本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
軟體物料清單 (SBOM) 是程式碼庫中所有開放原始碼和第三方軟體元件的巢狀庫存。Amazon Inspector 為環境中的個別資源提供 SBOMs。您可以使用 Amazon Inspector 主控台或 Amazon Inspector API 為您的資源產生 SBOMs。您可以匯出 Amazon Inspector 支援和監控的所有資源的 SBOMs。匯出SBOMs 會提供軟體供應的相關資訊。您可以透過評估 AWS 環境的涵蓋範圍來檢閱資源的狀態。本節說明如何設定和匯出 SBOMs。
注意
目前,Amazon Inspector 不支援匯出 SBOMs Windows Amazon EC2 執行個體。
Amazon Inspector 格式
Amazon Inspector 支援以 CycloneDX 1.4 和 SPDX 2.3 相容格式匯出 SBOMSBOMs 。Amazon Inspector 會將 SBOMs 匯出為JSON檔案到您選擇的 Amazon S3 儲存貯體。
注意
從 Amazon Inspector 匯出的 SPDX 格式與使用 SPDX 2.3 的系統相容,但它們不包含 Creative Commons Zero (CC0) 欄位。這是因為包含此欄位可讓使用者重新分佈或編輯材料。
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"version": 1,
"metadata": {
"timestamp": "2023-06-02T01:17:46Z",
"component": null,
"properties": [
{
"name": "imageId",
"value": "sha256:c8ee97f7052776ef223080741f61fcdf6a3a9107810ea9649f904aa4269fdac6"
},
{
"name": "architecture",
"value": "arm64"
},
{
"name": "accountId",
"value": "111122223333"
},
{
"name": "resourceType",
"value": "AWS_ECR_CONTAINER_IMAGE"
}
]
},
"components": [
{
"type": "library",
"name": "pip",
"purl": "pkg:pypi/pip@22.0.4?path=usr/local/lib/python3.8/site-packages/pip-22.0.4.dist-info/METADATA",
"bom-ref": "98dc550d1e9a0b24161daaa0d535c699"
},
{
"type": "application",
"name": "libss2",
"purl": "pkg:dpkg/libss2@1.44.5-1+deb10u3?arch=ARM64&epoch=0&upstream=libss2-1.44.5-1+deb10u3.src.dpkg",
"bom-ref": "2f4d199d4ef9e2ae639b4f8d04a813a2"
},
{
"type": "application",
"name": "liblz4-1",
"purl": "pkg:dpkg/liblz4-1@1.8.3-1+deb10u1?arch=ARM64&epoch=0&upstream=liblz4-1-1.8.3-1+deb10u1.src.dpkg",
"bom-ref": "9a6be8907ead891b070e60f5a7b7aa9a"
},
{
"type": "application",
"name": "mawk",
"purl": "pkg:dpkg/mawk@1.3.3-17+b3?arch=ARM64&epoch=0&upstream=mawk-1.3.3-17+b3.src.dpkg",
"bom-ref": "c2015852a729f97fde924e62a16f78a5"
},
{
"type": "application",
"name": "libgmp10",
"purl": "pkg:dpkg/libgmp10@6.1.2+dfsg-4+deb10u1?arch=ARM64&epoch=2&upstream=libgmp10-6.1.2+dfsg-4+deb10u1.src.dpkg",
"bom-ref": "52907290f5beef00dff8da77901b1085"
},
{
"type": "application",
"name": "ncurses-bin",
"purl": "pkg:dpkg/ncurses-bin@6.1+20181013-2+deb10u3?arch=ARM64&epoch=0&upstream=ncurses-bin-6.1+20181013-2+deb10u3.src.dpkg",
"bom-ref": "cd20cfb9ebeeadba3809764376f43bce"
}
],
"vulnerabilities": [
{
"id": "CVE-2022-40897",
"affects": [
{
"ref": "a74a4862cc654a2520ec56da0c81cdb3"
},
{
"ref": "0119eb286405d780dc437e7dbf2f9d9d"
}
]
}
]
}
{
"name": "409870544328/EC2/i-022fba820db137c64/ami-074ea14c08effb2d8",
"spdxVersion": "SPDX-2.3",
"creationInfo": {
"created": "2023-06-02T21:19:22Z",
"creators": [
"Organization: 409870544328",
"Tool: Amazon Inspector SBOM Generator"
]
},
"documentNamespace": "EC2://i-022fba820db137c64/AMAZON_LINUX_2/null/x86_64",
"comment": "",
"packages": [{
"name": "elfutils-libelf",
"versionInfo": "0.176-2.amzn2",
"downloadLocation": "NOASSERTION",
"sourceInfo": "/var/lib/rpm/Packages",
"filesAnalyzed": false,
"externalRefs": [{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:rpm/elfutils-libelf@0.176-2.amzn2?arch=X86_64&epoch=0&upstream=elfutils-libelf-0.176-2.amzn2.src.rpm"
}],
"SPDXID": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463"
},
{
"name": "libcurl",
"versionInfo": "7.79.1-1.amzn2.0.1",
"downloadLocation": "NOASSERTION",
"sourceInfo": "/var/lib/rpm/Packages",
"filesAnalyzed": false,
"externalRefs": [{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:rpm/libcurl@7.79.1-1.amzn2.0.1?arch=X86_64&epoch=0&upstream=libcurl-7.79.1-1.amzn2.0.1.src.rpm"
