Red Hat Developer Hub 1.2 のリリースノート

Red Hat Developer Hub 1.2

Red Hat Customer Content Services

概要

Red Hat Developer Hub は、開発者ポータルを構築するための開発者プラットフォームです。これは、Red Hat Developer Hub 1.2 のリリースノートに関するドキュメントです。

はじめに

Red Hat Developer Hub (Developer Hub) 1.2 の一般提供 (GA) が開始されました。Developer Hub は、アップストリームの Backstage v1.26.5 の製品版であり、フルサポート対象のエンタープライズグレード製品です。Red Hat Developer Hub アプリケーションは、Red Hat カスタマーポータルまたは Ecosystem Catalog からアクセスしてダウンロードできます。

Red Hat Developer Hub のサポート

このマニュアルに記載されている手順で問題が発生した場合は、Red Hat カスタマーポータルを参照してください。Red Hat カスタマーポータルは次の目的に使用できます。

Red Hat 製品に関する技術サポート記事の Red Hat ナレッジベースの検索または閲覧。
Red Hat Global Support Services (GSS) のサポートケースの作成。サポートケースを作成するには、製品として Red Hat Developer Hub を選択し、適切な製品バージョンを選択してください。

第1章このリリースについて

このリリースノートでは、Red Hat Developer Hub 1.2 に実装されている機能の概要を説明し、このリリースの既知の問題をドキュメント化しています。

このリリース内の一部の機能はテクノロジープレビューとして利用できる場合があり、今後発表予定の製品機能をリリースに先駆けてご提供することにより、お客様は機能性をテストし、開発プロセス中にフィードバックをお寄せいただくことができます。

Red Hat のテクノロジープレビュー機能のサポート範囲の詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

以下は、Red Hat Developer Hub の利点です。

開発者の生産性の向上: 一般的な組織の課題を排除して、シームレスなコラボレーションを可能にし、アプリケーションの作成、開発、デプロイのための明確なガイドラインを提供することにより、生産性が向上します。
統合セルフサービスダッシュボード: Git、CI/CD、SAST/DAST、サプライチェーン、OpenShift/Kubernetes クラスター、JIRA、モニタリング、API、ドキュメントなどのさまざまな側面をカバーする統合ダッシュボードを開発チームに提供します。これらは、150 超のプラグインで容易となっています。これらはすべて、企業のベストプラクティスに沿ってプラットフォームエンジニアリングチームがキュレートしています。
ソフトウェアテンプレートによるベストプラクティス: 新しいアプリケーションの作成、Ansible ジョブの実行、Git での実稼働デプロイメントのための CI/CD パイプラインの確立などの一般的なタスクをエンコードすることで、組織のベストプラクティスを自動化します。
スケーラブルな技術ドキュメント: コードとドキュメントは同じリポジトリーに存在し、独自のドキュメントシステムへの依存を排除します。
新規開発者の効率的なオンボーディング: 新規開発者はすぐに適応し、短期間で生産性を向上させます。
堅牢なエンタープライズロールベースのアクセスコントロール (RBAC) : 管理者がロールを作成し、ユーザーまたはグループをロールに割り当て、アクセス制御を強化するための堅牢なセキュリティーポリシーを実装できるようにします。

第2章新機能

このセクションでは、Red Hat Developer Hub 1.2 の新機能に焦点を当てます。

2.1. Backstage バージョンの更新

Red Hat Developer Hub は、現在アップストリームの Backstage プロジェクト v1.26.5 をベースにしています。

2.2. テレメトリー

この更新により、デフォルトで有効になっているテレメトリーデータ収集機能を使用できるようになります。収集されたデータを分析すると、Red Hat Developer Hub のエクスペリエンスの向上に役立ちます。この機能は必要に応じて無効にできます。詳細は、RHDH でのテレメトリーデータ収集の無効化セクションを参照してください。

2.3. 監査ロギング

管理者は、変更を行ったユーザーの名前とロール、変更が行われた時刻など、アプリケーションの変更に関する詳細を表示できます。監査ログデータは、デフォルトで RBAC プラグインと scaffolder アクションによって収集されます。

管理者は監査ログを使用してカタログデータベースへの変更を表示できるようになりました。カタログデータベース内のデータを追加、削除、または更新する変更を追跡すると、アクションの説明責任と透明性を確保するのに役立ちます。

2.4. RBAC 条件付きポリシー

Red Hat Developer Hub で RBAC 条件付きポリシーを使用できるようになりました。これにより、動的な条件に基づくアクセス制御が可能になります。この条件は、RBAC プラグインによって管理される Developer Hub リソースのコンテンツフィルターとして機能します。

Keycloak プラグインおよび Quay Actions プラグインの条件付きポリシーを指定できます。また、RBAC 制御がないコンポーネントのセキュリティー要件を見直すことを検討してください。

