebih tinggi.

Fitur utama

  • Mengekstrak informasi versi dari jenkins.war file dengan membaca META-INF/MANIFEST.M file, yang berisi string Jenkins versi.

Amazon Inspector SBOM Generator mencari instalasi Jenkins di jalur instalasi umum di seluruh platform:

Linux

  • /usr/share/jenkins/jenkins.war

  • /usr/share/java/jenkins.perang

macOS

  • /opt/homebrew/opt/jenkins-lts/libexec/jenkins.war

Windows

  • /Program Files/Jenkins/Jenkins.war

  • /Program Files (x86)/Jenkins/Jenkins.war

Contoh file

Berikut ini adalah contoh jenkins.war/META-INF/MANIFEST.MF file untuk rilis yang berbeda. 

Manifest-Version: 1.0
Created-By: Maven WAR Plugin 3.4.0
Build-Jdk-Spec: 21
Implementation-Title: Jenkins war
Main-Class: executable.Main
Implementation-Version: 2.516.2
Jenkins-Version: 2.516.2
Manifest-Version: 1.0
Jenkins-Version: 2.414.1
Implementation-Title: Jenkins
Implementation-Version: 2.414.1
Built-By: kohsuke
Created-By: Apache Maven 3.8.6
Sampel PURLs

Berikut ini adalah paket URLs untuk versi 2.516.2 dari rilis Jenkins LTS dan versi 2.414 dari rilis server otomatisasi. Jenkins 

LTS: pkg:generic/jenkins/jenkins-core-lts@2.516.2.1
Regular: pkg:generic/jenkins/jenkins-core@2.414

MariaDBdan pengumpulan MySQL ekosistem

MariaDB

Aplikasi-aplikasi yang didukung

  • MariaDB Server(10.6+, 11.x, 12.x)

Fitur utama

  • Mengekstrak informasi versi dari binari server database dan file header menggunakan pola khusus database.

  • Mengidentifikasi jalur direktori yang berisi instalasi server database.

  • Secara otomatis membedakan antara MariaDB dan MySQL instalasi menggunakan deteksi tipe file berbasis data.

Generator SBOM mencari MariaDB instalasi di jalur instalasi umum di seluruh platform:

Linux

  • /usr/bin/mariadbd

  • /usr/sbin/mariadbd

  • /usr/local/bin/mariadbd

macOS

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Windows

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Contoh PURL

Berikut ini adalah contoh URL paket untuk MariaDB server.

# MariaDB Server

pkg:generic/mysql/mariadb-server@10.11.8

MySQLpengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Oracle MySQL Server Server(8.0, 8.4, 9.4+)

Fitur utama

  • Mengekstrak informasi versi dari binari server database dan file header menggunakan pola khusus database.

  • Mengidentifikasi jalur direktori yang berisi instalasi server database.

  • Secara otomatis membedakan antara MySQL dan MariaDB instalasi menggunakan deteksi tipe file berbasis data.

Generator SBOM mencari MySQL instalasi di jalur instalasi umum di seluruh platform:

Linux

  • /usr/local/bin/mysqld

  • /usr/bin/mysqld

  • /usr/sbin/mysqld

macOS

  • /usr/local/mysql/include/mysql_version.h (MySQL)

Windows

  • C:/Program Files/MySQL/MySQL Server/include/mysql_version.h (MySQL)

  • C:/Program Files (x86)/MySQL/MySQL Server/include/mysql_version.h (MySQL)

Contoh PURL

Berikut ini adalah contoh URL paket untuk MySQL server.

# Oracle MySQL Server

pkg:generic/mysql/mysql-server@8.0.43

Microsoft applicationspengumpulan ekosistem

Aplikasi Microsoft berikut diinventarisasi oleh generator Amazon Inspector SBOM. Karena keterbatasan dalam Microsoft CVRF API, deteksi di API hanya didukung untuk versi aplikasi ini yang dirilis pada tahun 2021 (atau yang lebih baru). InspectorScan Temuan akan dipetakan ke Microsoft KBs atau CVEs (jika berlaku).

