Red Hat Summitリリースノート
Red Hat Trusted Profile Analyzer 1.1.2 のリリースノート
概要
第1章 はじめに
Red Hat Trusted Profile Analyzer (RHTPA) は、オープンソースソフトウェア (OSS) パッケージと依存関係のリスク管理を支援するプロアクティブなサービスです。Trusted Profile Analyzer サービスは、ソフトウェアサプライチェーン内で発見された OSS の脆弱性を認識し、修復します。
Red Hat Trusted Profile Analyzer ドキュメントは、こちら を参照してください。
第2章 新機能および機能拡張
この Red Hat Trusted Profile Analyzer (RHTPA) リリースで導入された主要な機能拡張と新機能すべてのリスト。
このリリースで追加された機能および機能拡張は次のとおりです。
CycloneDX SBOM ファイルの serialNumber プロパティーが検証されるように
このリリースでは、SBOM を RHTPA にアップロードするときに、CycloneDX 形式の Software Bill of Materials (SBOM) ファイル内の serialNumber プロパティーの存在を検証するプロセスが追加されました。serialNumber のない CycloneDX SBOM ファイルをアップロードすると、エラーメッセージが表示されます。
SBOM に CVE の影響がある
Software Bill of Material (SBOM) をスキャンするときに、Open Source Vulnerability (OSV) データベースから Common Vulnerabilities and Exposures (CVE) データを表示できるようになりました。デフォルトでは、SBOM をスキャンすると、SBOM を構成するパッケージに影響する公開済みの脆弱性がすべて示されます。
第3章 バグ修正
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースでは、次のバグが修正されました。
制御文字を含む CycloneDX SBOM のアップロードに失敗する
CycloneDX 形式の software bill of materials (SBOM) ファイルを RHTPA にアップロードするときに、\n などの制御文字が存在すると解析エラーが発生する可能性があります。このリリースでは、CycloneDX 形式の SBOM ファイルをアップロードする際の検証ロジックを修正し、SBOM ファイルを RHTPA に正常にアップロードできるようになりました。
SBOM の詳細ページに表示される脆弱性情報の不一致が修正された
Software Bill of Material (SBOM) の詳細ページでは、関連する脆弱性データのサブセットのみが報告されていました。このリリースでは、このレポートの問題が修正されました。RHTPA を使用すると、脆弱性データをどこで表示しても一貫した結果が得られます。
serialNumber 文字列のコンプライアンスを検証する
CycloneDX 形式の Software Bill of Material (SBOM) ファイル内の serialNumber プロパティーの文字列値は、特定の正規表現と一致する必要があります。このリリースでは、serialNumber 文字列が CycloneDX によって設定された compliancy standard に準拠しているかどうかを確認します。