詳細は、Red Hat Developer Hub のロールベースアクセス制御 (RBAC) を参照してください。

2.5. OCM および Topology プラグインの RBAC 権限

OCM および Topology プラグインの基本権限が Red Hat Developer Hub に追加されました。RBAC 制御がないコンポーネントのセキュリティー要件を見直すことを検討してください。

2.6. 企業プロキシーのサポート

この更新により、HTTP_PROXY または HTTPS_PROXY 環境変数を設定することで、RHDH アプリケーションを企業プロキシーの背後で実行できるようになります。また、NO_PROXY 環境変数を設定して、特定のドメインをプロキシーから除外することもできます。詳細は、企業プロキシーの背後で RHDH アプリケーションを実行するセクションを参照してください。

2.7. 外部 PostgreSQL データベースのサポート

この更新により、Red Hat Developer Hub で外部 PostgreSQL データベースを設定して使用できるようになります。ニーズに応じて、PostgreSQL 証明書ファイルを使用して、Operator または Helm チャートで外部 PostgreSQL インスタンスを設定できます。詳細は、外部 PostgreSQL データベースの設定セクションを参照してください。

Azure Red Hat OpenShift (ARO) クラスター、サポートされているクラウドプロバイダーのクラスター、または適切に設定された独自のクラスターなどの Kubernetes クラスターで、Transport Layer Security (TLS) 接続を使用して RHDH インスタンスを設定できます。詳細は、Kubernetes での TLS 接続を使用した RHDH インスタンスの設定を参照してください。

2.8. Red Hat Developer Hub 1.2 に含まれる新しいプラグイン

Red Hat Developer Hub 1.2 には、次の追加プラグインが含まれています。

HTTP リクエストアクション - @roadiehq/scaffolder-backend-module-http-request
scaffolder-backend の Microsoft Azure リポジトリーアクション - @parfuemerie-douglas/scaffolder-backend-module-azure-repositories
GitLab 組織データ用のカタログバックエンドモジュール - @backstage/plugin-catalog-backend-module-gitlab-org
scaffolder リレーションカタログプロセッサー用のカタログバックエンドモジュール - @janus-idp/backstage-plugin-catalog-backend-module-scaffolder-relation-processor
2 つ目の ArgoCD フロントエンドプラグイン - @janus-idp/backstage-plugin-argocd

サポートされている動的プラグインの包括的なリストは、事前にインストール済みの動的プラグインを参照してください。

2.9. Red Hat Developer Hub のテーマ更新

この更新により、テーマ設定が強化され、さまざまな UI コンポーネントのルックアンドフィールが変更されました。その結果、テーマが、Red Hat アプリケーションの設計で通常使用されるテーマに似たものになりました。RHDH ページで使用される背景色やフォントの変更以外に、ボタン、タブ、サイドバー、カード、テーブルなどのさまざまな UI コンポーネントが変更されていることに気づくはずです。

app-config.yaml ファイルを更新して、複数の Developer Hub テーマコンポーネントの外観を変更し、カスタマイズを強化できます。

2.10. `scaffolderFieldExtensions` 設定オプション

動的プラグインのフロントエンド設定で scaffolderFieldExtensions 設定オプションを使用できるようになりました。scaffolderFieldExtensions オプションを使用すると、動的プラグインで、scaffolder プラグインに提供される 1 つ以上のエクスポートされたコンポーネントをフィールド拡張として指定できます。この scaffolder フィールド拡張は、ソフトウェアテンプレートウィザードのカスタムフォームフィールドコンポーネントを提供します。

2.11. ConfigMap または Secret 設定の強化

以前のバージョンでは、Backstage.spec.Application で指定された ConfigMap または Secret を更新するには、Pod を再作成して変更を適用する必要がありました。バージョン 1.2 以降、このプロセスが自動化されました。

