Red Hat Summitリリースノート
Red Hat Trusted Profile Analyzer 1.2.2 のリリースノート
概要
第1章 はじめに
Red Hat Trusted Profile Analyzer (RHTPA) は、オープンソースソフトウェア (OSS) パッケージと依存関係のリスク管理を支援するプロアクティブなサービスです。Trusted Profile Analyzer サービスは、ソフトウェアサプライチェーン内で発見された OSS の脆弱性を認識し、修復します。
Red Hat Trusted Profile Analyzer ドキュメントは、こちら を参照してください。
RHTPA 1.2.2 リリースノートに追加された項目:
第2章 新機能および機能拡張
この Red Hat Trusted Profile Analyzer (RHTPA) リリースで導入された主要な機能拡張と新機能すべてのリスト。
このリリースで追加された機能および機能拡張は次のとおりです。
Red Hat Enterprise Linux の Trusted Profile Analyzer
このリリースでは、テクニカルプレビューとして、Ansible Playbook を使用して Red Hat Enterprise Linux 9 に RHTPA をデプロイできます。独自の PostgreSQL データベース、OpenID Connect (OIDC) プロバイダー、Simple Storage Service (S3)、および Simple Queue Service (SQS) サービスを使用して、このデプロイメントソリューションをカスタマイズできます。詳細は、RHTPA デプロイメントガイド を参照してください。
Trusted Profile Analyzer コンソールの再設計と新しい CVE 影響パネル
このリリースでは、より直感的で、ユーザーが一目で関連性の高いデータを確認できる新しいダッシュボードホームページを設計しました。このダッシュボードには、アップロードされた最新の 10 件の Software Bill of Materials (SBOM) に対する Common Vulnerabilities and Exposures (CVE) の影響が表示されます。影響データとともに、Common Security Advisory Framework (CSAF) アドバイザリー、SBOM、CVE など、最近アップロードされたドキュメントの日時と数も確認できます。
コンポーネントレジストリーの新しいバージョン
このリリースでは、Graphical Understanding of Artifact Composition (GUAC) コンポーネントレジストリーをバージョン 0.7.2 に更新しました。この新しい GUAC バージョンは、以前のバージョンよりもサポートが容易で、信頼性も高くなっています。現在、RHTPA 1.1 から 1.2 へのアップグレードパスはありません。GUAC 0.7.2 の新機能を使用するには、RHTPA 1.2 を新規インストールし、ドキュメントを再アップロードする必要があります。
CycloneDX 1.5 および SPDX 2.3 のサポート
このリリースでは、CycloneDX バージョン 1.5 および SPDX バージョン 2.3 でフォーマットされた Software Bill of Materials (SBOM) ドキュメントがサポートされるようになりました。
第3章 バグ修正
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースでは、次のバグが修正されました。これらの修正に加えて、以前のバージョンで発見され修正された既知の問題の説明もリストします。
bombastic-collector は id フィールドの特殊文字を処理しない
この更新前は、Amazon Web Services (AWS) インフラストラクチャーで RHTPA を実行している場合、ID フィールドに特殊文字が含まれる Software Bill of Materials (SBOM) ファイルをアップロードすると、正しく取り込まれませんでした。これにより、脆弱性ページでデータが欠落していました。このリリースでは、SBOM をアップロードする前に、id フィールドに特殊文字を使用できるようになりました。
collector-osv は、CVSS_V4 の重大度を持つ脆弱性を取り込むことができない
この更新前は、OpenSource Vulnerability (OSV) サービスから入手できる脆弱性データでは、脆弱性と、それが影響を与えるパッケージの CVSS_V4 スコアを関連付けることができませんでした。このため、RHTPA に取り込まれたパッケージや Software Bill of Materials (SBOM) に関連付けられる脆弱性が少なくなる可能性があります。今回のリリースで、この問題が修正されました。
CVE-2024-21536 の潜在的な脆弱性を修正
このリリースでは、RHTPA の http-proxy-middleware コンポーネントを、CVE-2024-21536 の脆弱性を軽減するバージョンに更新しました。
v11y-walker ジョブが CVE の取り込み時に失敗する
Common Vulnerabilities and Exposures (CVE) を取り込むための接頭辞設定が適切に適用されないと、v11y-walker ジョブでエラーが発生します。接頭辞設定により、取り込む CVE の範囲が決まります。範囲が間違っていたため、RHTPA は不要な CVE を取り込んでしまいました。このリリースでは、提供された接頭辞設定を使用する CVE のみと一致するように CVE 取り込みプロセスを修正しました。
CVE-2024-21538 の潜在的な脆弱性を修正
このリリースでは、RHTPA の cross-spawn コンポーネントを、CVE-2024-21538 の脆弱性を軽減するバージョンに更新しました。
