View a markdown version of this page

Digitalizações de certificados do Amazon Inspector SBOM Generator SSL/TLS - Amazon Inspector
Usar verificações de certificados do Sbomgen

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Digitalizações de certificados do Amazon Inspector SBOM Generator SSL/TLS

Esta seção descreve como usar o Amazon Inspector SBOM Generator para inventariar certificados. SSL/TLS Os SSL/TLS certificados de Sbomgen inventário pesquisam certificados em locais predefinidos, bem como em diretórios fornecidos pelo usuário. O recurso tem como objetivo permitir que os usuários inventariem SSL/TLS certificados e identifiquem certificados expirados. Os certificados CA também aparecerão no inventário de saída.

Usar verificações de certificados do Sbomgen

Você pode habilitar a coleta de inventário de SSL/TLS certificados usando o --scanners certificates argumento. As verificações de certificados podem ser combinadas com qualquer um dos outros verificadores. Por padrão, as verificações de certificados não estão habilitadas.

O Sbomgen pesquisa certificados em diferentes locais, dependendo do artefato que está sendo verificado. Em todos os casos, o Sbomgen tenta extrair certificados em arquivos com as extensões a seguir. 

.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
O tipo de artefato localhost

Se o verificador de certificados estiver habilitado e o tipo de artefato for localhost, o Sbomgen procurará recursivamente por certificados em /etc/*/ssl, /opt/*/ssl/certs, /usr/local/*/ssl e /var/lib/*/certs, em que * não está vazio. Os diretórios fornecidos pelo usuário serão pesquisados recursivamente, independentemente dos diretórios nomeados. Normalmente, CA/system os certificados não são colocados nesses caminhos. Esses certificados geralmente estão em pastas chamadas pki, ca-certs ou CA. Eles também podem aparecer nos caminhos de verificação padrão do localhost.

Artefatos de diretório e contêiner

Ao verificar artefatos de diretórios ou contêineres, o Sbomgen procura certificados localizados em qualquer lugar do artefato.

Exemplos de comandos de verificação de certificados

O seguinte contém exemplos de comandos de verificação de certificados. Um gera um SBOM que contém apenas certificados em um diretório local. Outro gera um SBOM que contém certificados e pacotes Alpine, Debian e Rhel em um diretório local. Outro gera um SBOM que contém certificados encontrados em locais de certificados comuns. 

# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates

# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm

# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
Exemplo de componente do arquivo

O seguinte contém dois exemplos de componentes de descoberta de certificados. Quando um certificado expira, é possível visualizar uma propriedade extra que identifica a data de expiração. 

{
      "bom-ref": "comp-2",
      "type": "file",
      "name": "certificate:expired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
                "value": "expired:2015-06-06T11:59:59Z"
            },
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/expired.pem"
            }
      ]
},
{
      "bom-ref": "comp-3",
      "type": "file",
      "name": "certificate:unexpired.pem",
      "properties": [
            {
                "name": "amazon:inspector:sbom_generator:source_path",
                "value": "/etc/ssl/unexpired.pem"
            }
      ]
}
Exemplo de componente de resposta à vulnerabilidade

A execução do Gerador de SBOM do Amazon Inspector com a sinalização --scan-sbom envia o SBOM resultante ao Amazon Inspector para verificação de vulnerabilidades. Veja a seguir um exemplo de uma descoberta de certificado para um componente de resposta à vulnerabilidade. 

{
    "advisories": [
        {
            "url": "https://aws.amazon.com/inspector/"
        },
        {
            "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
        }
    ],
    "affects": [
        {
            "ref": "comp-2"
        }
    ],
    "analysis": {
        "state": "in_triage"
    },
    "bom-ref": "vuln-1",
    "created": "2025-04-17T18:48:20Z",
    "cwes": [
        324,
        298
    ],
    "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
    "id": "IN-CERTIFICATE-001",
    "properties": [
        {
            "name": "amazon:inspector:sbom_scanner:priority",
            "value": "standard"
        },
        {
            "name": "amazon:inspector:sbom_scanner:priority_intelligence",
            "value": "unverified"
        }
    ],
    "published": "2025-04-17T18:48:20Z",
    "ratings": [
        {
            "method": "other",
            "severity": "medium",
            "source": {
                "name": "AMAZON_INSPECTOR",
                "url": "https://aws.amazon.com/inspector/"
            }
        }
    ],
    "source": {
        "name": "AMAZON_INSPECTOR",
        "url": "https://aws.amazon.com/inspector/"
    },
    "updated": "2025-04-17T18:48:20Z"
}