通过 Amazon Inspector 和 QuickSight 增强容器软件供应链可见性,借助 S
  • 22

通过亚马逊Inspector和QuickSight提升容器软件供应链可见性

重点概述

在这篇文章中,我们将揭秘如何利用AWS原生服务 亚马逊Inspector 导出软件物料清单SBOM并通过 亚马逊QuickSight 可视化,提供一个集中查看您组织软件供应链的视图。

软件物料清单SBOM是现代软件开发中的重要工具,能够帮助你追踪易受攻击的软件包,从而快速修复漏洞。由于大多数软件都包含开源组件,保持对这些组件及其版本的追踪变得愈加关键。根据Gartner的报告,到2025年,60的组织预计会在其软件工程实践中要求和标准化SBOMs。

通过 Amazon Inspector 和 QuickSight 增强容器软件供应链可见性,借助 S

接下来我们将逐步探讨如何通过这个解决方案进行SBOM的导出和可视化。

解决方案概述

该解决方案完全无服务器,无需管理任何基础设施,利用了亚马逊Inspector的新功能,可以以CycloneDx和SPDX等常用格式导出组织中受亚马逊Inspector监控的资源的SBOM。

具体工作流如下:

将镜像推送到 亚马逊Elastic Container Registry (Amazon ECR),触发 亚马逊EventBridge 事件。该事件调用 AWS Lambda 函数,启动特定镜像的SBOM生成作业。项目完成后,亚马逊Inspector会将SBOM文件存储到 亚马逊简单存储服务 (Amazon S3) 存储桶中。另一个Lambda函数在新JSON文件存入时被调用,执行数据转换并将新文件上传到新的S3存储桶中。使用 亚马逊Athena 进行初步数据探索。最后,使用 QuickSight 展示SBOM数据。

实施解决方案

接下来,我们将讨论如何实现上述架构。

创建S3存储桶和 AWS KMS 密钥用于存放SBOM。创建一个 亚马逊ECR 存储库来存放容器镜像。部署两个 AWS Lambda 函数来启动SBOM生成和转换过程。配置 亚马逊EventBridge 规则来在镜像推送至ECR后触发Lambda函数。运行 AWS Glue 爬虫以爬取转换后的SBOM S3存储桶。运行 Athena 查询审查SBOM数据。创建QuickSight仪表盘以识别所用的库和软件包。使用QuickSight Q通过自然语言查询识别库和软件包。

部署CloudFormation堆栈

提供的 AWS CloudFormation 模板可创建存放原始SBOM和转换后SBOM所需的S3存储桶,启动和处理SBOM所需的Lambda函数,以及根据特定事件运行Lambda函数的EventBridge规则。

部署CloudFormation堆栈下载 CloudFormation模板。登录AWS账户的CloudFormation服务并选择 创建堆栈。上传之前下载的模板。在 指定堆栈细节 步骤输入堆栈名称。保持 EnvironmentName 的默认值为 sbominspector。指定作为KMS密钥管理员的用户或角色的亚马逊资源名称(ARN)。部署堆栈。

配置亚马逊Inspector

若首次使用亚马逊Inspector,需要激活该服务。在亚马逊Inspector用户指南的 入门 部分遵循步骤激活服务。

SBOM调用与处理的Lambda函数

该解决方案使用两种Python编写的Lambda函数执行调用和数据转换任务。

调用任务:在新的镜像推送到亚马逊ECR时运行。它接收存储库名称和镜像标签,并将其传递到以SPDX格式生成SBOM的createsbomexport函数中,避免生成重复SBOM,保持S3数据体积小。转换任务:在raw S3存储桶中添加新JSON文件时运行,提取图像ARN、账号、软件包、版本、操作系统和SHA等信息并导出到转换后的S3存储桶中。

接下来是采用AWS Glue Data Catalog的步骤,生成SBOM文件。

使用QuickSight可视化数据

亚马逊QuickSight是为云设计的serverless商业智能服务,旨在帮助业务用户识别零日漏洞。

QuickSight的SPICE超级快速、并行、内存计算引擎用于执行高级计算。该解决方案还通过自然语言查询功能,让用户无需SQL知识即可查询数据,进一步提升数据的可视化效果。

准备创建QuickSight仪表盘

为了使用预配置的模板创建QuickSight仪表盘,您将需要以下权限:

AWS CLI 访问权限,以便与QuickSight进行交互。订阅QuickSight Q如打算使用Q功能。QuickSight对亚马逊S3和Athena的权限。创建数据集

在QuickSight中为sbom表和cve表分别创建数据集。创建完成后,合并数据集用于创建仪表盘,简化管理过程。

结论

通过使用 亚马逊Inspector 导出SBOM以改善软件供应链可见性,确保管理流程中遵循最佳实践。这种解决方案使您可视化SBOM数据并通过自然语言进行查询,从而提升安全态势的透明度。同时,该解决方案完全无服务器,无需设置额外的代理或侧车。

如要了解更多关于导出SBOM的信息,请查看 亚马逊Inspector用户指南。

如果您有任何反馈,请在下面的 评论 部分留下您的意见。如有疑问,请联系AWS支持。

Jason Ng

Jason是AWS的云销售中心解决方案架构师,致力于协助东南亚的企业与独立软件供应商ISV客户。他享受帮助客户现代化应用,以推动增长并减少总体拥有成本。

标签 亚马逊Athena、亚马逊ECR、亚马逊EventBridge、亚马逊Inspector、亚马逊QuickSight、亚马逊S3、分析、AWS Glue、AWS Lambda、QuickSight、安全、安全博客

tk加速器安卓