SBOM 一括アップロード時にタイムアウトエラーが発生する
Software Bill of Materials (SBOM) の一括アップロードを実行すると、SBOM ダッシュボードの読み込みが失敗し、接続タイムアウトエラーが発生します。このリリースでは、適切なエンドポイントに接続するために curl を使用するように livenessProbe を修正しました。
livenessProbe と readinessProbe の initialDelaySeconds プロパティーが設定可能
この更新の前は、livenessProbe と readinessProbe の initialDelaySeconds プロパティーに 2 秒のハードコードされた値が設定されていました。このリリースでは、RHTPA Helm 値ファイルで initialDelaySeconds プロパティーを設定できます。
部分的に取り込まれた SBOM が脆弱性タブにエラーを表示する
Software Bill of Materials (SBOM) ファイルをアップロードするには、取り込みプロセス中に完了が必要な手順が多数あります。この取り込みプロセスが完了するまで、SBOM の脆弱性情報の表示に一貫性がなく、実際にエラーが発生していないにもかかわらず、ページにエラーメッセージが表示される可能性があります。このリリースでは、このエラーメッセージを削除し、脆弱性タブに空のページを返すようになりました。
guac-collectsub-pod-service Pod が無限の再起動ループに陥っている
Ansible Playbook を使用して Red Hat Enterprise Linux に RHTPA をデプロイすると、guac-collectsub-pod-service Pod でヘルスチェックが失敗します。これにより、Pod は無限の再起動ループに入りました。このリリースでは、正しい API エンドポイントを有効にして livenessProbe を修正しました。
ダッシュボードチャートの SBOM を取り込む際のタイムアウトの問題を修正
多数のパッケージを含む Software Bill of Materials (SBOM) ファイルを取り込むときに、それらのパッケージに多くの関連する脆弱性がある場合は、ダッシュボードチャートのデータを取得するための API 呼び出しがタイムアウトになります。このリリースでは、ダッシュボードチャートにデータを提供する API 呼び出しが改善され、ダッシュボードチャートに適切かつタイムリーにデータが入力されるようになりました。
一部の CVE の CVSS スコアがない
一部の Common Vulnerabilities and Exposures (CVE) には、メトリクス配列に要素がありますが、対応する Common Vulnerability Scoring System (CVSS) スコアがありません。CVSS スコアがないと、CVE のデータをクエリーする機能が制限されます。このリリースでは、メトリクス配列の要素内で有効な CVSS スコアをチェックし、CVE の CVSS スコアを適切に表示します。
CycloneDX SBOM 内のネストされたパッケージは取り込まれない
メインパッケージのみが取り込まれ、ネストされたパッケージが取り込まれないバグを修正しました。このリリースでは、RHTPA は CycloneDX の Software Bill of Materials (SBOM) マニフェストファイルを正しくトラバースし、それらのネストされたパッケージをデータベースに含めます。
SBOM マニフェストファイルのサイズが大きい場合、アップロード時にエラーが発生する
大規模な Software Bill of Materials (SBOM) マニフェストファイルを RHTPA にアップロードすると、インデックスは適切に更新されますが、データベースは更新されません。大規模な SBOM マニフェストファイルのサイズは 90 MB で、70,000 個のパッケージが含まれると想定します。このリリースでは、データベースの更新に関する問題を修正しました。
第4章 既知の問題
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースで解決された既知の問題:
このリリースで見つかった既知の問題のリスト:
Web ブラウザーで Trusted Profile Analyzer コンソールを起動すると、spog-ui-pod-service Pod が再起動する
Red Hat Enterprise Linux (RHEL) で Red Hat Trusted Profile Analyzer (RHTPA) を実行する場合に、Web ブラウザーで Trusted Profile Analyzer を初めて起動すると spog-ui-pod-service Pod が再起動し、アプリケーションが応答しなくなります。この問題を回避するには、Web ページを更新するか、ブラウザータブを閉じて、新しいタブで RHTPA コンソールを再度開いてください。これにより、RHTPA コンソールが正常にロードされます。
SBOM ファイルをアップロードすると、Dependency Analytics レポートにストレージエラーが表示される
200 MB 以上の Software Bill of Materials (SBOM) ファイルをアップロードすると、Dependency Analytics レポートにサイズ制限に達したことを示すエラーメッセージが表示されます。Dependency Analytics サーバーには、アップロードされた SBOM のファイルサイズ制限があります。現在、この問題に対する回避策はありません。
collector-osv が GraphQL エラーを出力する
