Générateur de SBOM Amazon Inspector - Amazon Inspector
Types de packages pris en chargeContrôles de configuration d'image de conteneur pris en chargeInstallation SbomgenUtilisation SbomgenAuthentification auprès de registres privés avec SbomgenExemples de sorties de Sbomgen

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Générateur de SBOM Amazon Inspector

Une nomenclature logicielle (SBOM) est une liste officiellement structurée de composants, de bibliothèques et de modules nécessaires à la création d'un logiciel. Le générateur SBOM d'Amazon Inspector (Sbomgen) est un outil qui produit un SBOM pour les archives, les images de conteneurs, les répertoires, les systèmes locaux et qui est compilé Go and Rust binaires. Sbomgen recherche les fichiers contenant des informations sur les packages installés. Lorsque Sbomgen trouve un fichier pertinent, extrait les noms de package, les versions et les autres métadonnées. Sbomgen transforme ensuite les métadonnées du package en CycloneDX SBOM. Vous pouvez utiliser … Sbomgen pour générer le CycloneDX SBOM sous forme de fichier ou dans STDOUT et envoyez-le à Amazon SBOMs Inspector pour détecter les vulnérabilités. Vous pouvez également utiliser Sbomgen dans le cadre de l'intégration CI/CD, qui scanne automatiquement les images des conteneurs dans le cadre de votre pipeline de déploiement.

Types de packages pris en charge

Sbomgen collecte l'inventaire des types de colis suivants :

  • Alpine APK

  • Debian/Ubuntu DPKG

  • Red Hat RPM

  • C#

  • Go

  • Java

  • Node.js

  • PHP

  • Python

  • Ruby

  • Rust

Contrôles de configuration d'image de conteneur pris en charge

Sbomgen peut scanner des fichiers Dockerfiles autonomes et créer un historique à partir d'images existantes pour des problèmes de sécurité. Pour plus d'informations, consultez Amazon Inspector Dockerfile checks.

Installation Sbomgen

Sbomgen est uniquement disponible pour les systèmes d'exploitation Linux.

Vous devez avoir … Docker installé si vous le souhaitez Sbomgen pour analyser les images mises en cache localement. Docker n'est pas nécessaire pour analyser les images exportées sous forme de .tar fichiers ou d'images hébergées dans des registres de conteneurs distants.

Amazon Inspector vous recommande d'exécuter Sbomgen à partir d'un système présentant au moins les caractéristiques matérielles suivantes :

  • Processeur 4 cœurs

  • 8 Go de RAM

Pour installer Sbomgen

  1. Téléchargez la dernière Sbomgen fichier zip à partir de l'URL correspondant à votre architecture :

    Linux AMD64 : https://amazon-inspector-sbomgen.s3.amazonaws.com/latest/linux/amd64/inspector-sbomgen.zip

    Linux ARM64 : https://amazon-inspector-sbomgen.s3.amazonaws.com/latest/linux/arm64/inspector-sbomgen.zip

    Vous pouvez également télécharger les versions précédentes du fichier zip Amazon Inspector SBOM Generator.

  2. Décompressez le téléchargement à l'aide de la commande suivante :

    unzip inspector-sbomgen.zip

  3. Vérifiez la présence des fichiers suivants dans le répertoire extrait :

    • inspector-sbomgen— Il s'agit de l'outil que vous allez exécuter pour générer SBOMs.

    • README.txt— Voici la documentation d'utilisation Sbomgen.

    • LICENSE.txt— Ce fichier contient la licence logicielle pour Sbomgen.

    • licenses— Ce dossier contient les informations de licence pour les packages tiers utilisés par Sbomgen.

    • checksums.txt— Ce fichier fournit des hachages de Sbomgen outil.

    • sbom.json— Il s'agit d'un CycloneDX SBOM pour Sbomgen outil.

    • WhatsNew.txt— Ce fichier contient un journal des modifications résumé, afin que vous puissiez consulter les principales modifications et améliorations entre Sbomgen versions rapidement.

