リリースノート

Enterprise Contract は、コンテナーイメージの複数のアーキテクチャータイプの検査をサポートします。

このリリースでは、Enterprise Contract (EC) は、コンテナーイメージの複数のアーキテクチャータイプに対するアーティファクト検証とポリシー適用をサポートするようになりました。ec validate image コマンドは、イメージインデックスからさまざまなシステムアーキテクチャーの個々のコンテナーイメージを検査できます。

コマンドライン引数を使用したルールデータの追加

このリリースでは、ec validate image コマンドに --extra-rule-data 引数を使用して、コマンドラインで追加のルールデータを挿入できます。たとえば、これを使用してポリシーに影響を与え、リリースパイプラインの動作を継続的インテグレーションおよび継続的デリバリー (CICD) パイプラインの動作と異なるようにすることができます。

コンテナーイメージを検証する際の Enterprise Contract の新しいレポート形式

このリリースでは、ec validate image コマンドで新しいレポート形式を生成できるようになりました。ec validate image コマンドで --output text 引数を使用すると、新しいユーザーフレンドリーな出力形式を生成できます。この新しいレポート形式では、違反と警告に関する詳細のみが提供されます。追加の詳細を表示するには、JSON または YAML 形式を使用します。

OpenShift 4.16 および 4.17 のサポート

このリリースでは、OpenShift Container Platform 4.16 および 4.17 で実行しているる Trusted Artifact Signer サービスのサポートが追加されました。お客様は、現在サポートされている OpenShift Container Platform のリリースに OperatorHub から RHTAS Operator をインストールできます。

確認ページの自動終了

このリリースでは、gitsign バイナリーをバージョン 0.10.2 に更新しました。このバージョンでは、Sigstore 確認ページの自動終了機能が有効になります。認証が成功すると、確認ページは 10 秒後に閉じます。

同じ OpenShift クラスター上の異なる namespace に Trusted Artifact Signer をインストールする

このリリースでは、同じ OpenShift クラスター上の異なる namespace に RHTAS サービスをインストールできるようになりました。

アップグレード用の新しいリリースチャネル

このリリースでは、ユーザーがサブスクライブできる stable-v1.0 チャネルが追加されました。このチャネルに登録すると、ユーザーは 1.0.x リリースラインにのみ自動的にアップグレードされます。今後のマイナーリリースにおける最新の更新をすべて受け取るには、stable チャネルをサブスクライブしてください。また、今回のリリースでは alpha チャネルが削除されました。

Trillian のモニタリング

このリリースでは、Trillian サーバーの監視を有効にできます。監視を有効にするには、trillian スタンザの下に monitoring スタンザを追加し、Securesign インスタンスの enabled を true に設定します。以下に例を示します。

証明書の透明性ログのモニタリング

このリリースでは、証明書の透明性ログ (CTlog) サーバーのモニタリングを有効にできます。監視を有効にするには、ctlog スタンザの下に monitoring スタンザを追加し、Securesign インスタンスの enabled を true に設定します。以下に例を示します。

セグメントバックアップジョブの改善

このリリースでは、Trusted Artifact Signer サービスのセグメントバックアップジョブにいくつかの改善が加えられています。既存の脆弱性があるため、セグメントバックアップジョブは Python で書き直され、クラスターレベルのメトリクスが許可されているかどうかが検証されます。

OpenShift 環境を検出する際の Operator ロジックの更新

OpenShift クラスターの再起動中、OpenShift 環境を検出する RHTAS Operator ロジックは信頼できませんでした。Operator は、OpenShift 以外の環境で実行していると誤解し、システムを不適切に設定してしまいます。これにより、API が利用できなくなり、Trillian データベース Pod が起動しなくなりました。これにより、OpenShift の Security Context Constraints (SCC) 違反も発生していました。

Enterprise Contract はより速く、より効率的です

この更新の前は、Enterprise Contract (EC) は、各コンポーネントを検証するために、設定されたソースからポリシーとポリシーデータをダウンロードしていました。これにより、必要以上のデータをダウンロードし、ec validity image コマンドの実行時間が長くなりました。このリリースでは、ec validate image コマンドが異なるコンテナーイメージを検証するために同じポリシーソースを検出すると、ポリシーデータが複数回ダウンロードされなくなりました。

Operator は nil ポインター例外で終了します

fulcio.spec.privateKeyPasswordRef の証明書の透明性ログ (CTlog) のパスワードが正しく設定されていない、RHTAS Operator は意味のあるエラーメッセージを表示せずに終了します。このリリースでは、このシナリオに対してより堅牢なエラー処理が追加され、CTlog が正しく設定されていない場合に、より意味のある Operator エラーメッセージが表示されるようになりました。

Fulcio 証明書の共通名が間違っている

sigstore.issuer フィールドは、Fulcio 証明書の spec.certificate.commonName で指定された共通名の値を使用するようにハードコードされていました。このリリースでは、sigstore.issuer フィールドを適切に設定するためのロジックが追加されました。spec.certificate.commonName が空の場合は、spec.externalAccess.host 値に基づいて sigstore.issuer を設定します。spec.certificate.commonName と spec.externalAccess.host が空の場合は、sigstore.issuer を OpenShift クラスターのドメイン名に設定します。その結果、Fulcio 証明書の共通名が適切に設定されました。