2.12. ラーニングパスを設定する機能

Developer Hub でラーニングパスを設定して、特定の学習ニーズに合わせた動的なエクスペリエンスを作成できるようになりました。

2.13. Red Hat Developer Hub 1.2.2 でのプラグインバージョンのアップグレード

Red Hat Developer Hub 1.2.2 では、プラグインバージョンが次のようにアップグレードされました。

プラグイン	1.2.0 のバージョン	1.2.2 のバージョン
`@janus-idp/backstage-plugin-3scale-backend`	1.5.13	1.5.15
`@janus-idp/backstage-plugin-aap-backend`	1.6.13	1.6.15
`@janus-idp/backstage-plugin-acr`	1.4.11	1.4.13
`@janus-idp/backstage-plugin-analytics-provider-segment`	1.4.7	1.4.9
`@janus-idp/backstage-plugin-argocd`	1.1.6	1.2.3
`@janus-idp/backstage-plugin-jfrog-artifactory`	1.4.9	1.4.11
`@janus-idp/backstage-plugin-keycloak-backend`	1.9.10	1.9.12
`@janus-idp/backstage-plugin-nexus-repository-manager`	1.6.8	1.6.10
`@janus-idp/backstage-plugin-ocm`	4.1.6	4.1.8
`@janus-idp/backstage-plugin-ocm-backend`	4.0.6	4.0.8
`@janus-idp/backstage-plugin-quay`	1.7.6	1.7.8
`@janus-idp/backstage-scaffolder-backend-module-quay`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-rbac`	1.20.11	1.23.2
`@janus-idp/backstage-scaffolder-backend-module-regex`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-catalog-backend-module-scaffolder-relation-processor`	1.0.1	1.0.3
`@janus-idp/backstage-scaffolder-backend-module-servicenow`	1.4.12	1.4.14
`@janus-idp/backstage-scaffolder-backend-module-sonarqube`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-tekton`	3.7.5	3.7.7
`@janus-idp/backstage-plugin-topology`	1.21.7	1.21.10
`@janus-idp/backstage-plugin-rbac`	1.23.2	1.24.1

第3章互換性を失わせる変更点

このセクションでは、Red Hat Developer Hub 1.2 の重大な変更点をリストします。

3.1. ゲスト認証を明示的に有効にする必要性

Red Hat Developer Hub の以前のバージョンでは、ゲスト認証はデフォルトで有効になっていました。Developer Hub 1.2 以降では、ゲスト認証はデフォルトで無効になっており、使用するには明示的に有効にする必要があります。

ゲストのログインは、明示的に有効にする必要がある特別な認証プロバイダーによって提供されます。この認証プロバイダーは、開発目的でのみ 使用してください。実稼働環境での使用は想定されていません。Developer Hub インスタンスへのユーザーレベルのアクセス権を持つデフォルトユーザーが作成されるためです。

次のようにして、app-config-rhdh ConfigMap でゲスト認証プロバイダーを有効にできます。

auth:
  providers:
    guest:
      dangerouslyAllowOutsideDevelopment: true

auth:
  providers:
    guest:
      dangerouslyAllowOutsideDevelopment: true

Copy to Clipboard

3.2. さまざまなソースからの検証権限ポリシーの改善

このリリースの Developer Hub は、ユーザーによる最初のロールの定義方法に基づいて、権限ポリシーとロールのソースをより厳密に検証します。

この更新により、権限ポリシーとロールのさまざまなソースの検証が改善され、より一貫性のあるポリシー定義が実現します。新しいメンバーを含む権限ポリシーまたはロールが元のロールのソースと一致しなかった場合、Developer Hub によって権限の更新が防止されます。ソースには、'REST、'CSV'、'Configuration'、'legacy' があります。

Red Hat Developer Hub アプリケーションを更新する前に、ユーザーは各自のロールに基づいて、すべての権限ポリシーとロールを 1 つのソースに移行する必要があります。これは、GET ロールエンドポイントを使用してソース情報を確認し、権限データベースのロールメタデータテーブルをクエリーすることで実行できます。権限ポリシーを更新するには、REST API、CSV ファイル、データベースのいずれかを使用します。

第4章テクノロジープレビュー

このセクションでは、Red Hat Developer Hub 1.2 のテクノロジープレビューにある機能をリストします。

重要

この章の機能はテクノロジープレビュー機能です。テクノロジープレビュー機能は、実稼働環境での Red Hat サービスレベルアグリーメント (SLA) ではサポートされておらず、機能的に完全ではない可能性があるため、Red Hat では実稼働環境での使用を推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポートの詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

4.1. Red Hat Developer Hub で利用可能なプラグイン

Red Hat Developer Hub には、さまざまな動的プラグインが組み込まれています。Red Hat は特定のプラグインを完全にサポートしていますが、その他のプラグインはコミュニティーによってサポートされているプロジェクトになります。一部のプラグインはデフォルトで有効になっていますが、その他のプラグインは設定が必要なため、デフォルトで無効になっています。

サポートされている動的プラグインの包括的なリストを確認するには、Red Hat Developer Hub でのプラグインの設定 ガイドの事前にインストール済みの動的プラグインセクションを参照してください。

第5章既知の問題

このセクションには、Red Hat Developer Hub 1.2 の既知の問題が記載されています。

非推奨の警告: The backend.auth.keys config has been replaced by backend.auth.externalAccess

バックエンドのサービス間認証が変更されたため、upstream.backstage.appConfig で設定された backend.auth.keys フィールドを使用するようにデプロイメントを設定した場合は、非推奨の警告が表示されます。この警告は現時点では無害であり、対処は必要ありません。

IP アドレスがアプリケーションログに表示されることがある

プロキシーなしで Developer Hub をデプロイすると、監査ログに IP アドレスが表示されることがある組織のセキュリティーポリシーによって IP アドレスの保持が制限されている場合は、次のいずれかまたは両方の対処法を実行できます。

