Amazon Inspector SBOMsを使用したエクスポート - Amazon Inspector
Amazon Inspector 形式のフィルター SBOMs設定とエクスポート SBOMs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector SBOMsを使用したエクスポート

ソフトウェア部品表 (SBOM) は、コードベース内のすべてのオープンソースおよびサードパーティーのソフトウェアコンポーネントのネストされたインベントリです。Amazon Inspector は、環境内の個々のリソースSBOMsに対して を提供します。Amazon Inspector コンソールまたは Amazon Inspector を使用してAPI、 リソースSBOMsに対して を生成できます。Amazon Inspector がサポートおよびモニタリングするすべてのリソースSBOMsをエクスポートできます。エクスポートされた SBOMsは、ソフトウェア供給に関する情報を提供します。AWS 環境 のカバレッジを評価することで、リソースのステータスを確認できます。このセクションでは、 を設定およびエクスポートする方法について説明しますSBOMs。

注記

現在、Amazon Inspector は Windows Amazon EC2インスタンスSBOMsのエクスポートをサポートしていません。

Amazon Inspector 形式

Amazon Inspector はSBOMs、CycloneDX 1.4 および SPDX2.3 互換形式でのエクスポートをサポートしています。Amazon Inspector は、選択した Amazon S3 バケットにJSONファイルSBOMsとしてエクスポートします。

注記

SPDX Amazon Inspector からのフォーマットエクスポートは SPDX2.3 を使用するシステムと互換性がありますが、クリエイティブコモンズゼロ (CC0) フィールドは含まれていません。これは、このフィールドを含めると、ユーザーがマテリアルを再配布したり編集したりできるようになるためです。


                    {
  "bomFormat": "CycloneDX",
  "specVersion": "1.4",
  "version": 1,
  "metadata": {
    "timestamp": "2023-06-02T01:17:46Z",
    "component": null,
    "properties": [
      {
        "name": "imageId",
        "value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
      },
      {
        "name": "architecture",
        "value": "arm64"
      },
      {
        "name": "accountId",
        "value": "111122223333"
      },
      {
        "name": "resourceType",
        "value": "AWS_ECR_CONTAINER_IMAGE"
      }
    ]
  },
  "components": [
    {
      "type": "library",
      "name": "pip",
      "purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
      "bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
    },
    {
      "type": "application",
      "name": "libss2",
      "purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
      "bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
    },
    {
      "type": "application",
      "name": "liblz4-1",
      "purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
      "bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
    },
    {
      "type": "application",
      "name": "mawk",
      "purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
      "bom-ref": "c2015852a729f97fde924e62a16f78a5"
    },
    {
      "type": "application",
      "name": "libgmp10",
      "purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
      "bom-ref": "52907290f5beef00dff8da77901b1085"
    },
    {
      "type": "application",
      "name": "ncurses-bin",
      "purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
      "bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
    }
  ],
  "vulnerabilities": [
    {
      "id": "CVE-2022-40897",
      "affects": [
        {
          "ref": "a74a4862cc654a2520ec56da0c81cdb3"
        },
        {
          "ref": "0119eb286405d780dc437e7dbf2f9d9d"
        }
      ]
    }
  ]
}
                

{
	"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
	"spdxVersion": "SPDX-2.3",
	"creationInfo": {
		"created": "2023-06-02T21:19:22Z",
		"creators": [
			"Organization: 409870544328",
			"Tool: Amazon Inspector SBOM Generator"
		]
	},
	"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
	"comment": "",
	"packages": [{
			"name": "elfutils-libelf",
			"versionInfo": "0.176-2.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
		},
		{
			"name": "libcurl",
			"versionInfo": "7.79.1-1.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2022-32205"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
		},
		{
			"name": "hunspell-en-US",
			"versionInfo": "0.20121024-6.amzn2.0.1",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
		},
		{
			"name": "grub2-tools-minimal",
			"versionInfo": "2.06-2.amzn2.0.6",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
					"referenceCategory": "PACKAGE-MANAGER",
					"referenceType": "purl",
					"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
				},
				{
					"referenceCategory": "SECURITY",
					"referenceType": "vulnerability",
					"referenceLocator": "CVE-2021-3981"
				}
			],
			"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
		},
		{
			"name": "unixODBC-devel",
			"versionInfo": "2.3.1-14.amzn2",
			"downloadLocation": "NOASSERTION",
			"sourceInfo": "/var/lib/rpm/Packages",
			"filesAnalyzed": false,
			"externalRefs": [{
				"referenceCategory": "PACKAGE-MANAGER",
				"referenceType": "purl",
				"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
			}],
			"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
		}
	],
	"relationships": [{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
			"relationshipType": "DESCRIBES"
		},
		{
			"spdxElementId": "SPDXRef-DOCUMENT",
			"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
			"relationshipType": "DESCRIBES"
		}
	],
	"SPDXID": "SPDXRef-DOCUMENT"
}

