Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Scansioni dei certificati di Amazon Inspector SBOM Generator SSL/TLS
<a name="sbom-generator-ssl-tls-certificate-scans"></a>

 Questa sezione descrive come utilizzare Amazon Inspector SBOM Generator per inventariare i certificati. SSL/TLS L'Sbomgeninventario SSL/TLS dei certificati cercando i certificati in posizioni predefinite e nelle directory fornite dall'utente. La funzionalità ha lo scopo di consentire agli utenti di effettuare l'inventario SSL/TLS dei certificati e di identificare i certificati scaduti. I certificati CA verranno visualizzati anche nell'inventario di output. 

## Utilizzo delle scansioni dei Sbomgen certificati
<a name="w2aac37c29b5"></a>

 È possibile abilitare la raccolta dell'inventario dei SSL/TLS certificati utilizzando l'`--scanners certificates`argomento. Le scansioni dei certificati possono essere combinate con qualsiasi altro scanner. Per impostazione predefinita, le scansioni dei certificati non sono abilitate. 

 SbomgenCerca i certificati in diverse posizioni a seconda dell'elemento da scansionare. In tutti i casi, i Sbomgen tentativi di estrarre i certificati in file con le seguenti estensioni. 

```
.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
```

**Il tipo di artefatto localhost**  
 Se lo scanner di certificati è abilitato e il tipo di artefatto è localhost, cerca Sbomgen ricorsivamente i certificati in,, e `/etc/*/ssl``/opt/*/ssl/certs`, `/usr/local/*/ssl` where non è vuoto. `/var/lib/*/certs` `*` Le directory fornite dall'utente verranno ricercate in modo ricorsivo, indipendentemente dal nome delle directory. In genere, CA/system i certificati non vengono inseriti in questi percorsi. Questi certificati si trovano spesso in cartelle denominate `pki``ca-certs`, o`CA`. Possono inoltre apparire nei percorsi di scansione predefiniti di localhost. 

**Elementi della directory e del contenitore**  
 Durante la scansione degli elementi della directory o del contenitore, Sbomgen cerca i certificati posizionati in qualsiasi punto dell'elemento. 

**Esempi di comandi di scansione dei certificati**  
 Di seguito sono riportati esempi di comandi di scansione dei certificati. Uno genera un SBOM che contiene solo certificati in una directory locale. Un altro genera un SBOM che contiene certificati e Alpine Rhel pacchetti in una directory locale. Debian Un altro genera un SBOM che contiene i certificati che si trovano in posizioni di certificati comuni. 

```
# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
```

**Componente di file di esempio**  
 Di seguito sono riportati due esempi di componenti per la ricerca di certificati. Quando un certificato scade, è possibile visualizzare una proprietà aggiuntiva che identifica la data di scadenza. 

```
{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
```

**Esempio di componente di risposta alla vulnerabilità**  
 L'esecuzione di Amazon Inspector SBOM Generator con il `--scan-sbom` flag invia la SBOM risultante ad Amazon Inspector per la scansione delle vulnerabilità. Di seguito è riportato un esempio di ricerca di certificati per un componente di risposta alle vulnerabilità. 

```
{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}
```