collector-osv が GraphQL GUAC スキーマに準拠せずに Graph for Understanding Artifact Composition (GUAC) API にデータを送信すると、パッケージの名前空間など、一部のオプションフィールドにデフォルト値が適用されません。GUAC は、エラーメッセージ pq: insert or update on table package_versions violates foreign key constraint package_versions_package_names_versions を返します。これにより、OpenSource Vulnerability (OSV) データの取り込みが失敗し、結果として一部のパッケージで報告される脆弱性が予想よりも少なくなる可能性があります。現在、この問題に対する回避策はありません。
Red Hat Dependency Analytics の API 応答と HTML レポート間のパッケージバージョンの不一致
Visual Studio Code または IntelliJ で分析用にマニフェストファイルを開くと、Red Hat Dependency Analytics (RHDA) HTML レポートと API クライアント応答の間で異なるパッケージバージョン番号が提供される場合があります。マニフェストファイルを分析する前に、API クライアントはマニフェストファイル内のパッケージバージョンとクライアントの環境内にインストールされているパッケージバージョンを比較します。パッケージバージョンに違いがある場合は、最初のパッケージバージョンの不一致を示すエラーメッセージが表示されます。この問題を回避するには、統合開発環境 (IDE) で RHDA 拡張機能の Match Manifest Versions オプションを無効にします。
ダッシュボードに表示される CVE の総数と CVE タブの不一致
Common Vulnerabilities and Exposures (CVE) の合計数は、RHTPA ホームページダッシュボードと検索結果ページの CVE タブ間で異なるフィルターを使用しているため、2 つの値に不一致が生じます。現在、この既知の問題の回避策はありません。
Trusted Profile Analyzer 1.1.2 から 1.2 にアップグレードするとデータ移行が失敗する
PostgreSQL インスタンスの永続ボリューム要求に容量が残っていない場合、bombastic および vexation コレクター Pod はクラッシュします。この問題の発生の可能性をなくすために、PVC のサイズを 10 GB 増やします。
サイズの大きい SBOM をアップロードすると SBOM データが正しく読み込まれない
大規模な Software Bill of Materials (SBOM) ドキュメント (たとえば、50,000 個のパッケージを含む SBOM) をアップロードすると、RHTPA ダッシュボードが正しく読み込まれません。これは、SBOM がデータのアップロードを完了する前に Keycloak のアクセストークンの有効期限が切れるために発生します。この問題を回避するには、Keycloak のアクセストークンの有効期間を延長してから、Keycloak を再デプロイします。
- コマンドラインインターフェイスから OpenShift クラスターにログインします。
Keycloak の URL 文字列を検索します。
echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/authecho https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/authCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 前の手順の URL 文字列を Web ブラウザーにコピーアンドペーストし、authentication ページに移動します。
Keycloak 管理コンソールにログインします。
注記OpenShift Web コンソールでユーザー認証情報を見つけるには、Workloads メニューを展開し、Secrets をクリックして、Keycloak インスタンス名をクリックします。
- ホームページで Realm Settings をクリックし、Tokens タブを選択します。
- Access Token Lifespan の値をデフォルトの 5 分から 60 分に変更し、変更を保存します。
Keycloak を再デプロイします。
oc scale deployment/keycloak-postgresql --replicas=0 oc scale deployment/rhsso-operator --replicas=0 oc scale deployment/keycloak-postgresql --replicas=1 oc scale deployment/rhsso-operator --replicas=1
oc scale deployment/keycloak-postgresql --replicas=0 oc scale deployment/rhsso-operator --replicas=0 oc scale deployment/keycloak-postgresql --replicas=1 oc scale deployment/rhsso-operator --replicas=1Copy to Clipboard Copied! Toggle word wrap Toggle overflow - SBOM を再度アップロードしてみてください。
パッケージの詳細ページの API エラー
RHTPA コンソールで、Vulnerabilities ページからパッケージの詳細ページに移動するときに、影響を受ける依存関係リンクをクリックすると、次のエラーメッセージが表示されます。
API error: Error contacting GUAC (Guac) - Client error: Cannot find an SBOM for PackageUrl
現在、この既知の問題の回避策はありません。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}