第3章新機能および機能拡張

Red Hat Trusted Artifact Signer (RHTAS) のこのリリースで導入されたすべての主要な機能拡張と新機能のリスト。

このリリースで追加された機能および機能拡張は次のとおりです。

Rekor Transparency Log モニタリング: このリリースでは、RHTAS 用の Rekor Transparency Log モニターを導入しました。この機能は、透明性ログを定期的に監視して、ログの整合性を検証します。この機能により、ログが検証可能で、全世界で整合性を保ち、追加のみが可能になります。また、従来は時間の経過に伴う積極的な検証が行われていなかった点を解消します。この更新により、RHTAS はデプロイメントと並行して Rekor Transparency Log モニターを実行し、透明性ログを継続的に検証するエージェントとして機能します。これにより、エンドユーザーに対する信頼への裏付けが強化され、ソフトウェアサプライチェーンのセキュリティーパイプラインの信頼性が向上します。

Fulcio に新しい設定オプションを追加しました: この更新では、Fulcio の新しいオプション ciIssuerMetadata を設定できるようになりました。この新しいオプションにより、継続的インテグレーション (CI) プロバイダー用に Fulcio によって生成された証明書内の X.509 v3 拡張機能のカスタムテンプレートを作成できるようになります。この更新前は、X.509 v3 拡張機能でデフォルト値がハードコードされていたため、プライベート Git インスタンスに汎用 Git URI が表示されるなど、メタデータが不正確になる可能性がありました。ciIssuerMetadata 設定を追加すると、OpenID Connect (OIDC) トークン要求を特定の証明書拡張機能にマッピングして、適切な環境固有のメタデータを確保できます。また、user_login や user_email などの追加のユーザー定義情報を証明書に含めることもできます。

Enterprise Contract が Conforma に改名されました: RHTAS の今回の更新により、Red Hat 製品名の Enterprise Contract は廃止され、Conforma に名前が変更されました。Red Hat が構築したコンテナーイメージとドキュメントはすべて、新しい名前を使用するように更新されました。この名前の変更に関する詳細は、コミュニティー投稿を参照してください。

Conforma は OPA ポリシーエンジンをサポートしています: この RHTAS リリースでは、Conforma が更新され、Open Policy Agent (OPA) バージョン 1.0 以降がサポートされるようになりました。これには、Rego 構文の重大な変更の処理が含まれます。その結果、Conforma は構文遷移を適切に処理する OPA をサポートするようになり、セキュリティーの改善と新機能のメリットを享受しながら、継続的なポリシー評価機能を確保できるようになりました。

ec.sigstore.* 関数に Rekor 公開鍵を追加するための新しい設定オプション: このリリースでは、ユーザーは ec.sigstore.verify_image および ec.sigstore.verify_attestation 関数に rekor_public_key パラメーターを組み込むことで、Rekor 公開鍵をカスタマイズできるようになりました。この改善により、以前の環境変数アプローチを使用して同じポリシー評価内でさまざまな種類の署名を検証する時に発生した競合が解決されるため、RHTAS デプロイメントでの検証ワークフローの適応性が向上します。ポリシー作成者は、下位互換性を維持しながら、同じポリシー実行内で異なる Rekor インスタンスからの署名を検証できるようになりました。

Conforma が Quay の流量制御に抵触しています: この更新では、アクティブな流量制御緩和ストラテジーと、Quay.io レジストリーへのアクセス時に発生する 429 Too Many Requests エラーを防ぐ再試行メカニズムを実装しました。この機能強化により、ビルドシステムで発生する可能性のある破壊的な流量制御の問題が解消され、コンテナーレジストリーにアクセスする際の信頼性が向上し、検証の失敗を引き起こす可能性のある流量制御エラーの発生が削減されます。

第3章 新機能および機能拡張