翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector SBOM Generator SSL/TLS 証明書スキャン
このセクションでは、Amazon Inspector SBOM Generator を使用して SSL/TLS 証明書のインベントリを作成する方法について説明します。Sbomgen は、事前定義された場所にある証明書と、ユーザーが提供するディレクトリを検索して、SSL/TLS 証明書のインベントリを作成します。この機能は、ユーザーが SSL/TLS 証明書のインベントリを作成し、期限切れの証明書を識別できるようにすることを目的としています。CA 証明書は出力インベントリにも表示されます。
Sbomgen 証明書スキャンの使用
--scanners certificates 引数を使用して、SSL/TLS 証明書インベントリの収集を有効にできます。証明書スキャンは、他の任意のスキャナーと組み合わせることができます。デフォルトでは、証明書スキャンは有効になっていません。
Sbomgen は、スキャンするアーティファクトに応じて異なる場所で証明書を検索します。いずれの場合も、 Sbomgen は次の拡張子を持つファイルで証明書の抽出を試行します。
.pem .crt .der .p7b .p7m .p7s .p12 .pfx
localhost アーティファクトタイプ
証明書スキャナーが有効で、アーティファクトタイプが localhost の場合、Sbomgen は /etc/*/ssl、/opt/*/ssl/certs、/usr/local/*/ssl、および /var/lib/*/certs で証明書を再帰的に検索します(* が空ではない場合)。ユーザー提供のディレクトリは、名前が付けられたディレクトリに関係なく、再帰的に検索されます。通常、CA/システム証明書はこれらのパスには配置されません。これらの証明書は、多くの場合、pki、ca-certs、または CA という名前のフォルダにあります。また、デフォルトの localhost スキャンパスに表示されることもあります。
ディレクトリおよびコンテナアーティファクト
ディレクトリまたはコンテナアーティファクトをスキャンすると、Sbomgen はアーティファクトの任意の場所にある証明書を検索します。
証明書スキャンコマンドの例
次は、証明書スキャンコマンドの例です。1 つは、ローカルディレクトリの証明書のみを含む SBOM を生成します。もう 1 つは、ローカルディレクトリの証明書と Alpine、Debian、および Rhel パッケージを含む SBOM を生成します。もう 1 つは、一般的な証明書の場所にある証明書を含む SBOM を生成します。
# generate SBOM only containing certificates in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates # generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm # generate SBOM only containing certificates, taken from common localhost certificate locations ./inspector-sbomgen localhost --scanners certificates
ファイルコンポーネントの例
以下は、2 つの証明書検出結果コンポーネントの例です。証明書の有効期限が切れると、有効期限を示す追加のプロパティが表示されます。
{ "bom-ref": "comp-2", "type": "file", "name": "certificate:expired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001", "value": "expired:2015-06-06T11:59:59Z" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/expired.pem" } ] }, { "bom-ref": "comp-3", "type": "file", "name": "certificate:unexpired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/unexpired.pem" } ] }
脆弱性レスポンスコンポーネントの例
--scan-sbom フラグを使用して Amazon Inspector SBOM Generator を実行すると、脆弱性スキャンのために結果の SBOM が Amazon Inspector に送信されます。以下は、脆弱性レスポンスコンポーネントのための証明書検出結果の例です。
{ "advisories": [ { "url": "https://aws.amazon.com/inspector/" }, { "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html" } ], "affects": [ { "ref": "comp-2" } ], "analysis": { "state": "in_triage" }, "bom-ref": "vuln-1", "created": "2025-04-17T18:48:20Z", "cwes": [ 324, 298 ], "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.", "id": "IN-CERTIFICATE-001", "properties": [ { "name": "amazon:inspector:sbom_scanner:priority", "value": "standard" }, { "name": "amazon:inspector:sbom_scanner:priority_intelligence", "value": "unverified" } ], "published": "2025-04-17T18:48:20Z", "ratings": [ { "method": "other", "severity": "medium", "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" } } ], "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" }, "updated": "2025-04-17T18:48:20Z" }
