Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

Red Hat Trusted Application Pipeline 1.0 のリリースノート

Red Hat Trusted Application Pipeline 1.0

このリリースの新機能を確認し、既知の問題を学ぶ。

Red Hat Customer Content Services

概要

このドキュメントでは、Red Hat Trusted Application Pipeline 1.0 の最新機能と既知の問題に関する情報を提供します。

はじめに

Red Hat Trusted Application Pipeline のリリースノートには、新機能と機能拡張、主な技術上の変更点、テクノロジープレビューの機能、バグ修正、既知の問題、およびその他の関連するアドバイザリーや情報がまとめられています。

第1章 Red Hat Trusted Application Pipeline について

高度なアプリケーションには、複雑なソフトウェアサプライチェーンがあります。ソフトウェアサプライチェーンが長くなるほど、あらゆる種類の攻撃に対して脆弱になります。Red Hat Trusted Application Pipeline (RHTAP) では、ソフトウェア開発ライフサイクルのすべてのフェーズを保護します。RHTAP は、セキュアな CI/CD を使用してソースコードをビルド、テスト、デプロイ、監視することができ、包括的なセキュリティーツールセットによりソフトウェアサプライチェーン全体を保護します。

RHTAP の主な機能

  • Git ソースコードから組み込みの開発環境にコンテナーイメージを継続的にビルド、テスト、デプロイします。
  • すぐに使用できるテンプレートで、学習とカスタマイズを直ちに開始できます。
  • Java、Python、Node、Go、または npm ベースのアプリケーションをコンテナーイメージにビルドします。
  • セルフサービス開発者ポータルである Red Hat Developer Hub にアクセスできます。
  • Software Bill of Materials (SBOM) を生成、確認、管理します。
  • Tekton Chains を使用して、コンテナーイメージの来歴を暗号的に署名およびアテストします。
  • 40 を超えるルールに照らして、レベル 3 までのコンテナーイメージの SLSA コンプライアンスを検証します。
  • マージリクエストごとに脆弱性をスキャンし、可能な限り早い段階でセキュリティーの脅威を特定して対処します。

対象ユーザー

プラットフォームエンジニア、アプリケーション開発者、またはセキュリティーチームのメンバーが対象者です。Red Hat Trusted Application Pipeline には、社内開発者ポータルをインストール、設定、カスタマイズして、開発ライフサイクル全体のソフトウェアサプライチェーンを保護するために必要なものがすべて揃っています。

仕組み

Red Hat Trusted Application Pipeline (RHTAP) を使用すると、DevSecOps CI/CD プロセス全体を効率し、保護することができます。

最初からセキュアな開発

RHTAP をインストールして設定したら、Red Hat Developer Hub 内から構築済みのセキュアなテンプレートにアクセスします。すぐに使用できる適切なソフトウェアテンプレートを選択し、必要な詳細を入力して、新しいアプリケーションを作成します。これにより、コードリポジトリー (ソースコードと GitOps リポジトリー)、技術ドキュメント、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインなど、必要なものをすべて備えた専用の開発環境が作成されます。

開発ライフサイクル全体にわたるセキュリティースキャン

ソースコードを編集すると、アプリケーション内でパイプライン実行がトリガーされます。このパイプラインにより、すべてのビルドアーティファクトが署名およびアテストされ、信頼性が確認されます。また、コード内の脆弱性がスキャンされ、Software Bill of Materials (SBOM) が自動的に生成されます。この SBOM には、コンテナーイメージに含まれるすべてのコンポーネント、ライブラリー、依存関係の詳細が記載されており、アプリケーションの構成の完全な透明性が確保されます。

確認、改良、リリース

パイプラインにより、特定された脆弱性が提示されるため、脆弱性を確認して修復できます。また、SBOM を確認すると、アプリケーションのコンポーネントをより深く理解できます。アプリケーションは、プロモートのワークフローに応じて、開発環境、ステージング環境、そして最終的に実稼働環境へとプロモートできます。プロモートするたびに、また別のパイプライン実行がトリガーされ、脆弱性のスキャンと Enterprise Contract (EC) の適用が実行されます。EC は、リリース前に、事前に定義された品質およびセキュリティー標準をコンテナーイメージが満たしていることを確認します。イメージがこの基準を満たしていないと、EC は必要な修正内容を示す詳細なレポートを発行します。

RHTAP を使用したこのような効率的なアプローチにより、開発者は開発ライフサイクル全体を通じて最高レベルのセキュリティー標準を維持しながらイノベーションに集中できます。

RHTAP の仕組みをよりよく理解するには、RHTAP をサポートする、または RHTAP によってサポートされるさまざまなコンポーネントとテクノロジーについて説明した次のリストを参照してください。

表1.1 RHTAP のテクノロジーとコンポーネント
コンポーネントとテクノロジー説明

Red Hat Developer Hub

RHDH を使用すると、セキュアなソフトウェア開発に役立つ多数のリソースとツールにアクセスできるため、効率的かつ簡単に RHTAP の使用を開始できます。RHDH は、ベストプラクティスを推奨し、開発プロセスの最初からセキュリティー対策を組み込むことを容易にします。