収集された IP アドレスを削除します。
Developer Hub の手前にリバースプロキシーを設定して、IP アドレスの収集を防止します。

Developer Hub 1.2 へのアップグレード後にカタログまたはソフトウェアテンプレートに項目が表示されない

Developer Hub 1.2 にアップグレードした後、ユーザーポリシーが自動的に移行または更新されず、カタログまたはソフトウェアテンプレートに項目が表示されなくなります。

この問題を解決するには、バージョン 1.2 にアップグレードした後、ユーザーが Developer Hub RBAC システムページで必要なポリシーを追加する必要があります。

ロールバックがサポートされていない

Helm または Operator を使用して Developer Hub をデプロイした場合、以前のバージョンにロールバックできません。Developer Hub PostgreSQL データベースのバックアップを定期的に実行すると、問題が発生した場合にアプリケーションを最新の状態に復元できます。Developer Hub の今後のバージョンでは、既存のバックアップからロールバックを実行する方法に関するガイダンスを提供する予定です。

第6章 Red Hat Developer Hub 1.2 で修正された問題

6.1. Red Hat Developer Hub 1.2.2 で修正された問題

このセクションには、Red Hat Developer Hub 1.2.2 で修正された問題が記載されています。

ConfigMap 内のファイル名が無効な場合、動的プラグインのロードに失敗する: 以前は、ConfigMap 内の動的プラグインファイル名が無効な場合、Backstage CR の作成が妨げられていました。このリリースで、プラグインファイル名が無効であっても Backstage CR を作成できるようになり、Developer Hub のビルドが失敗した場合に関連するログメッセージが表示されます。
RBAC Administration UI の権限テーブルにプラグイン ID が表示されない: 以前は、Administration → RBAC からアクセスした UI の権限テーブルにプラグイン ID が表示されませんでした。このリリースで、RBAC バックエンドプラグインとフロントエンドプラグインの両方が更新され、プラグイン ID がテーブルに表示されるようになりました。
Helm チャートベースのワークフローの Git 情報が、ArgoCD プラグインの UI に表示されなくなる: 以前は、ArgoCD プラグインの UI に、Git ベースでないワークフローも含め、すべてのワークフローの Git 情報が表示されていました。このリリースで、ArgoCD プラグインの UI に、関連するワークフローの Git 情報のみが表示され、適切な情報だけが表示されるようになりました。

6.2. Red Hat Developer Hub 1.2 で修正された問題

このセクションでは、Red Hat Developer Hub 1.2 で修正された問題をリスト表示します。

Backstage 1.25 に更新した後、動的プラグインがロードされない

Backstage 1.25 で導入されたアップストリームセキュリティー修正により、動的プラグインによって使用される静的アセットを含め、すべてのバックエンドエンドポイントに認証トークンが必要になりました。

この修正の結果、ユーザーは動的プラグインの UI 要素にアクセスできなくなり、ユーザーエクスペリエンスが低下し、アプリケーション内の機能が低下しました。

このリリースで、動的プラグインの静的アセットに対するセキュリティー要件が削除されました。これにより、動的プラグインの UI 要素へのアクセスが復元されました。

この修正により、ユーザーは動的プラグインの UI 要素を表示および操作できるようになったため、アプリケーション内のユーザビリティーと機能が向上しました。

scaffolder-action リソースタイプに条件を追加すると API がエラーを出力する

Red Hat Developer Hub の以前のバージョンでは、ポリシーアクションの use を使用して条件付きポリシーを定義すると、エラーが発生していました。

この問題により、条件付きポリシーの定義が困難になり、アプリケーション内での権限の設定が妨げられていました。

この修正により、Developer Hub で use の権限ポリシーアクションを使用して条件付きポリシーを定義できるようになりました。

OpenShift で Developer Hub Operator を使用するときにカスタムルートの設定が機能しない

Red Hat Developer Hub Operator の以前のバージョンでは、カスタムリソースの spec.application.route.host フィールドを使用して OpenShift Container Platform にカスタムルートホストを設定することができませんでした。

この制限により、ユーザーがカスタムルートホストを設定できず、デプロイメント環境をカスタマイズする機能が制限されていました。

このリリースで、カスタムリソースの指定フィールドを使用して、OpenShift Container Platform でカスタムルートホストを設定できるようになりました。

名前に '.' を含む Secret/ConfigMap をマウントする

Red Hat Developer Hub Operator の以前のバージョンでは、ConfigMap または Secret オブジェクトの名前にドット (.) 文字が含まれている場合、カスタムリソースでそのオブジェクトを参照することができませんでした。