  4. (Facultatif) Vérifiez l'authenticité et l'intégrité de l'outil à l'aide de la commande suivante :

    sha256sum < inspector-sbomgen

    1. Comparez les résultats avec le contenu du checksums.txt fichier.

  5. Accordez des autorisations exécutables à l'outil à l'aide de la commande suivante :

    chmod +x inspector-sbomgen

  6. Vérifiez que Sbomgen est correctement installé à l'aide de la commande suivante :

    ./inspector-sbomgen --version

    Vous devriez obtenir un résultat similaire à ce qui suit :

    Version: 1.X.X

Utilisation Sbomgen

Cette section décrit les différentes manières dont vous pouvez utiliser Sbomgen. Vous pouvez en savoir plus sur la façon d'utiliser Sbomgen grâce à des exemples intégrés. Pour visualiser ces exemples, exécutez la list-examples commande suivante : 

./inspector-sbomgen list-examples

Génère un SBOM pour une image de conteneur et affiche le résultat

Vous pouvez utiliser … Sbomgen pour générer des images SBOMs pour le conteneur et afficher le résultat dans un fichier. Cette fonctionnalité peut être activée à l'aide de la container sous-commande.

Exemple de commande

Dans l'extrait suivant, vous pouvez remplacer par image:tag l'ID de votre image et par le chemin output_path.json d'accès à la sortie que vous souhaitez enregistrer. 

# generate SBOM for container image
./inspector-sbomgen container --image image:tag -o output_path.json
Note

La durée et les performances de numérisation dépendent de la taille de l'image et de la taille du nombre de couches. Les petites images ne s'améliorent pas seulement Sbomgen performance, mais aussi réduction de la surface d'attaque potentielle. Les images plus petites améliorent également les temps de création, de téléchargement et de chargement des images.

Lors de l'utilisation Sbomgen avec ScanSbom, l'API Amazon Inspector Scan ne traitera pas les colis SBOMs contenant plus de 2 000 colis. Dans ce scénario, l'API Amazon Inspector Scan renvoie une réponse HTTP 400.

Si une image inclut des fichiers ou des répertoires multimédias en masse, envisagez de les exclure de Sbomgen en utilisant l'--skip-filesargument.

Générer un SBOM à partir de répertoires et d'archives

Vous pouvez utiliser … Sbomgen pour générer à SBOMs partir de répertoires et d'archives. Cette fonctionnalité peut être activée à l'aide des archive sous-commandes directory ou. Amazon Inspector recommande d'utiliser cette fonctionnalité lorsque vous souhaitez générer une SBOM à partir d'un dossier de projet, tel qu'un dépôt git téléchargé.

Exemple de commande 1

L'extrait suivant montre une sous-commande qui génère une SBOM à partir d'un fichier de répertoire. 

# generate SBOM from directory
./inspector-sbomgen directory --path /path/to/dir -o /tmp/sbom.json
Exemple de commande 2

L'extrait suivant montre une sous-commande qui génère une SBOM à partir d'un fichier d'archive. Les seuls formats d'archive pris en charge sont .zip.tar, et.tar.gz. 

# generate SBOM from archive file (tar, tar.gz, and zip formats only)
./inspector-sbomgen archive --path testData.zip -o /tmp/sbom.json

Générez un SBOM à partir de Go or Rust fichiers binaires compilés

Vous pouvez utiliser … Sbomgen à générer à SBOMs partir de compilé Go and Rust binaires. Vous pouvez activer cette fonctionnalité par le biais de la binary sous-commande : 

./inspector-sbomgen binary --path /path/to/your/binary

Envoyez un SBOM à Amazon Inspector pour identifier les vulnérabilités

Outre la génération d'une SBOM, vous pouvez envoyer une SBOM à scanner à l'aide d'une seule commande depuis l'API Amazon Inspector Scan. Amazon Inspector évalue le contenu de la SBOM pour détecter les vulnérabilités avant de renvoyer les résultats à Sbomgen. En fonction de votre saisie, les résultats peuvent être affichés ou écrits dans un fichier.

Note

Pour utiliser cette fonctionnalité, vous devez disposer InspectorScan-ScanSbom d'une autorisation de lecture active Compte AWS .

Pour activer cette fonctionnalité, vous devez transmettre l'--scan-sbomargument au Sbomgen CLI. Vous pouvez également transmettre l'--scan-sbomargument à l'une des entités suivantes Sbomgen sous-commandes :archive,,binary, containerdirectory,localhost.

Note

L'API Amazon Inspector Scan ne SBOMs traite pas plus de 2 000 packages. Dans ce scénario, l'API Amazon Inspector Scan renvoie une réponse HTTP 400.

