第3章 バグ修正

CVE-2024-21536 の潜在的な脆弱性を修正

このリリースでは、RHTPA の http-proxy-middleware コンポーネントを、CVE-2024-21536 の脆弱性を軽減するバージョンに更新しました。

v11y-walker ジョブが CVE の取り込み時に失敗する

Common Vulnerabilities and Exposures (CVE) を取り込むための接頭辞設定が適切に適用されないと、v11y-walker ジョブでエラーが発生します。接頭辞設定により、取り込む CVE の範囲が決まります。範囲が間違っていたため、RHTPA は不要な CVE を取り込んでしまいました。このリリースでは、提供された接頭辞設定を使用する CVE のみと一致するように CVE 取り込みプロセスを修正しました。

CVE-2024-21538 の潜在的な脆弱性を修正

このリリースでは、RHTPA の cross-spawn コンポーネントを、CVE-2024-21538 の脆弱性を軽減するバージョンに更新しました。

SBOM 一括アップロード時にタイムアウトエラーが発生する

Software Bill of Materials (SBOM) の一括アップロードを実行すると、SBOM ダッシュボードの読み込みが失敗し、接続タイムアウトエラーが発生します。このリリースでは、適切なエンドポイントに接続するために curl を使用するように livenessProbe を修正しました。

livenessProbe と readinessProbe の initialDelaySeconds プロパティーが設定可能

この更新の前は、livenessProbe と readinessProbe の initialDelaySeconds プロパティーに 2 秒のハードコードされた値が設定されていました。このリリースでは、RHTPA Helm 値ファイルで initialDelaySeconds プロパティーを設定できます。

部分的に取り込まれた SBOM が脆弱性タブにエラーを表示する

Software Bill of Materials (SBOM) ファイルをアップロードするには、取り込みプロセス中に完了が必要な手順が多数あります。この取り込みプロセスが完了するまで、SBOM の脆弱性情報の表示に一貫性がなく、実際にエラーが発生していないにもかかわらず、ページにエラーメッセージが表示される可能性があります。このリリースでは、このエラーメッセージを削除し、脆弱性タブに空のページを返すようになりました。

guac-collectsub-pod-service Pod が無限の再起動ループに陥っている

Ansible Playbook を使用して Red Hat Enterprise Linux に RHTPA をデプロイすると、guac-collectsub-pod-service Pod でヘルスチェックが失敗します。これにより、Pod は無限の再起動ループに入りました。このリリースでは、正しい API エンドポイントを有効にして livenessProbe を修正しました。

ダッシュボードチャートの SBOM を取り込む際のタイムアウトの問題を修正

多数のパッケージを含む Software Bill of Materials (SBOM) ファイルを取り込むときに、それらのパッケージに多くの関連する脆弱性がある場合は、ダッシュボードチャートのデータを取得するための API 呼び出しがタイムアウトになります。このリリースでは、ダッシュボードチャートにデータを提供する API 呼び出しが改善され、ダッシュボードチャートに適切かつタイムリーにデータが入力されるようになりました。

Ubuntu 関連の CVE の脆弱性情報を修正

OpenSource Vulnerabilities (OSV) データベースから Ubuntu 関連の Common Vulnerabilities and Exposures (CVE) 情報を収集すると、エラーメッセージ Failed to get vulnerability from OSV for CVE CVE2024-XXXXX が表示されます。このリリースでは、現在リリースされている Ubuntu バージョンの完全なセットで RHTPA を修正しました。これにより、Ubuntu パッケージに関連する CVE を正常に取り込むことができます。

一部の CVE の CVSS スコアがない

一部の Common Vulnerabilities and Exposures (CVE) には、メトリクス配列に要素がありますが、対応する Common Vulnerability Scoring System (CVSS) スコアがありません。CVSS スコアがないと、CVE のデータをクエリーする機能が制限されます。このリリースでは、メトリクス配列の要素内で有効な CVSS スコアをチェックし、CVE の CVSS スコアを適切に表示します。

CycloneDX SBOM 内のネストされたパッケージは取り込まれない

メインパッケージのみが取り込まれ、ネストされたパッケージが取り込まれないバグを修正しました。このリリースでは、RHTPA は CycloneDX の Software Bill of Materials (SBOM) マニフェストファイルを正しくトラバースし、それらのネストされたパッケージをデータベースに含めます。

SBOM マニフェストファイルのサイズが大きい場合、アップロード時にエラーが発生する

大規模な Software Bill of Materials (SBOM) マニフェストファイルを RHTPA にアップロードすると、インデックスは適切に更新されますが、データベースは更新されません。大規模な SBOM マニフェストファイルのサイズは 90 MB で、70,000 個のパッケージが含まれると想定します。このリリースでは、データベースの更新に関する問題を修正しました。