この問題により、Red Hat Developer Hub インスタンスが正しく起動しませんでした。

今回の更新で、この問題は修正されています。

Developer Hub Operator を 1.1 から 1.2 にアップグレードすると、既存のインスタンスが新しい空のデータベースを使用するようになる

以前は、すでに実行中の Operator ベースの Developer Hub インスタンスを使用して、Red Hat Developer Hub Operator をバージョン 1.1 から 1.2 にアップグレードすると、そのインスタンスが、新しい空のローカルデータベース Pod とボリュームを使用するように設定されていました。

既存のデータベースデータは保持されましたが、この誤った設定により、既存の Developer Hub インスタンスが新しい空のローカルデータベース Pod とボリュームを使用するようになり、データの冗長性と潜在的なデータ不整合の問題が発生していました。

この更新により、Operator を新しいバージョンにアップグレードしても、既存の Developer Hub インスタンスが既存のローカルデータベースを引き続き使用できるようになりました。

Operator を使用すると UI Pod が 'Pending' のままになる

Red Hat Developer Hub の以前のバージョンでは、Developer Hub Operator によって作成される Developer Hub Pod が、リソース要求が不足しているため、一部のクラスターでスケジュールされない可能性がありました。

この問題により、Pod を適切にスケジュールできなかったため、Developer Hub アプリケーションを使用できませんでした。

この更新により、Operator のデフォルト設定に CPU およびメモリー要求が追加され、Developer Hub Pod に必要なリソース要求が指定されるようになりました。

この修正により、Developer Hub Pod をすべてのクラスターで適切にスケジュールして起動できるようになり、Red Hat Developer Hub アプリケーションの可用性が確保されるようになりました。

データベースのカスタムリソースでイメージプルシークレットの指定が可能になる

Red Hat Developer Hub Operator の以前のバージョンでは、registry.redhat.io などのリポジトリーからコンテナーイメージをプルするためにイメージプルシークレットを指定しても、データベースイメージには適用されませんでした。この制限により、Amazon EKS や Azure AKS などの Kubernetes クラスターに Developer Hub をデプロイするときに、registry.redhat.io のデータベースイメージを使用できませんでした。

その結果、ユーザーが registry.redhat.io からデータベースイメージを Kubernetes クラスターにデプロイすることができず、デプロイの柔軟性と互換性が限られていました。

この更新により、spec.application.imagePullSecrets カスタムリソースフィールドで指定されたイメージプルシークレットを伝播することで、問題が修正されました。イメージプルシークレットを Developer Hub とデータベースイメージの両方で使用できるようになりました。

この修正により、ユーザーが Developer Hub とデータベースイメージの両方に対してイメージプルシークレットを正常に使用できるようになりました。その結果、Amazon EKS や Azure AKS などの Kubernetes クラスターで、registry.redhat.io などのリポジトリーからのデプロイが可能になりました。これにより、さまざまな環境でのデプロイの柔軟性と互換性が向上しました。

RBAC プラグインが無効になっていても RBAC タブが表示される

以前のバージョンの Red Hat Developer Hub では、ロールベースアクセス制御 (RBAC) プラグインが無効になっていても、RBAC タブが表示されたままでした。

この更新により、RBAC プラグインが無効になっているときに RBAC タブが表示されなくなりました。

この修正により、RBAC プラグインが無効になっているときに RBAC タブが表示されなくなり、ユーザーインターフェイスがよりクリーンで直感的になりました。

編集フォームに、以前に作成した単純な権限ポリシーの Configure Access ボタンが表示されるようになる

以前のバージョンでは、ユーザーが単純な権限ポリシーを作成してから、後でロールを編集するために戻ると、Configure Access ボタンが表示されませんでした。

その結果、単純な権限ポリシーで作成したロールに条件付き権限ポリシーを追加できず、アクセス制御を更新および調整する機能が限られていました。

このリリースで、ロールのフォームが更新され、条件をサポートするプラグインおよびリソースタイプに対して以前に作成した単純な権限ポリシーの Configure Access ボタンが表示されるようになりました。この修正により、ユーザーが新しい条件付きポリシーを追加して保存できるようになりました。

競合する条件アクションセット

以前のバージョンでは、Condition API が、競合するアクションセットを持つ複数の条件を保存することを許していました。

この問題により、権限処理に不整合と競合が生じ、アプリケーションで予期しない動作が発生する可能性がありました。

このリリースで、競合するアクションセットを持つ複数の条件が保存されないように、Condition API が更新されました。

RBAC バックエンド管理メタデータとポリシーの削除

以前は、管理者が設定から削除されても、関連付けられている管理者メタデータとポリシーが自動的に削除されませんでした。

この問題により、古い管理メタデータとポリシーがアプリケーション内に残っていました。

このリリースで、管理者がアプリケーション設定から削除されると、管理者のメタデータとポリシーも削除されるようになりました。

Operator を 1.1.x から 1.2.x にアップグレードした後、既存の Backstage オペランドがアップグレードされない

以前のバージョンでは、Developer Hub Operator のアップグレードプロセスに問題があり、Developer Hub Operator 自体がアップグレードされたときに、Operator ベースの Developer Hub インスタンスがシームレスにアップグレードされませんでした。この問題の原因は、Operator が既存の Developer Hub カスタムリソースを調整しようとしたときに、Kubernetes または OpenShift Container Platform によって制限されているか読み取り専用になっている特定のフィールドに、パッチを適用することが拒否されることでした。