Aplikasi Microsoft yang didukung (2021+)

  • PowerShell

  • NuGet CLI

  • Visual Studio Code

  • Microsoft Edge

  • SharePoint Server

  • Microsoft Defender

  • Exchange Server

  • Visual Studio

  • .NET Core Runtime

  • .NET Framework

  • ASP.NET Core Runtime

  • Microsoft Teams

  • Outlook for Windows

  • Microsoft Office

  • Microsoft 365

Fitur utama

  • PowerShell— Memeriksa pwsh.exe file untuk mengekstrak informasi versi tertanam.

  • NuGet CLI— Memeriksa nuget.exe file untuk mengekstrak informasi versi tertanam.

  • Visual Studio Code— Memeriksa Code.exe file untuk mengekstrak informasi versi tertanam.

  • Microsoft Edge— Memeriksa msedge.exe file untuk mengekstrak informasi versi tertanam.

  • SharePoint Server— Memeriksa Microsoft.SharePoint.dll file untuk mengekstrak informasi versi tertanam.

  • Microsoft Defender— Memeriksa MsMpEng.exe file untuk mengekstrak informasi versi tertanam.

  • Exchange Server— Memeriksa Exsetup.exe file untuk mengekstrak informasi versi tertanam.

  • Visual Studio— state.json Mem-parsing file untuk mengambil string versi dari bidang. catalogInfo.productDisplayVersion

  • .NET Core Runtime— Mencari Microsoft.NETCore.App.deps.json file di jalur instalasi dan mengekstrak string versi dari pola jalur file berikut. 

    Microsoft.NETCore.App/<VERSION>/Microsoft.NETCore.App.deps.json

  • .NET Framework— Mem-parsing Windows Registry dan membaca metadata file untuk mendeteksi versi.NET Framework yang diinstal. Pemindai memeriksa kunci registri dan nilai berikut, dan file.

    • Registry Key(<VERSION_SUB_KEY>mewakili versi.NET Frameworkv2.0.50727, seperti,v3.5, atauv4\Full)

      HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>
      HKLM\SOFTWARE\Wow6432Node\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>

    • Registry Value

      • Install— Menunjukkan apakah versi.NET Framework diinstal.

      • Version- Dipasang versi.NET Framework (versi 4.0 atau lebih rendah)

      • Release— REG_DWORD Nilai yang dipetakan ke versi.NET Framework yang diinstal (versi 4.5 atau yang lebih baru)

    • DLL Files

      Pemindai mengekstrak versi file dari mscorlib.dll danSystem.dll. Jika file-file ini ada, mereka ditambahkan ke SBOM sebagai komponen file bersarang. Untuk .NET Framework versi 4.5 atau yang lebih baru, versi file terbesar di antara file dilaporkan sebagai versi.

  • ASP.NET Core Runtime— Mencari Microsoft.AspNetCore.App.deps.json file di jalur instalasi dan mengekstrak string versi dari pola jalur file berikut. 

    Microsoft.AspNetCore.App/<VERSION>/Microsoft.AspNetCore.App.deps.json

  • Outlook for Windows— Mem-parsing Windows Registry, dan mengekstrak versi dari kunci registri berikut. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\Microsoft.OutlookForWindows_<VERSION>_<ARCH>__8wekyb3d8bbwe

  • Microsoft Teams— Mem-parsing Windows Registry, dan mengekstrak versi dari kunci registri berikut. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\MSTeams_<VERSION>_<ARCH>__8wekyb3d8bbwee

  • Microsoft Office 365 / Microsoft 365— Parsing Windows Registry, dan ekstrak versi dari kunci registri berikut dan nilai.

    • Kunci Registri

      HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration

    • Nilai Registri

      • VersionToReport— Versi Microsoft Office

      • ProductReleaseIds— Daftar produk IDs. Ini digunakan untuk mengidentifikasi produk Office yang diinstal. Untuk informasi lebih lanjut tentang produk IDs, lihat product IDsdi Microsoft situs web.

  • Microsoft Office Suite— Mengumpulkan setiap aplikasi Office yang diinstal dengan memeriksa file yang dapat dieksekusi berikut:

    • EXCEL.EXE – Microsoft Excel

    • WINWORD.EXE – Microsoft Word

    • POWERPNT.EXE – Microsoft PowerPoint

    • OUTLOOK.EXE – Microsoft Outlook

    Nomor versi di Windows Registry digunakan sebagai nomor versi otoritatif untuk setiap aplikasi Office yang diinstal.

