AWSのInspectorでSBOM Exportしてみた前編

Last updated at 2023-10-15Posted at 2023-10-09

導入

経産省の「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」にも記載されている通り、自身が利用するOSSライブラリに対して、依存関係を含むコンポーネントや脆弱性を一覧管理する手段として、SBOMが注目されています。
本記事について、
- 前編ではAWSのマネージドサービスであるAmazon InspectorのSBOMエクスポート機能を用いて、SBOM ファイルをS3上に出力します。
- 後編ではAmazon Athenaを用いてSBOMファイルに対する分析を実施したいと思います。→AWSのInspectorでSBOM Exportしてみた後編

Amazon InspectorによるSBOM出力

スキャン対象の準備

SBOMスキャン対象として、ECRにamazonlinux:2023をベースイメージとするDockerイメージを格納しておきます。
```
FROM amazonlinux:2023

# Install Node.js
RUN yum install -y nodejs
```

S3バケットの設定

SBOM出力となるS3バケットを作成し、S3バケットポリシーを設定します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "allow-inspector",
			"Effect": "Allow",
			"Principal": {
				"Service": "inspector2.amazonaws.com"
			},
			"Action": [
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:AbortMultipartUpload"
			],
			"Resource": "arn:aws:s3:::バケット名/*",
			"Condition": {
				"StringEquals": {
					"aws:SourceAccount": "アカウントID"
				},
				"ArnLike": {
					"aws:SourceArn": "arn:aws:inspector2:ap-northeast-1:アカウントID:report/*"
				}
			}
		}
	]
}

KMSの設定

SBOMファイルの暗号化に必要なKMSのCMKを作成します。
キーポリシーに以下ステートメントを追加します。

{
    "Sid": "Allow Amazon Inspector to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "inspector2.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "アカウントID"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:inspector2:ap-northeast-1:アカウントID:report/*"
        }
    }
}

SBOMエクスポート

AWSコンソールにログインし、Amazon Inspectorの画面を開きます。
画面左のナビゲーションペインから、Export SBOMsを選択します。
フィルターと出力先を設定して、SBOM Exportします。
- フィルター: ECRの特定リポジトリを指定するように、リポジトリ名 EQUALSを設定
- 出力先：先程設定したS3バケットとKMSキーを指定
数分するとExport完了するので、View reportからSBOMファイルを確認します。
無事にSBOMファイルが出力されていることを確認できました!
エディタで開いてみると、
- CyclonedX 1.4 SBOM フォーマットでcomponentsやvulnerabilitiesが出力されていました。
- インストールしたNodeJSの情報もcomponents内に記載されていました。