この問題により、アップグレード中に目的の状態に到達できませんでした。

この更新により、Operator がリファクタリングされ、パッチを適用できない場合にオブジェクトを強制的に置き換えることで、この問題を解決できるようになりました。ただし、既知の問題として、アップグレード後に、Developer Hub Operator によって管理される基盤となるリソースのカスタムラベルまたはアノテーションを、ユーザーが再作成する必要がある場合があります。

Janus IDP Backstage Plugin OCM Backend Dynamic でクラスターリソースを表示できない

以前のバージョンでは、OpenShift Cluster Manager (OCM) プラグインの Readme ファイルに、Kubernetes クラスターで OCM を設定する方法に関する情報がありませんでした。

この情報が不足していたため、ユーザーが OCM プラグインを設定できず、クラスターを取得できませんでした。その結果、プラグインでクラスターを表示できませんでした。

このリリースで、Readme ファイルが更新され、Kubernetes クラスターで OCM を設定するためのリンクが追加されました。また、RBAC 権限フレームワークが有効になっている場合に OCM バックエンドプラグインへのアクセスを有効にするための手順も記載されました。

これらの更新により、ユーザーが OCM プラグインを適切に設定して、OCM フロントエンドでクラスターを取得して表示できるようになり、プラグインが意図したとおりに動作するようになりました。

RBAC: カタログエンティティーを取得できず、リクエストが 403 Forbidden で失敗する

Backstage の最近の更新により、サービス間認証を使用するプラグインを更新して、新しい httpAuth および auth サービスを使用することが必要になりました。

このプラグインを更新しないと、RBAC バックエンドプラグインが他のプラグインから情報をクエリーできませんでした。この更新により、RBAC バックエンドプラグインが変更され、サービス間認証に新しい httpAuth および auth サービスが使用されるようになりました。

この修正により、RBAC バックエンドプラグインが、他のプラグインから情報を問題なく正常にクエリーできるようになりました。

水平方向にスケーリングすると RBAC ロールデータが同期しなくなる

以前は、Developer Hub インスタンスをスケーリングすると、メモリー内キャッシュがインスタンス間で共有されないため、ロールデータが同期されませんでした。

この問題により、各インスタンス間でロールデータに不整合が生じました。

この修正により、Developer Hub インスタンスをスケーリングしても、ロールデータが同期されなくなることがなくなりました。

Gitlab 組織の同期が機能しない

Gitlab プラグインの最近の更新により、組織プロバイダーデータの同期が失敗するようになりました。

このリリースで、Gitlab 組織プロバイダーを公開する Gitlab プラグインのラッパーが組み込まれたことにより、この問題が修正されました。

Helm デプロイメントで空の白い画面が表示され、静的コンテンツのロード時に 404 エラーが発生する

アップストリームの Helm チャートに対する最近の変更により、静的リソースのデプロイが誤って妨げられていました。

この問題は、Developer Hub 1.2.1 の Helm チャートのリリースにより修正されました。

6.3. 修正されたセキュリティーの問題

6.3.1. Red Hat Developer Hub 1.2.6 のセキュリティー問題の修正

6.3.1.1. Red Hat Developer Hub の依存関係の更新

CVE-2023-28617: Node.js WebSocket ライブラリー(ws)に欠陥が見つかりました。server.maxHeadersCount のしきい値を超える複数のヘッダーを持つリクエストを使用して ws サーバーをクラッシュでき、サービス拒否(DoS)が発生します。
CVE-2023-28617: 送信ライブラリーに欠陥が見つかりました。この脆弱性により、SendStream.redirect （）関数に渡される信頼できない入力によるリモートコードの実行が可能になります。
CVE-2023-28617: serve-static に欠陥が見つかりました。この問題により、サニタイズされたがまだ信頼できないユーザー入力を redirect （）に渡すことで、信頼できないコードを実行できる可能性があります。
CVE-2023-28617: ボディーパーサーに欠陥が見つかりました。この脆弱性により、URL エンコーディングが有効な場合に特別に細工されたペイロード経由のサービス拒否が発生します。