Contoh file state.json

Berikut ini adalah contoh state.json file yang akan digunakan untuk mengumpulkan Visual Studio versi yang diinstal. 

{
    "icon": {
        "mimeType": "image/svg+xml",
        "fileName": "product.svg"
    },
    "updateDate": "2025-11-06T05:05:35.6517471Z",
    "installDate": "2025-11-06T05:05:35.6527436Z",
    "enginePath": "C:\\Program Files (x86)\\Microsoft Visual Studio\\Installer\\resources\\app\\ServiceHub\\Services\\Microsoft.VisualStudio.Setup.Service",
    "installationName": "VisualStudio/17.14.19+36623.8",
    "catalogInfo": {
        "id": "VisualStudio/17.14.19+36623.8",
        "buildBranch": "d17.14",
        "buildVersion": "17.14.36623.8",
        "localBuild": "build-lab",
        "manifestName": "VisualStudio",
        "manifestType": "installer",
        "productDisplayVersion": "17.14.19",
// truncated

Contoh PURL

Berikut ini adalah contoh URL paket untuk masing-masingMicrosoft Applications. 

// PowerShell
Sample PURL: pkg:generic/microsoft/powershell@7.5.3

// NuGet CLI
Sample PURL: pkg:generic/microsoft/nuget@6.14.0

// Visual Studio Code
Sample PURL: pkg:generic/microsoft/visualstudiocode@1.104.2

// Microsoft Edge
Sample PURL: pkg:generic/microsoft/edge@140.0.3485.94

// SharePoint Server
Sample PURL: pkg:generic/microsoft/sharepoint@23.38.219.1

// Microsoft Defender
Sample PURL: pkg:generic/microsoft/defender@4.18.23110.3

// Exchange Server
Sample PURL: pkg:generic/microsoft/exchangeserver@15.2.2562.17

// Visual Studio
Sample PURL: pkg:generic/microsoft/visualstudio@17.14.19

// .NET Core Runtime
Sample PURL: pkg:generic/microsoft/dotnet@8.0.18

// .NET Framework
Sample PURL: pkg:generic/microsoft/dotnet-framework-v4.8.1@4.8.9320.0

// ASP.NET Core Runtime
Sample PURL: pkg:generic/microsoft/aspdotnet@8.0.18

// Microsoft Teams
Sample PURL: pkg:generic/microsoft/teams@25241.203.3947.4411

// Outlook for Windows
Sample PURL: pkg:generic/microsoft/outlookforwindows@1.2025.916.400                    

// Microsoft 365 / Office 365
Sample PURL: pkg:generic/microsoft/office@16.0.19127.20264?product_ids=O365HomePremRetail

// Microsoft Word
Sample PURL: pkg:generic/microsoft/word@16.0.19127.20264

// Microsoft Excel
Sample PURL: pkg:generic/microsoft/excel@16.0.19127.20264

// Microsoft PowerPoint
Sample PURL: pkg:generic/microsoft/powerpoint@16.0.19127.20264

// Microsoft Outlook
Sample PURL: pkg:generic/microsoft/outlook@16.0.19127.20264

MongoDBpengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • MongoDB Server(7.0+, 8.0+)

Fitur utama

  • Memeriksa mongod binari untuk mengekstrak informasi versi tertanam.

catatan

mongodBiner dapat melebihi 200 MB. Untuk memindaiMongoDB, batas ukuran file Amazon Inspector SBOM Generator harus dikonfigurasi untuk memungkinkan file lebih dari 200 MB.

Amazon Inspector SBOM Generator mencari MongoDB instalasi di jalur instalasi umum di seluruh platform:

Linux

  • /usr/bin/mongod

  • /usr/local/bin/mongod

macOS

  • /usr/local/bin/mongod

  • /opt/homebrew/bin/mongod

Windows

  • C:\Program Files\MongoDB\Server\bin\mongod.exe

Contoh PURL

Berikut ini adalah contoh URL paket untukMongoDB Server. 

pkg:generic/mongodb/mongodb-server@8.2.4?platform=linux

Nginxpengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Nginx

Platform yang didukung

Berikut ini adalah platform yang didukung.