のフィルター SBOMs

エクスポート時にフィルターSBOMsを含めて、リソースの特定のサブセットのレポートを作成できます。すべてのアクティブな SBOMsにフィルターを指定しない場合、サポートされているリソースがエクスポートされます。また、委任された管理者の場合は、メンバー全員のリソースも含まれます。以下のフィルタが利用可能です。

  • AccountID — このフィルターを使用して、特定のアカウント ID SBOMs に関連付けられたすべてのリソースをエクスポートできます。

  • EC2 インスタンスタグ — このフィルターは、特定のタグを持つEC2インスタンスSBOMsのエクスポートに使用できます。

  • 関数名 — このフィルターを使用して、特定の Lambda 関数SBOMsをエクスポートできます。

  • イメージタグ — このフィルターを使用して、特定のタグを持つコンテナイメージSBOMsをエクスポートできます。

  • Lambda 関数タグ — このフィルターは、特定のタグを持つ Lambda 関数SBOMsのエクスポートに使用できます。

  • リソースタイプ — このフィルターは、リソースタイプ EC2/ECR/Lambda をフィルタリングするために使用できます。

  • リソース ID — このフィルターを使用して、特定のリソースSBOMの をエクスポートできます。

  • リポジトリ名 — このフィルターを使用して、特定のリポジトリのコンテナイメージSBOMsを生成できます。

設定とエクスポート SBOMs

をエクスポートするにはSBOMs、まず Amazon S3 バケットと Amazon Inspector が使用できる AWS KMS キーを設定する必要があります。フィルターを使用して、リソースのSBOMs特定のサブセットをエクスポートできます。 AWS Organization 内の複数のアカウントSBOMsをエクスポートするには、Amazon Inspector の委任された管理者としてサインインしているときに、以下の手順に従います。

前提条件

  • Amazon Inspector によってアクティブにモニタリングされているサポート対象リソース。

  • Amazon Inspector にオブジェクトの追加を許可するポリシーが設定された Amazon S3 バケット。ポリシーの設定については、「Configure export permissions」を参照してください。

  • Amazon Inspector が を使用してレポートを暗号化できるようにするポリシーで設定された AWS KMS キー。ポリシーの設定については、「エクスポート用の AWS KMS キーの設定」を参照してください。

注記

以前に Amazon S3 バケットと検出結果のエクスポート用の AWS KMS キーを設定したことがある場合は、同じバケットとキーをSBOMエクスポートに使用できます。

任意のアクセス方法を選択して、 をエクスポートしますSBOM。

Console

  1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、エクスポートするリソースがあるリージョンを選択しますSBOM。

  3. ナビゲーションペインで、エクスポート SBOMsを選択します。

  4. (オプション) エクスポートSBOMsページで、フィルターの追加メニューを使用して、レポートを作成するリソースのサブセットを選択します。フィルターが指定されていない場合、Amazon Inspector はすべてのアクティブなリソースのレポートをエクスポートします。委任された管理者の場合は、これには組織内のすべてのアクティブなリソースが含まれます。

  5. エクスポート設定で、 に必要な形式を選択しますSBOM。

  6. Amazon S3 URIを入力するか、Amazon S3 を参照 を選択して、 を保存する Amazon S3 の場所を選択しますSBOM。

  7. Amazon Inspector がレポートの暗号化に使用するように設定したAWS KMS キーを入力します。

API

  • リソースSBOMsの をプログラムでエクスポートするには、Amazon Inspector の CreateSbomExportオペレーションを使用しますAPI。

    リクエストで、 reportFormatパラメータを使用してSBOM出力形式を指定し、 CYCLONEDX_1_4または を選択しますSPDX_2_3s3Destination パラメータは必須で、Amazon Inspector による書き込みを許可するポリシーで設定された S3 バケットを指定する必要があります。オプションで、resourceFilterCriteria パラメーターを使用して、レポートのスコープを特定のリソースに制限します。

AWS CLI

  • を使用して リソースSBOMsの をエクスポートするには、次のコマンド AWS Command Line Interface を実行します。

    aws inspector2 create-sbom-export --report-format FORMAT --s3-destination bucketName=amzn-s3-demo-bucket1,keyPrefix=PREFIX,kmsKeyArn=arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    リクエストで、FORMAT 任意の形式、CYCLONEDX_1_4または を使用しますSPDX_2_3。次に、ユーザー入力プレースホルダー エクスポート先の S3 バケットの名前、S3 の出力に使用するプレフィックスS3、レポートの暗号化に使用するKMSキーARNの 。