6.3.2. Red Hat Developer Hub 1.2.3 で修正されたセキュリティーの問題

6.3.2.1. Red Hat Developer Hub の依存関係の更新

CVE-2023-28617: dset パッケージに欠陥が見つかりました。このパッケージの影響を受けるバージョンは、ユーザーの入力が不適切なサニタイズが原因で、dset 機能を介したプロトタイプポーリングに対して脆弱です。この脆弱性により、攻撃者は、組み込みの Object プロパティー proto を使用して、悪意のあるオブジェクトプロパティーを挿入できます。これは、プログラム内のすべてのオブジェクトに再帰的に割り当てられます。
CVE-2023-28617: http-proxy-middleware パッケージに欠陥が見つかりました。このパッケージの影響を受けるバージョンは、micromatch によって出力される UnhandledPromiseRejection エラーにより、サービス拒否(DoS)に対して脆弱です。この欠陥により、攻撃者は Node.js プロセスを強制終了し、特定のパスを要求してサーバーをクラッシュさせることができます。
CVE-2023-28617: 7.0.5 より前に生成されるパッケージのバージョンは、不適切な入力サニタイズにより、正規表現によるサービス拒否(ReDoS)に対して脆弱です。攻撃者は、非常に大きく細工された文字列を作成することにより、CPU 使用率を増やし、プログラムをクラッシュできます。
CVE-2024-24791: Go に不具合が見つかりました。net/http モジュールは、HTTP/1.1 クライアントリクエストからの特定のサーバー応答を誤って処理します。この問題により、接続が無効になり、サービス拒否が発生する可能性があります。
CVE-2023-28617: Node.js WebSocket ライブラリー(ws)に欠陥が見つかりました。server.maxHeadersCount のしきい値を超える複数のヘッダーを持つリクエストを使用して ws サーバーをクラッシュでき、サービス拒否(DoS)が発生します。
CVE-2024-39249: 非同期 Node.js パッケージに不具合が見つかりました。正規表現サービス拒否 (ReDoS) 攻撃は、特別に細工された入力を解析する際に、autoinject 関数を通じて引き起こされる可能性があります。
CVE-2023-28617: 送信ライブラリーに欠陥が見つかりました。この脆弱性により、SendStream.redirect （）関数に渡される信頼できない入力によるリモートコードの実行が可能になります。
CVE-2023-28617: serve-static に欠陥が見つかりました。この問題により、サニタイズされたがまだ信頼できないユーザー入力を redirect （）に渡すことで、信頼できないコードを実行できる可能性があります。
CVE-2023-28617: ボディーパーサーに欠陥が見つかりました。この脆弱性により、URL エンコーディングが有効な場合に特別に細工されたペイロード経由のサービス拒否が発生します。
CVE-2023-28617: Elliptic パッケージに欠陥が見つかりました。この脆弱性により、攻撃者は、署名の S （）コンポーネントが負ではないか曲線順序よりも小さいかどうかを適切にチェックされない、署名値の不適切な処理により EDDSA 署名の検証をバイパスできます。

6.3.2.2. RHEL 9 プラットフォーム RPM の更新

CVE-2024-6119: OpenSSL に不具合が見つかりました。証明書名のチェックを実行するアプリケーション (サーバー証明書をチェックする TLS クライアントなど) は、無効なメモリーアドレスを読み取ろうとし、アプリケーションプロセスが異常終了する可能性があります。
CVE-2023-28617: Python 言語を使用するメールモジュールに脆弱性が見つかりました。電子メールモジュールは、電子メールヘッダーに新しい行を引用しません。この欠陥により、攻撃者は、非表示の電子メールの宛先を追加できる電子メールヘッダーを注入したり、データの機密性や整合性に影響を与えるコンテンツをメールに挿入したりできます。
CVE-2024-37370: 攻撃者がプレーンテキストの Extra Count フィールドを変更できる MIT Kerberos 5 GSS krb5 ラップトークンの脆弱性が見つかりました。これにより、ラップされていないトークンがアプリケーションへの切り捨てられ、認証トークンの不適切な処理につながる際に生じます。
CVE-2024-37371: 攻撃者がプレーンテキストの Extra Count フィールドを変更できる MIT Kerberos 5 GSS krb5 ラップトークンの脆弱性が見つかりました。これにより、ラップされていないトークンがアプリケーションへの切り捨てられ、認証トークンの不適切な処理につながる際に生じます。
CVE-2024-39331: Emacs に不具合が見つかりました。Org モードファイルが開かれているとき、または Org モードが有効になっているときに、Emacs がメールクライアントとして使用されている場合、プロンプトが表示されずに任意のシェルコマンドを実行できます。この問題は、メールの添付ファイルをプレビューするときに発生する可能性があります。
CVE-2024-45490: libexpat の xmlparse.c コンポーネントに不具合が見つかりました。この脆弱性により、攻撃者は XML_ParseBuffer 関数に負の長さの値を提供することで、XML データの不適切な処理を引き起こす可能性があります。
CVE-2024-45491: xmlparse.c の libexpat の内部 dtdCopy 関数に問題が見つかりました。UINT_MAX が SIZE_MAX に等しい 32 ビットプラットフォームで nDefaultAtts の整数オーバーフローが発生する可能性があります。
CVE-2024-45492: xmlparse.c の libexpat の内部 nextScaffoldPart 関数に不具合が見つかりました。UINT_MAX が SIZE_MAX に等しい 32 ビットプラットフォームでは、m_groupSize の整数オーバーフローが発生する可能性があります。