Linux

  • /usr/sbin/nginx

  • /usr/local/nginx

  • /usr/local/etc/nginx

  • /usr/local/nginx/nginx

  • /usr/local/nginx/sbin/nginx

  • /etc/nginx/nginx

Windows

  • C:\nginx\nginx.exe

  • C:\nginx-x.y.z\nginx.exe (x.y.z adalah versi arbitrer)

macOS

  • /usr/local/etc/nginx/nginx

Fitur utama

Koleksi ini memeriksa binari untuk mengekstrak informasi versi tertanam. Ini mencari string versi di bagian biner yang dapat dieksekusi (untuk binari ELF aktif), .rodata bagian (untuk binari PE aktifLinux), atau .rdata bagian (untuk binariWindows). __ctring MachO

Contoh string versi

Berikut ini adalah contoh dari string versi tertanam dalam Nginx biner. 

nginx version: nginx/1.27.5

Versi 1.27.5 diekstraksi untuk mengidentifikasi Nginx versi.

Contoh PURL

Berikut ini adalah contoh URL paket untuk Nginx. 

Sample PURL: pkg:generic/nginx/nginx@1.27.5

Node.JSkoleksi runtime

Aplikasi-aplikasi yang didukung

  • biner runtime node untuk Node.JS

Platform yang didukung

Berikut ini adalah platform yang didukung. (* adalah versi arbitrer)

Linux

  • /usr/local/bin/node

  • /usr/bin/node

  • /nodejs/bin/node

  • ~/.nvm/versions/node/*/bin/node

  • ~/.local/share/fnm/node-versions/*/installation/bin/node

  • ~/.asdf/installs/nodejs/*/bin/node

  • ~/.local/share/mise/installs/node/*/bin/node

  • ~/.volta/tools/image/node/*/bin/node

Windows

  • C:\Program File\nodejs\node.exe

  • C:\Program File (x86)\nodejs\node.exe

  • ~\AppData\ Roaming\ fnm\node-versi\ *\ instalasi\node.exe

macOS

  • /opt/homebrew/Cellar/node/*/bin/node

Fitur utama

Koleksi ini memeriksa binari untuk mengekstrak informasi versi tertanam. Ini mencari string versi di bagian biner yang dapat dieksekusi (untuk binari ELF aktif), .rodata bagian (untuk binari PE aktifLinux), atau .rdata bagian (untuk binariWindows). __ctring MachO

Contoh string versi

Berikut ini adalah contoh string versi yang disematkan dalam biner Node.JS runtime. 

node.js/v24.11.1

Versi 24.11.1 diekstraksi untuk mengidentifikasi versi Node.JS runtime.

Contoh PURL

Berikut ini adalah contoh URL paket untukNode.JS. 

Sample PURL: pkg:generic/nodejs/node@24.11.1

Koleksi ekosistem OpenSSH

Aplikasi-aplikasi yang didukung

  • OpenSSH(Versi 9)

  • OpenSSH(Versi 10)

Platform yang didukung Linux/macOS

  • /usr/sbin/sshd

  • /usr/local/sbin/sshd

Platform yang didukung Windows

  • C:/Windows/System32/OpenSSH/sshd.exe

  • C:/Program Files/OpenSSH/sshd.exe

  • C:/Program Files (x86)/OpenSSH/sshd.exe

  • C:/OpenSSH/sshd.exe

Fitur utama

  • Memeriksa sshd binari untuk mengekstrak informasi verion yang disematkan.

  • Mencari string versi di bagian biner yang dapat dieksekusi (untuk binari ELF padaLinux, .rodata bagian (untuk binari Mach-O aktifMacOs), atau __cstring .rdata bagian (untuk binari PE aktif). Windows

Contoh string versi

Berikut ini adalah contoh dari string versi tertanam dalam OpenSSH biner. 

OpenSSH_9.9p2

Versi 9.9p2 diekstraksi untuk mengidentifikasi OpenSSH versi.

Contoh PURL

Berikut ini adalah contoh URL paket untukOpenSSH. 