},
{
"referenceCategory": "SECURITY",
"referenceType": "vulnerability",
"referenceLocator": "CVE-2022-32205"
}
],
"SPDXID": "SPDXRef-Package-rpm-libcurl-710fb33829bc5106559bcd380cddb7d5"
},
{
"name": "hunspell-en-US",
"versionInfo": "0.20121024-6.amzn2.0.1",
"downloadLocation": "NOASSERTION",
"sourceInfo": "/var/lib/rpm/Packages",
"filesAnalyzed": false,
"externalRefs": [{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:rpm/hunspell-en-US@0.20121024-6.amzn2.0.1?arch=NOARCH&epoch=0&upstream=hunspell-en-US-0.20121024-6.amzn2.0.1.src.rpm"
}],
"SPDXID": "SPDXRef-Package-rpm-hunspell-en-US-de19ae0883973d6cea5e7e079d544fe5"
},
{
"name": "grub2-tools-minimal",
"versionInfo": "2.06-2.amzn2.0.6",
"downloadLocation": "NOASSERTION",
"sourceInfo": "/var/lib/rpm/Packages",
"filesAnalyzed": false,
"externalRefs": [{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:rpm/grub2-tools-minimal@2.06-2.amzn2.0.6?arch=X86_64&epoch=1&upstream=grub2-tools-minimal-2.06-2.amzn2.0.6.src.rpm"
},
{
"referenceCategory": "SECURITY",
"referenceType": "vulnerability",
"referenceLocator": "CVE-2021-3981"
}
],
"SPDXID": "SPDXRef-Package-rpm-grub2-tools-minimal-c56b7ea76e5a28ab8f232ef6d7564636"
},
{
"name": "unixODBC-devel",
"versionInfo": "2.3.1-14.amzn2",
"downloadLocation": "NOASSERTION",
"sourceInfo": "/var/lib/rpm/Packages",
"filesAnalyzed": false,
"externalRefs": [{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:rpm/unixODBC-devel@2.3.1-14.amzn2?arch=X86_64&epoch=0&upstream=unixODBC-devel-2.3.1-14.amzn2.src.rpm"
}],
"SPDXID": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2"
}
],
"relationships": [{
"spdxElementId": "SPDXRef-DOCUMENT",
"relatedSpdxElement": "SPDXRef-Package-rpm-elfutils-libelf-ddf56a513c0e76ab2ae3246d9a91c463",
"relationshipType": "DESCRIBES"
},
{
"spdxElementId": "SPDXRef-DOCUMENT",
"relatedSpdxElement": "SPDXRef-Package-rpm-yajl-8476ce2db98b28cfab2b4484f84f1903",
"relationshipType": "DESCRIBES"
},
{
"spdxElementId": "SPDXRef-DOCUMENT",
"relatedSpdxElement": "SPDXRef-Package-rpm-unixODBC-devel-1bb35add92978df021a13fc9f81237d2",
"relationshipType": "DESCRIBES"
}
],
"SPDXID": "SPDXRef-DOCUMENT"
}
SBOMs 的篩選條件
匯出 SBOMs時,您可以包含篩選條件,以建立特定資源子集的報告。如果您未提供篩選條件,則會匯出所有作用中資源SBOMs。如果您是委派管理員,這也包含所有成員的資源。可用的篩選條件如下:
-
AccountID — 此篩選條件可用於匯出與特定帳戶 ID 關聯之任何資源SBOMs。
-
EC2 執行個體標籤 — 此篩選條件可用於匯出具有特定標籤之 EC2 執行個體SBOMs。
-
函數名稱 — 此篩選條件可用於匯出特定 Lambda 函數SBOMs。
-
映像標籤 — 此篩選條件可用來匯出具有特定標籤之容器映像SBOMs。
-
Lambda 函數標籤 — 此篩選條件可用於匯出具有特定標籤的 Lambda 函數的 SBOMs。
-
資源類型 — 此篩選條件可用於篩選資源類型:EC2/ECR/Lambda。
-
資源 ID — 此篩選條件可用於匯出特定資源的 SBOM。
-
儲存庫名稱 — 此篩選條件可用於產生特定儲存庫中容器映像SBOMs。
設定和匯出 SBOMs
若要匯出 SBOMs,您必須先設定 Amazon S3 儲存貯體和允許 Amazon Inspector 使用的 AWS KMS 金鑰。您可以使用篩選條件來匯出特定資源子集的 SBOMs。若要匯出 AWS 組織中多個帳戶的 SBOMs,請在以 Amazon Inspector 委派管理員身分登入時遵循以下步驟。
先決條件
Amazon Inspector 主動監控的支援資源。
設定政策的 Amazon S3 儲存貯體,允許 Amazon Inspector 將物件新增至其中。如需設定政策的資訊,請參閱設定匯出許可。
設定政策的 AWS KMS 金鑰,允許 Amazon Inspector 使用 來加密您的報告。如需設定政策的資訊,請參閱設定 AWS KMS 金鑰以進行匯出。
注意
如果您先前已設定 Amazon S3 儲存貯體和用於問題清單匯出的 AWS KMS 金鑰,則可以使用相同的儲存貯體和金鑰進行 SBOM 匯出。
選擇您偏好的存取方法以匯出 SBOM。
-
使用您的登入資料登入,然後開啟位於 https://console.aws.amazon.com/inspector/v2/home
://Amazon Inspector 主控台。 -
使用頁面右上角的 AWS 區域 選取器,選取具有您要匯出 SBOM 資源的區域。
-
在導覽窗格中,選擇匯出 SBOMs。
-
(選用) 在匯出 SBOMs頁面中,使用新增篩選條件功能表選取要建立報告的資源子集。如果未提供篩選條件,Amazon Inspector 會匯出所有作用中資源的報告。如果您是委派管理員,這將包含組織中所有作用中的資源。
-
在匯出設定下,選取您想要的 SBOM 格式。
-
輸入 Amazon S3 URI 或選擇瀏覽 Amazon S3 以選取要存放 SBOM 的 Amazon S3 位置。
-
輸入為 Amazon Inspector 設定的AWS KMS 金鑰,以用來加密您的報告。
