Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@asw_hoggge(Kazuya Asawa)

AWSのInspectorでSBOM Exportしてみた 前編

Last updated at Posted at 2023-10-09

導入

Amazon InspectorによるSBOM出力

スキャン対象の準備

  • SBOMスキャン対象として、ECRにamazonlinux:2023をベースイメージとするDockerイメージを格納しておきます。 
    FROM amazonlinux:2023

# Install Node.js
RUN yum install -y nodejs

S3バケットの設定

  • SBOM出力となるS3バケットを作成し、S3バケットポリシーを設定します。
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "allow-inspector",
			"Effect": "Allow",
			"Principal": {
				"Service": "inspector2.amazonaws.com"
			},
			"Action": [
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:AbortMultipartUpload"
			],
			"Resource": "arn:aws:s3:::バケット名/*",
			"Condition": {
				"StringEquals": {
					"aws:SourceAccount": "アカウントID"
				},
				"ArnLike": {
					"aws:SourceArn": "arn:aws:inspector2:ap-northeast-1:アカウントID:report/*"
				}
			}
		}
	]
}

KMSの設定

  • SBOMファイルの暗号化に必要なKMSのCMKを作成します。
    スクリーンショット 2023-10-09 12.04.18.png
  • キーポリシーに以下ステートメントを追加します。
{
    "Sid": "Allow Amazon Inspector to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "inspector2.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "アカウントID"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:inspector2:ap-northeast-1:アカウントID:report/*"
        }
    }
}

SBOMエクスポート

  • AWSコンソールにログインし、Amazon Inspectorの画面を開きます。

  • 画面左のナビゲーションペインから、Export SBOMsを選択します。

  • フィルターと出力先を設定して、SBOM Exportします。

    • フィルター: ECRの特定リポジトリを指定するように、リポジトリ名 EQUALSを設定
    • 出力先: 先程設定したS3バケットとKMSキーを指定
      スクリーンショット 2023-10-09 12.12.47.png

  • 数分するとExport完了するので、View reportからSBOMファイルを確認します。
    スクリーンショット 2023-10-09 12.20.47.png

  • 無事にSBOMファイルが出力されていることを確認できました!
    スクリーンショット 2023-10-09 12.25.41.png

  • エディタで開いてみると、

    • CyclonedX 1.4 SBOM フォーマットでcomponentsvulnerabilitiesが出力されていました。
    • インストールしたNodeJSの情報もcomponents内に記載されていました。スクリーンショット 2023-10-09 12.29.34.png

(Amazon インスペクターによる SBOM のエクスポートを参照)

最後に

  • 本記事では、Amazon InspectorによるSBOMエクスポート機能を試してみました。
  • 次回はAthenaを用いてSBOMファイルに対する分析を実施したいと思います!

注意事項

  • 本記事は万全を期して作成していますが、お気づきの点がありましたら、ご連絡よろしくお願いします。
  • なお、本記事の内容を利用した結果及び影響について、筆者は一切の責任を負いませんので、予めご了承ください。
3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?