Sample PURL: pkg:generic/openssh/openssh@9.9p2

Koleksi ekosistem OpenSSL

Aplikasi-aplikasi yang didukung

Support untuk pustaka OpenSSL dan paket pengembangan terbatas pada perangkat lunak yang dibangun dengan OpenSSL resmi untuk rilis 3.0.0 dan di atasnya. Perangkat lunak ini juga harus mengikuti versi semantik. Varian dan versi OpenSSL khusus atau bercabang yang lebih rendah dari 3.0.0 tidak didukung.

Amazon Inspector SBOM Generator mengekstrak informasi paket kunci untuk setiap instance OpenSSL yang diinstal.

Fitur utama

  • Mengekstrak string versi SEMVER dasar dari file header OpenSSL

  • Mengidentifikasi jalur direktori yang berisi instalasi OpenSSL

Amazon Inspector SBOM Generator mencari instalasi OpenSSL dengan memindai file di jalur instalasi umum di opensslv.h seluruh platform.

Contoh jalur instalasi untuk Linux/Unix

Berikut ini adalah contoh jalur instalasi untuk Linux/Unix. 

/usr/local/include/openssl/opensslv.h
/usr/local/ssl/include/openssl/opensslv.h
/usr/local/openssl/include/openssl/opensslv.h
/usr/local/opt/openssl/include/openssl/opensslv.h
/usr/include/openssl/opensslv.h

Amazon Inspector SBOM Generator mengekstrak informasi versi dengan mengurai opensslv.h file dan mencari definisi versi. 

# define OPENSSL_VERSION_MAJOR  3
# define OPENSSL_VERSION_MINOR  4
# define OPENSSL_VERSION_PATCH  0
Contoh PURL

Berikut ini adalah contoh URL paket untuk versi OpenSSL. 

Sample PURL: pkg:generic/openssl/openssl@3.4.0

Koleksi Server Database Oracle

Aplikasi-aplikasi yang didukung

  • Oracle Database

Platform yang didukung Linux

  • /opt/oracle

  • /u01/app/oracle

catatan

Evaluasi kerentanan hanya berlaku untuk Oracle Database Server versi 19 dan lebih tinggi.

Fitur utama

  • Memeriksa Oracle binari untuk mengekstrak informasi versi tertanam.

  • Mencari string versi di .rodata bagian biner yang dapat dieksekusi (untuk binari ELF aktif). Linux

  • Informasi versi mengikuti format tertentu yang mencakup string versi RDBMS.

Contoh string versi

Berikut ini adalah contoh string versi yang disematkan dalam Oracle Database biner: 

RDBMS_23.7.0.25.01DBRU_LINUX.X64_240304

Versi 23.7.0.25.01 diekstraksi untuk mengidentifikasi Oracle Database versi.

Contoh PURL

Berikut ini adalah contoh URL paket untukOracle Database. 

Sample PURL: pkg:generic/oracle/database@23.7.0.25.01

PHPpengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • PHP(versi 8.1 dan lebih tinggi)

Fitur utama

  • Mengekstrak informasi versi dari executable PHP biner menggunakan string versi tertanam.

  • Mengidentifikasi jalur direktori yang berisi PHP biner.

  • Secara otomatis mendeteksi PHP binari standar dan instalasi berversi, seperti,, dan. php8.1 php8.2 php8.3

Amazon Inspector SBOM Generator mencari PHP instalasi di jalur instalasi umum di seluruh platform:

Linux

  • usr/bin/php8.1 through /usr/bin/php8.9

  • /usr/sbin/php8.1 through /usr/sbin/php8.9

  • /usr/local/bin/php, /usr/bin/php, /usr/sbin/php

  • /usr/local/bin/php8.1 through /usr/local/bin/php8.9(binari berversi)

macOS

  • /opt/homebrew/bin/php

  • /usr/bin/php

  • /usr/local/bin/php

Windows

  • C:/php/php.exe

  • C:/php8.1/php.exe through C:/php8.9/php.exe(direktori berversi)

Contoh ekstraksi PHP versi

Amazon Inspector SBOM Generator mengekstrak informasi versi dari PHP binari dengan mencari string versi tertanam menggunakan pola berikut. 

X-Powered-By: PHP/8.4.12

8.4.12diekstraksi dari pola ini untuk mengidentifikasi PHP versinya.