Red Hat Trusted Artifact Signer

RHTAS は、コードのすべての部分とすべてのアーティファクトが署名およびアテストされていることを確認することで、ソフトウェアインテグリティーを強化します。RHTAS は、すべてのソフトウェアコンポーネントの保護と信頼性を確認するための検証可能な信頼チェーンを提供します。

Red Hat Trusted Profile Analyzer

RHTPA は Software Bill of Materials (SBOM) の作成を自動化します。SBOM は、ソフトウェア製品に含まれるすべてのコンポーネント、ライブラリー、依存関係の詳細なリストを提供するため、ソフトウェアサプライチェーンの透明性とコンプライアンスを維持する上で非常に重要です。RHTPA を使用して SBOM を生成および管理すると、ソフトウェアの設定に関する正確で最新の情報をステークホルダー全員が確実に把握できるようになります。

OpenShift

RHTAP は、コンピュートリソースとして OpenShift Container Platform (OCP) クラスターを使用します。また、OCP は、ワークフローを標準化し、開発ライフサイクル全体のセキュアな管理を容易にするさまざまなサービスを提供するコンソールを備えています。

GitHub

RHTAP は、プルリクエスト (PR) のパイプライン定義に従ってビルドを自動的に開始します。また、チェック API に従って PR テストのフィードバックを表示します。テストが成功したら PR を自動マージするように設定することもできます。

Argo CD

GitOps をベースとした Argo CD は、アプリケーションの定義、設定、環境のバージョンを宣言および制御し、アプリケーションのデプロイとライフサイクル管理を自動化および追跡します。

Tekton ビルドパイプライン

RHTAP を使用してビルドすると、完全な Tekton ビルドパイプラインがリポジトリーに保存されます。

Tekton Chains

RHTAP は、Tekton Chains を使用して、署名されたビルドパイプラインのアテステーションを生成できます。

第2章 互換性およびサポート表

Red Hat Trusted Application Pipeline (RHTAP) は、OpenShift Container Platform にインストールします。

製品バージョン

OpenShift Container Platform

4.15、4.14、4.13

RHTAP は、インストール中に次の製品とコンポーネントをインストールします。

RHTAP とともにインストールされる製品Version

Red Hat Developer Hub

1.1.x

Red Hat Trusted Artifact Signer

1.0.x

Red Hat Trusted Profile Analyzer

1.0.0

OpenShift Pipeline

1.14.x

OpenShift GitOps

1.12.x

また、RHTAP は、ソフトウェアサプライチェーンの保護に役立つ次の製品またはコンポーネントと統合します。

製品Version

Red Hat Advanced Cluster Security

4.3

Quay

3.10

第3章 既知の問題

  • RHTAP SecureSign の既知の問題により、インストールが失敗する場合があります。回復するには、RHTAP (デフォルトでは rhtap) をデプロイした名前空間を削除し、インストーラーを再実行するだけです。2 回目の実行では、インストールは成功するはずです。
  • RHTAP 1.0 は Red Hat Trusted Profile Analyzer (RHTPA) をインストールしません。代わりに、Trustification と呼ばれるアップストリームツールをインストールします。ただし、RHTAP 1.0.2 は、RHTPA をインストールします。
  • GitLab をインストール用に作成する private-values.yaml ファイルで認証プロバイダーとして設定できます。ただし、GitLab が設定されると、サインインオプションとしては表示されません。GitLab のログインは設定ページ <host>/settings/auth-providers でアクセスできますが、そのページにアクセスするには GitHub にサインインする必要があります。
  • pull-request パイプラインが build-container タスクでしばしば失敗し、Access to the requested resource is not authorized というエラーメッセージが表示されます。これを修正するには、コンテナーイメージを Quay.io にプッシュし、パイプラインを再度実行します。

  • アプリケーションのプロモート時に、現在 verify-enterprise-contract タスクが失敗します。ただし、この問題を修正するには、Rekor カスタムリソース (CR) を削除するだけで済みます。その後、新しい Rekor CR が起動しますが、タスクは失敗しなくなりました。以下の方法のいずれかを使用して CR を削除します。

    • コマンドラインで Rekor CR を削除します。

      oc delete rekor -n $<namespace where rhtap is installed> rhtap-securesign

    • OCP コンソールの Admin ビューで、Home タブの Search をクリックします。rhtap 名前空間で "Rekor" を検索し、見つかった CR のインスタンスを削除します。
  • Go または Python ソフトウェアテンプレートから新しいコンテナーイメージを RHTAP ステージ環境にプロモートする場合、verify-enterprise-contract ステップを実行します。このステップにより、No image attestations found matching the given public key というエラーが発生する可能性があります。イメージリポジトリーを公開するには、イメージリポジトリーを手動で更新する必要があります。
  • RHTAP 1.0 は、エアギャップ環境、IBM Power Platform、IBM Z Platform、ARM64、および Federal Information Processing Standards (FIPS) モードの OCP をサポートしていません。
  • RHTAP のアンインストールは現在サポートされていませんが、クラスターからすべての RHTAP 名前空間を削除することで実行できます。





改訂日時: 2024-07-16

法律上の通知

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat