本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Inspector SBOM 生成器 SSL/TLS 证书扫描
本节介绍如何使用 Amazon Inspector SBOM 生成器来清点 SSL/TLS 证书。通过在预定义的位置以及用户提供的目录中搜索证书来Sbomgen清 SSL/TLS 点证书。该功能旨在使用户能够清点 SSL/TLS 证书并识别过期的证书。CA 证书也将出现在输出清单中。
使用 Sbomgen 证书扫描
您可以使用--scanners certificates参数启用 SSL/TLS 证书清单收集。证书扫描可以与其他任何扫描器结合使用。默认情况下,不启用证书扫描。
根据所扫描的构件,Sbomgen 会在不同的位置搜索证书。在所有情况下,Sbomgen 都会尝试提取具有以下扩展名的文件中的证书。
.pem .crt .der .p7b .p7m .p7s .p12 .pfx
本地主机构件类型
如果启用了证书扫描器且构件类型为本地主机,则 Sbomgen 会以递归方式在 /etc/*/ssl、/opt/*/ssl/certs、/usr/local/*/ssl 和 /var/lib/*/certs 中查找证书,其中 * 不为空。无论命名什么目录,都将以递归方式搜索用户提供的目录。通常, CA/system 证书不会放在这些路径中。这些证书通常位于名为 pki、ca-certs 或 CA 的文件夹中。它们也可能出现在默认的本地主机扫描路径中。
目录和容器构件
扫描目录或容器构件时,Sbomgen 会搜索位于构件上任意位置的证书。
证书扫描命令示例
以下内容包含一个证书扫描命令示例。一个生成的 SBOM 仅包含本地目录中的证书。另一个生成的 SBOM 包含证书以及本地目录中的 Alpine、Debian 和 Rhel 程序包。另一个生成的 SBOM 包含在常见证书位置中找到的证书。
# generate SBOM only containing certificates in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates # generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory ./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm # generate SBOM only containing certificates, taken from common localhost certificate locations ./inspector-sbomgen localhost --scanners certificates
示例文件组件
以下内容包含两个证书查找组件示例。证书到期后,您可以查看标识到期日期的额外属性。
{ "bom-ref": "comp-2", "type": "file", "name": "certificate:expired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001", "value": "expired:2015-06-06T11:59:59Z" }, { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/expired.pem" } ] }, { "bom-ref": "comp-3", "type": "file", "name": "certificate:unexpired.pem", "properties": [ { "name": "amazon:inspector:sbom_generator:source_path", "value": "/etc/ssl/unexpired.pem" } ] }
漏洞响应组件示例
运行带有 --scan-sbom 标志的 Amazon Inspector SBOM 生成器会将生成的 SBOM 发送到 Amazon Inspector 进行漏洞扫描。以下是证书查找漏洞响应组件的示例。
{ "advisories": [ { "url": "https://aws.amazon.com/inspector/" }, { "url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html" } ], "affects": [ { "ref": "comp-2" } ], "analysis": { "state": "in_triage" }, "bom-ref": "vuln-1", "created": "2025-04-17T18:48:20Z", "cwes": [ 324, 298 ], "description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.", "id": "IN-CERTIFICATE-001", "properties": [ { "name": "amazon:inspector:sbom_scanner:priority", "value": "standard" }, { "name": "amazon:inspector:sbom_scanner:priority_intelligence", "value": "unverified" } ], "published": "2025-04-17T18:48:20Z", "ratings": [ { "method": "other", "severity": "medium", "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" } } ], "source": { "name": "AMAZON_INSPECTOR", "url": "https://aws.amazon.com/inspector/" }, "updated": "2025-04-17T18:48:20Z" }