Vous pouvez vous authentifier auprès d'Amazon Inspector via un AWS profil ou un rôle IAM avec les arguments suivants : AWS CLI 


--aws-profile profile
--aws-region region
--aws-iam-role-arn role_arn

Vous pouvez également vous authentifier auprès d'Amazon Inspector en fournissant les variables d'environnement suivantes pour Sbomgen. 


AWS_ACCESS_KEY_ID=$access_key \
AWS_SECRET_ACCESS_KEY=$secret_key \
AWS_DEFAULT_REGION=$region \
./inspector-sbomgen arguments

Pour spécifier le format de réponse, utilisez l'--scan-sbom-output-format cyclonedxargument ou l'--scan-sbom-output-format inspectorargument.

Exemple de commande 1

Cette commande crée un SBOM pour le dernier Alpine Linux publie, analyse le SBOM et écrit les résultats de la vulnérabilité dans un fichier JSON. 

./inspector-sbomgen container --image alpine:latest \
                          --scan-sbom \
                          --aws-profile your_profile \
                          --aws-region your_region \
                          --scan-sbom-output-format cyclonedx \
                          --outfile /tmp/inspector_scan.json
Exemple de commande 2

Cette commande s'authentifie auprès d'Amazon Inspector en utilisant les AWS informations d'identification comme variables d'environnement. 

AWS_ACCESS_KEY_ID=$your_access_key \
AWS_SECRET_ACCESS_KEY=$your_secret_key \
AWS_DEFAULT_REGION=$your_region \
./inspector-sbomgen container --image alpine:latest \
                          -o /tmp/sbom.json \
                          --scan-sbom \
                          --scan-sbom-output-format inspector
Exemple de commande 3

Cette commande s'authentifie auprès d'Amazon Inspector à l'aide de l'ARN d'un rôle IAM. 

./inspector-sbomgen container --image alpine:latest \
                          --scan-sbom \
                          --aws-profile your_profile \
                          --aws-region your_region \
                          --outfile /tmp/inspector_scan.json
                          --aws-iam-role-arn arn:aws:iam::123456789012:role/your_role

Personnalisez les scans pour exclure des fichiers spécifiques

Lors de l'analyse et du traitement d'une image de conteneur, Sbomgen analyse la taille de tous les fichiers de cette image de conteneur. Vous pouvez personnaliser les analyses pour exclure des fichiers spécifiques ou cibler des packages spécifiques.

Pour réduire la consommation de disque, la consommation de RAM, le temps d'exécution écoulé et ignorer les fichiers qui dépassent le seuil indiqué, utilisez l'--max-file-sizeargument associé à la sous-commande : container 

./inspector-sbomgen container --image alpine:latest \
--outfile /tmp/sbom.json \
--max-file-size 300000000

Désactiver l'indicateur de progression

Sbomgen affiche un indicateur de progression de rotation qui peut entraîner l'apparition de barres obliques excessives dans les environnements CI/CD. 

INFO[2024-02-01 14:58:46]coreV1.go:53: analyzing artifact
|
\
/
|
\
/
INFO[2024-02-01 14:58:46]coreV1.go:62: executing post-processors

Vous pouvez désactiver l'indicateur de progression à l'aide de l'--disable-progress-barargument : 

./inspector-sbomgen container --image alpine:latest \
--outfile /tmp/sbom.json \
--disable-progress-bar

Authentification auprès de registres privés avec Sbomgen

En fournissant les informations d'authentification de votre registre privé, vous pouvez générer des données SBOMs à partir de conteneurs hébergés dans des registres privés. Vous pouvez fournir ces informations d'identification par les méthodes suivantes :

Authentifier à l'aide des informations d'identification mises en cache (recommandé)

Pour cette méthode, vous devez vous authentifier auprès de votre registre de conteneurs. Par exemple, si vous utilisez Docker, vous pouvez vous authentifier auprès de votre registre de conteneurs à l'aide du Docker commande de journalisation :docker login.