Contoh PURL

Berikut ini adalah contoh URL paket untuk sebuah PHP pola. 

pkg:generic/php/php@8.4.12

Redispengumpulan ekosistem

Aplikasi-aplikasi yang didukung

  • Redis(versi 7.2 dan lebih tinggi)

Fitur utama

  • Mengekstrak informasi versi dari executable Redis redis-server biner menggunakan string versi tertanam.

  • Mencari string versi di bagian biner yang dapat dieksekusi (untuk binari ELF aktif) atau .rodata bagian (untuk binari Mach-O aktif Linux__cstring). macOS

Amazon Inspector SBOM Generator mencari Redis instalasi di jalur instalasi umum di seluruh platform:

Linux

  • /usr/bin/redis-server

  • /usr/local/bin/redis-server

macOS

  • /opt/homebrew/bin/redis-server

  • /usr/local/bin/redis-server

Contoh string versi

Berikut ini adalah contoh dari string versi tertanam dalam Redis biner. 

redis-7.2.6

Versi 7.2.6 diekstraksi untuk mengidentifikasi Redis versi.

Contoh PURL

Berikut ini adalah contoh URL paket untukRedis. 

pkg:generic/redis/redis@7.2.6

WordPresspengumpulan ekosistem

Komponen yang didukung

  • WordPressinti

  • WordPressplugin

  • WordPresstema

Fitur utama

  • WordPresscore - mem-parsing /wp-includes/version.php file untuk mengekstrak nilai versi dari variabel $wp_version.

  • WordPressplugin — mem-parsing /wp-content/plugins/<WordPress Plugin>/readme.txt file atau /wp-content/plugins/<WordPress Plugin>/readme.md file untuk mengekstrak Stable tag sebagai string versi.

  • WordPresstema — mem-parsing /wp-content/themes/<WordPress Theme>/style.css file untuk mengekstrak versi dari metadata versi.

Contoh file version.php

Berikut ini adalah contoh version.php file WordPress inti. 


// truncated

/**
* The WordPress version string.
*
* Holds the current version number for WordPress core. Used to bust caches
* and to enable development mode for scripts when running from the /src directory.
*
* @global string $wp_version
*/
$wp_version = '6.5.5';

// truncated
Contoh PURL

Berikut ini adalah contoh URL paket untuk WordPress inti. 


Sample PURL: pkg:generic/wordpress/core/wordpress@6.5.5
Contoh file readme.txt

Berikut ini adalah contoh readme.txt file WordPress plugin. 


=== Plugin Name ===
Contributors: (this should be a list of wordpress.org userid's)
Donate link: https://example.com/
Tags: tag1, tag2
Requires at least: 4.7
Tested up to: 5.4
Stable tag: 4.3
Requires PHP: 7.0
License: GPLv2 or later
License URI: https://www.gnu.org/licenses/gpl-2.0.html

// truncated
Contoh PURL

Berikut ini adalah contoh URL paket untuk sebuah WordPress plugin. 


Sample PURL: pkg:generic/wordpress/plugin/exclusive-addons-for-elementor@1.0.0
Contoh file style.css

Berikut ini adalah contoh style.css file WordPress tema. 


/*
Author: the WordPress team
Author URI: https://wordpress.org
Description: Twenty Twenty-Four is designed to be flexible, versatile and applicable to any website. Its collection of templates and patterns tailor to different needs, such as presenting a business, blogging and writing or showcasing work. A multitude of possibilities open up with just a few adjustments to color and typography. Twenty Twenty-Four comes with style variations and full page designs to help speed up the site building process, is fully compatible with the site editor, and takes advantage of new design tools introduced in WordPress 6.4.
Requires at least: 6.4
Tested up to: 6.5
Requires PHP: 7.0
Version: 1.2
License: GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: twentytwentyfour
Tags: one-column, custom-colors, custom-menu, custom-logo, editor-style, featured-images, full-site-editing, block-patterns, rtl-language-support, sticky-post, threaded-comments, translation-ready, wide-blocks, block-styles, style-variations, accessibility-ready, blog, portfolio, news
*/
Contoh PURL

Berikut ini adalah contoh URL paket untuk WordPress tema. 


Sample PURL: pkg:generic/wordpress/theme/avada@1.0.0