Operator から kube-rbac-proxy を削除している

kube-rbac-proxy の --tls-cert-file および --tls-private-key-file フラグが廃止されたため、RHTAS Operator のインストール時にロールベースアクセス制御 (RBAC) HTTP プロキシーリソースが削除されました。このため、Operator の namespace に事前定義された証明書と秘密鍵が必要です。デフォルトの Operator namespace は openshift-operators です。この結果、Operator コントローラーの /metrics API エンドポイントを保護するために、この RBAC HTTP プロキシーリソースを使用しなくなりました。

Rekor 検索 UI をデフォルトで有効にする

このリリースでは、ユーザーは Rekor 検索ユーザーインターフェイス (UI) を手動でインストールする必要がなくなりました。デフォルトで Rekor 検索 UI が有効になります。

インストールが失敗した後も CreateTree タスクは実行を継続する

RHTAS サービスを削除して再インストールすると、一部のシナリオでは CreateTree タスクが継続的に実行され、その後のインストールが成功しなくなる可能性があります。このリリースでは、RHTAS インストールプロセスで CreateTree タスクの実行が検出されると、ユーザーの介入なしにタスクがクリーンアップされます。詳細は、GitHub の問題 #230 を参照してください。

kube-rbac-proxy のアップストリームバージョンをサポートされているバージョンに置き換え

Red Hat Trusted Artifact Signer 1.0 には、ロールベースのアクセス制御 (RBAC) プロキシーコンテナーのアップストリームバージョンである gcr.io/kubebuilder/kube-rbac-proxy が同梱されています。このリリースでは、アップストリームバージョンを公式のサポートされている Red Hat バージョン registry.redhat.io/openshift4/ose-kube-rbac-proxy に置き換えました。

十分なメモリーがない場合は、Trusted Artifact Signer Operator がクラッシュする可能性がある

RHTAS Operator のインストール中に、十分なメモリーが割り当てられていない場合は、CrashLoopBackoff ステータスが発生します。このクラッシュにより、RHTAS Operator は適切にインストールできなくなりました。

Enterprise Contract バイナリーのダウンロードが見つからない

ユーザーが Enterprise Contract (EC) バイナリーをダウンロードしようとすると、404 ページが表示されました。Windows 用の EC バイナリーへのパスが正しく設定されていないため、404 ページが生成されました。このリリースでは、Windows 用の EC バイナリーへのパスが正しく設定され、404 ページが表示されなくなりました。

cosign の Windows 実行ファイルに .exe 拡張子がない

Windows 用の cosign バイナリーをダウンロードするときに、.exe ファイル名拡張子がありませんでした。.exe ファイル名拡張子がないと、cosign バイナリーを Windows 上で実行できません。このリリースでは、cosign バイナリーに .exe ファイル名拡張子が付けられ、Windows 上で期待どおりに実行されます。

Trusted Artifact Signer Operator のテクニカルプレビュー版のアップグレードが失敗する

以前は、RHTAS Operator のテクニカルプレビューバージョン (0.0.2) が一般公開バージョン (1.0.0) に自動的にアップグレードされ、アップグレードに失敗していました。Securesign インスタンスとそのカスタムリソース (CR) がすでに存在する場合は、テクニカルプレビューバージョンからのアップグレードが失敗しなくなりました。

セグメントバックアップジョブのクラスター権限

以前は、Rekor および Fulcio メトリクスを収集するセグメントバックアップサービスアカウントのロールベースのアクセス制御 (RBAC) の設定が誤っているため、権限が昇格されています。セグメントバックアップジョブを有効にすると、これらの昇格された権限でクラスター全体のシークレットを読み取ることができます。

アップグレード後は、Rekor Search UI にレコードが表示されない

RHTAS Operator を最新バージョンにアップグレードした後 (1.0.1)、メールアドレスで検索するときに既存の Rekor データが見つかりません。backfill-redis CronJob は、Rekor Search UI が透過性ログを 1 日 1 回 (午前 0 時に 1 回のみ) に実行できるようにします。この問題を回避するには、午前 0 時まで待つのではなく、backfill-redis ジョブを手動でトリガーできます。

OpenShift 4.13 でバージョン番号が誤って報告される

OpenShift Container Platform 4.13 に RHTAS Operator をインストールすると、実際にはバージョン 1.0.1 がインストールされているにもかかわらず、バージョン 0.0.2 と誤って表示されます。現在、この問題を解決する回避策はありません。

Red Hat Trusted Artifact Signer ソフトウェアスタックの Helm デプロイメントの非推奨化

このリリースでは、Red Hat は Helm チャートを使用した Red Hat の Trusted Artifact Signer 製品のデプロイメントを廃止します。Helm を使用した Trusted Artifact Signer のデプロイはサポートされなくなりました。