6.3.3. Red Hat Developer Hub 1.2.3 で修正されたセキュリティーの問題

このセクションには、Red Hat Developer Hub 1.2.3 で修正されたセキュリティーの問題が記載されています。

CVE-2024-41818: currency.js スクリプトの fast-xml-parser に正規表現サービス拒否 (ReDoS) の脆弱性が見つかりました。特別に細工された正規表現入力を送信することにより、リモートの攻撃者がサービス拒否状態を引き起こす可能性があります。この脆弱性は 4.4.1 で修正されています。
CVE-2024-37891: Python 用の HTTP クライアントライブラリーである urllib3 に不具合が見つかりました。特定の設定では、urllib3 は Proxy-Authorization HTTP ヘッダーを認証情報を含めたヘッダーとして処理しません。この問題が原因で、cross-origin リダイレクトでヘッダーが削除されなくなります。この脆弱性は 2.2.2 で修正されています。
CVE-2024-39338: Axios 1.7.2 では、相対パス URL のリクエストがプロトコル相対 URL として処理されるという予期しない動作が原因で SSRF が許可されます。この脆弱性は 1.7.4 で修正されています。

6.3.4. Red Hat Developer Hub 1.2.2 で修正されたセキュリティーの問題

このセクションには、Red Hat Developer Hub 1.2.2 で修正されたセキュリティーの問題が記載されています。

CVE-2024-28863: ISAACS の node-tar に不具合が見つかりました。フォルダー数の検証が不足しているため、サービス拒否攻撃に対して脆弱です。この脆弱性は、.tar ファイルを解析する際にアプリケーションが内部リソースの消費を適切に制御しないために発生します。リモートの攻撃者が、悪用目的で作成したリクエストを送信することにより、リソース枯渇を引き起こし、サービス拒否 (DoS) 攻撃を実行する可能性があります。

6.3.5. Red Hat Developer Hub 1.2 で修正されたセキュリティーの問題

このセクションには、Red Hat Developer Hub 1.2 で修正されたセキュリティーの問題が記載されています。

CVE-2023-6597: python3/cpython3 の tempfile.TemporaryDirectory クラスに不具合が見つかりました。このクラスは、権限関連のエラー発生時にシンボリックリンクを逆参照する可能性があります。そのため、特権プログラムを実行するユーザーが、シンボリックリンクによって参照されるファイルの権限を変更できます。
CVE-2024-0450: Python/CPython の 'zipfile' に、zip 爆弾タイプの攻撃を可能にする不具合が見つかりました。攻撃者が zip 形式ファイルを作成し、処理時にサービス拒否を引き起こす可能性があります。
CVE-2024-35195: リクエストに、不適切な制御フロー実装による脆弱性が見つかりました。セッションの最初のリクエストが verify=False を使用して行われた場合、同じホストへの後続のすべてのリクエストで証明書の検証が無視されます。
CVE-2024-27307: JSONata 変換 Operator を悪用して、オブジェクトのコンストラクターとプロトタイプのプロパティーをオーバーライドできる脆弱性が見つかりました。これにより、ユーザー提供の JSONata 式を評価するアプリケーションで、サービス拒否、リモートコード実行、またはその他の予期しない動作が発生する可能性があります。
CVE-2024-34064: jinja2 に不具合が見つかりました。xmlattr filter が属性以外の文字を含むキーを受け入れるXML/HTML 属性にはスペース、/、>、= を含めることはできません。いずれも別の属性の先頭として解釈されるためです。アプリケーションがユーザー入力として (値だけではなく) キーを受け入れ、他のユーザーにも表示されるページにそのキーをレンダリングする場合、攻撃者が他の属性を注入してクロスサイトスクリプティング (XSS) を実行する可能性があります。
CVE-2023-45288: Go プログラミング言語での HTTP/2 プロトコルの実装に脆弱性が発見されました。単一のストリーム内で送信される CONTINUATION フレームの数に対する制限が不十分でした。攻撃者がこれを悪用してサービス拒否 (DoS) 攻撃を引き起こす可能性があります。
CVE-2024-27316: Apache httpd の HTTP/2 プロトコル実装方法に脆弱性が見つかりました。単一のストリーム内で送信できる CONTINUATION フレームの数に対する制限が不十分です。この問題により、認証されていないリモート攻撃者が脆弱なサーバーにパケットを送信し、メモリーリソースを消費して DoS を引き起こす可能性があります。

法律上の通知

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.