Formatos de Amazon Inspector Filtros para SBOMs Configurar y exportar SBOMs

Exportación SBOMs con Amazon Inspector

Una lista de materiales de software (SBOM) es un inventario anidado de todos los componentes de software de código abierto y de terceros de su base de código. Amazon Inspector proporciona SBOMs recursos individuales en su entorno. Puede utilizar la consola de Amazon Inspector o Amazon Inspector API para generar recursos SBOMs para sus propios recursos. Puede exportar todos SBOMs los recursos que Amazon Inspector admite y supervisa. SBOMsLos productos exportados proporcionan información sobre su suministro de software. Puede revisar el estado de sus recursos evaluando la cobertura de su AWS entorno. En esta sección se describe cómo configurar y exportarSBOMs.

nota

Actualmente, Amazon Inspector no admite la exportación SBOMs de EC2 instancias de Amazon de Windows.

Formatos de Amazon Inspector

Amazon Inspector admite la exportación SBOMs en formatos compatibles con CycloneDX 1.4 y SPDX2.3. Amazon Inspector exporta SBOMs como JSON archivos al bucket de Amazon S3 que elija.

nota

SPDXlas exportaciones de formato de Amazon Inspector son compatibles con los sistemas que utilizan SPDX2.3, pero no contienen el campo Creative Commons Zero (CC0). El motivo es que, si se incluyera este campo, los usuarios podrían redistribuir o editar el material.



                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}



{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

Filtros para SBOMs

Al exportar, SBOMs puede incluir filtros para crear informes para subconjuntos específicos de recursos. Si no proporciona un filtro, se SBOMs exportarán todos los recursos activos compatibles. Si, además, es administrador delegado, se incluirán los recursos de todos los miembros. Están disponibles los siguientes filtros:

AccountID: este filtro se puede usar para SBOMs exportar cualquier recurso asociado a un ID de cuenta específico.
EC2etiqueta de instancia: este filtro se puede usar SBOMs para exportar EC2 instancias con etiquetas específicas.
Nombre de la función: este filtro se puede utilizar SBOMs para exportar funciones Lambda específicas.
Etiqueta de imagen: este filtro se puede utilizar SBOMs para exportar imágenes de contenedores con etiquetas específicas.
Etiqueta de función Lambda: este filtro se puede utilizar para exportar funciones SBOMs Lambda con etiquetas específicas.
Tipo de recurso: este filtro se puede utilizar para filtrar el tipo de recurso: EC2 ECR //Lambda.
ID de recurso: este filtro se puede usar para exportar y SBOM para un recurso específico.
Nombre del repositorio: este filtro se puede usar SBOMs para generar imágenes de contenedores en repositorios específicos.

Configurar y exportar SBOMs

Para exportarSBOMs, primero debe configurar un bucket de Amazon S3 y una AWS KMS clave que Amazon Inspector pueda usar. Puede usar filtros SBOMs para exportar subconjuntos específicos de sus recursos. Para exportar SBOMs para varias cuentas de una AWS organización, sigue estos pasos con la sesión iniciada como administrador delegado de Amazon Inspector.

Requisitos previos

Recursos compatibles que se estén supervisando con Amazon Inspector.
Un bucket de Amazon S3 configurado con una política que permite a Amazon Inspector agregar objetos al bucket. Para obtener información sobre cómo configurar la política, consulte Configuración de los permisos de exportación.
Una AWS KMS clave configurada con una política que permite a Amazon Inspector utilizar para cifrar sus informes. Para obtener información sobre la configuración de la política, consulte Configurar una AWS KMS clave para la exportación.

nota

Si ha configurado previamente un depósito de Amazon S3 y una AWS KMS clave para la exportación de los hallazgos, puede utilizar el mismo depósito y la misma clave para la SBOM exportación.

Elija su método de acceso preferido para exportar unSBOM.

Console

Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.
Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región a la que desee exportar los recursos. SBOM
En el panel de navegación, selecciona Exportar. SBOMs
(Opcional) En la SBOMs página de exportación, utilice el menú Añadir filtro para seleccionar un subconjunto de recursos para los que crear informes. Si no se proporciona ningún filtro, Amazon Inspector exportará informes de todos los recursos activos. Si es administrador delegado, se incluirán todos los recursos activos de la organización.
En Configuración de exportación, seleccione el formato que desee para. SBOM
Introduzca un Amazon S3 URI o elija Browse Amazon S3 para seleccionar una ubicación de Amazon S3 en la que almacenarSBOM.
Introduzca la clave de AWS KMS configurada para Amazon Inspector que utilizará para cifrar los informes.

API

SBOMsPara exportar sus recursos mediante programación, utilice la CreateSbomExportoperación de Amazon Inspector. API

En su solicitud, utilice el reportFormat parámetro para especificar el formato de SBOM salida, elija CYCLONEDX_1_4 o. SPDX_2_3 Es obligatorio introducir el parámetro s3Destination y debe especificar un bucket de S3 configurado con una política que permita a Amazon Inspector escribir en él. Si lo desea, puede utilizar parámetros resourceFilterCriteria para limitar el alcance del informe a recursos específicos.

AWS CLI

SBOMsPara exportar sus recursos mediante el siguiente comando, AWS Command Line Interface ejecute el siguiente comando:

aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

En su solicitud, sustituya FORMAT con el formato de su elección, CYCLONEDX_1_4 o SPDX_2_3 A continuación, sustituya el marcadores de posición introducidos por el usuario para el destino s3 con el nombre del depósito de S3 al que se va a exportar, el prefijo que se utilizará para la salida en S3 y el prefijo ARN para la KMS clave que se va a utilizar para cifrar los informes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Buscando en la base de datos de vulnerabilidades

EventBridge esquema