本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Inspector SBOM 生成器 SSL/TLS 证书扫描
本节介绍如何使用 Amazon Inspector SBOM 生成器来清点 SSL/TLS 证书。通过在预定义的位置以及用户提供的目录中搜索证书来Sbomgen清 SSL/TLS 点证书。该功能旨在使用户能够清点 SSL/TLS 证书并识别过期的证书。CA 证书也将出现在输出清单中。
## 使用 Sbomgen 证书扫描
您可以使用`--scanners certificates`参数启用 SSL/TLS 证书清单收集。证书扫描可以与其他任何扫描器结合使用。默认情况下,不启用证书扫描。
根据所扫描的构件,Sbomgen 会在不同的位置搜索证书。在所有情况下,Sbomgen 都会尝试提取具有以下扩展名的文件中的证书。
```
.pem
.crt
.der
.p7b
.p7m
.p7s
.p12
.pfx
```
**本地主机构件类型**
如果启用了证书扫描器且构件类型为本地主机,则 Sbomgen 会以递归方式在 `/etc/*/ssl`、`/opt/*/ssl/certs`、`/usr/local/*/ssl` 和 `/var/lib/*/certs` 中查找证书,其中 `*` 不为空。无论命名什么目录,都将以递归方式搜索用户提供的目录。通常, CA/system 证书不会放在这些路径中。这些证书通常位于名为 `pki`、`ca-certs` 或 `CA` 的文件夹中。它们也可能出现在默认的本地主机扫描路径中。
**目录和容器构件**
扫描目录或容器构件时,Sbomgen 会搜索位于构件上任意位置的证书。
**证书扫描命令示例**
以下内容包含一个证书扫描命令示例。一个生成的 SBOM 仅包含本地目录中的证书。另一个生成的 SBOM 包含证书以及本地目录中的 Alpine、Debian 和 Rhel 程序包。另一个生成的 SBOM 包含在常见证书位置中找到的证书。
```
# generate SBOM only containing certificates in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates
# generate SBOM only containing certificates and Alpine, Debian, and Rhel OS packages in a local directory
./inspector-sbomgen directory --path ./project/ --scanners certificates,dpkg,alpine-apk,rhel-rpm
# generate SBOM only containing certificates, taken from common localhost certificate locations
./inspector-sbomgen localhost --scanners certificates
```
**示例文件组件**
以下内容包含两个证书查找组件示例。证书到期后,您可以查看标识到期日期的额外属性。
```
{
"bom-ref": "comp-2",
"type": "file",
"name": "certificate:expired.pem",
"properties": [
{
"name": "amazon:inspector:sbom_generator:certificate_finding:IN-CERTIFICATE-001",
"value": "expired:2015-06-06T11:59:59Z"
},
{
"name": "amazon:inspector:sbom_generator:source_path",
"value": "/etc/ssl/expired.pem"
}
]
},
{
"bom-ref": "comp-3",
"type": "file",
"name": "certificate:unexpired.pem",
"properties": [
{
"name": "amazon:inspector:sbom_generator:source_path",
"value": "/etc/ssl/unexpired.pem"
}
]
}
```
**漏洞响应组件示例**
运行带有 `--scan-sbom` 标志的 Amazon Inspector SBOM 生成器会将生成的 SBOM 发送到 Amazon Inspector 进行漏洞扫描。以下是证书查找漏洞响应组件的示例。
```
{
"advisories": [
{
"url": "https://aws.amazon.com/inspector/"
},
{
"url": "https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html"
}
],
"affects": [
{
"ref": "comp-2"
}
],
"analysis": {
"state": "in_triage"
},
"bom-ref": "vuln-1",
"created": "2025-04-17T18:48:20Z",
"cwes": [
324,
298
],
"description": "Expired Certificate: The associated certificate(s) are no longer valid. Replace certificate in order to reduce risk.",
"id": "IN-CERTIFICATE-001",
"properties": [
{
"name": "amazon:inspector:sbom_scanner:priority",
"value": "standard"
},
{
"name": "amazon:inspector:sbom_scanner:priority_intelligence",
"value": "unverified"
}
],
"published": "2025-04-17T18:48:20Z",
"ratings": [
{
"method": "other",
"severity": "medium",
"source": {
"name": "AMAZON_INSPECTOR",
"url": "https://aws.amazon.com/inspector/"
}
}
],
"source": {
"name": "AMAZON_INSPECTOR",
"url": "https://aws.amazon.com/inspector/"
},
"updated": "2025-04-17T18:48:20Z"
}
```