  1. Authentifiez-vous auprès de votre registre de conteneurs. Par exemple, si vous utilisez Docker, vous pouvez vous authentifier auprès de votre registre à l'aide du Docker logincommande :

  2. Après vous être authentifié auprès de votre registre de conteneurs, utilisez Sbomgen sur une image de conteneur qui se trouve dans le registre. Pour utiliser l'exemple suivant, remplacez-le image:tag par le nom de l'image à numériser : 

./inspector-sbomgen container --image image:tag

Authentifiez-vous à l'aide de la méthode interactive

Pour cette méthode, entrez votre nom d'utilisateur en tant que paramètre, et Sbomgen vous demandera de saisir un mot de passe sécurisé en cas de besoin.

Pour utiliser l'exemple suivant, remplacez-le image:tag par le nom de l'image que vous souhaitez numériser et your_username par un nom d'utilisateur ayant accès à l'image : 

./inspector-sbomgen container --image image:tag --username your_username

Authentifiez-vous à l'aide de la méthode non interactive

Pour cette méthode, enregistrez votre mot de passe ou votre jeton de registre dans un .txt fichier.

Note

L'utilisateur actuel ne devrait pouvoir lire que ce fichier. Le fichier doit également contenir votre mot de passe ou votre jeton sur une seule ligne.

Pour utiliser l'exemple suivant, remplacez-le your_username par votre nom d'utilisateur, password.txt par le .txt fichier contenant votre mot de passe ou votre jeton sur une seule ligne et image:tag par le nom de l'image à numériser : 

INSPECTOR_SBOMGEN_USERNAME=your_username \
INSPECTOR_SBOMGEN_PASSWORD=`cat password.txt` \
./inspector-sbomgen container --image image:tag

Exemples de sorties de Sbomgen

Voici un exemple de SBOM pour une image de conteneur inventoriée à l'aide de Sbomgen.

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:828875ef-8c32-4777-b688-0af96f3cf619",
  "version": 1,
  "metadata": {
    "timestamp": "2023-11-17T21:36:38Z",
    "tools": [
      {
        "vendor": "Amazon Web Services, Inc. (AWS)",
        "name": "Amazon Inspector SBOM Generator",
        "version": "1.0.0",
        "hashes": [
          {
            "alg": "SHA-256",
            "content": "10ab669cfc99774786301a745165b5957c92ed9562d19972fbf344d4393b5eb1"
          }
        ]
      }
    ],
    "component": {
      "bom-ref": "comp-1",
      "type": "container",
      "name": "fedora:latest",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:image_id",
          "value": "sha256:c81c8ae4dda7dedc0711daefe4076d33a88a69a28c398688090c1141eff17e50"
        },
        {
          "name": "amazon:inspector:sbom_generator:layer_diff_id",
          "value": "sha256:eddd0d48c295dc168d0710f70364581bd84b1dda6bb386c4a4de0b61de2f2119"
        }
      ]
    }
  },
  "components": [
    {
      "bom-ref": "comp-2",
      "type": "library",
      "name": "dnf",
      "version": "4.18.0",
      "purl": "pkg:pypi/dnf@4.18.0",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:source_file_scanner",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_package_collector",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_path",
          "value": "/usr/lib/python3.12/site-packages/dnf-4.18.0.dist-info/METADATA"
        },
        {
          "name": "amazon:inspector:sbom_generator:is_duplicate_package",
          "value": "true"
        },
        {
          "name": "amazon:inspector:sbom_generator:duplicate_purl",
          "value": "pkg:rpm/fedora/python3-dnf@4.18.0-2.fc39?arch=noarch&distro=39&epoch=0"
        }
      ]
    },
    {
      "bom-ref": "comp-3",
      "type": "library",
      "name": "libcomps",
      "version": "0.1.20",
      "purl": "pkg:pypi/libcomps@0.1.20",
      "properties": [
        {
          "name": "amazon:inspector:sbom_generator:source_file_scanner",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_package_collector",
          "value": "python-pkg"
        },
        {
          "name": "amazon:inspector:sbom_generator:source_path",
          "value": "/usr/lib64/python3.12/site-packages/libcomps-0.1.20-py3.12.egg-info/PKG-INFO"
        },
        {
          "name": "amazon:inspector:sbom_generator:is_duplicate_package",
          "value": "true"
        },
        {
          "name": "amazon:inspector:sbom_generator:duplicate_purl",
          "value": "pkg:rpm/fedora/python3-libcomps@0.1.20-1.fc39?arch=x86_64&distro=39&epoch=0"
        }
      ]
    }
  ]
}