第4章 既知の問題
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースで解決された既知の問題:
このリリースで見つかった既知の問題のリスト:
bombastic-collector は id フィールドの特殊文字を処理しない
Amazon Web Services (AWS) インフラストラクチャーで RHTPA を実行している場合は、ID フィールドに特殊文字が含まれる Software Bill of Materials (SBOM) ファイルをアップロードすると、正しく取り込まれません。これにより、脆弱性ページのデータが欠落することになります。この問題を回避するには、SBOM をアップロードする前に、id フィールドに特殊文字が含まれていないことを確認してください。
SBOM ファイルをアップロードすると、Dependency Analytics レポートにストレージエラーが表示される
200 MB 以上の Software Bill of Materials (SBOM) ファイルをアップロードすると、Dependency Analytics レポートにサイズ制限に達したことを示すエラーメッセージが表示されます。Dependency Analytics サーバーには、アップロードされた SBOM のファイルサイズ制限があります。現在、この問題に対する回避策はありません。
collector-osv は、CVSS_V4 の重大度を持つ脆弱性を取り込むことができない
OpenSource Vulnerability (OSV) サービスから入手できる脆弱性データでは、脆弱性と、それが影響を与えるパッケージの CVSS_V4 スコアを関連付けることができません。このため、RHTPA に取り込まれたパッケージや Software Bill of Materials (SBOM) に関連付けられる脆弱性が少なくなる可能性があります。現在、この問題に対する回避策はありません。
collector-osv が GraphQL エラーを出力する
collector-osv が GraphQL GUAC スキーマに準拠せずに Graph for Understanding Artifact Composition (GUAC) API にデータを送信すると、パッケージの名前空間など、一部のオプションフィールドにデフォルト値が適用されません。GUAC は、エラーメッセージ pq: insert or update on table package_versions violates foreign key constraint package_versions_package_names_versions を返します。これにより、OpenSource Vulnerability (OSV) データの取り込みが失敗し、結果として一部のパッケージで報告される脆弱性が予想よりも少なくなる可能性があります。現在、この問題に対する回避策はありません。
Red Hat Dependency Analytics の API 応答と HTML レポート間のパッケージバージョンの不一致
Visual Studio Code または IntelliJ で分析用にマニフェストファイルを開くと、Red Hat Dependency Analytics (RHDA) HTML レポートと API クライアント応答の間で異なるパッケージバージョン番号が提供される場合があります。マニフェストファイルを分析する前に、API クライアントはマニフェストファイル内のパッケージバージョンとクライアントの環境内にインストールされているパッケージバージョンを比較します。パッケージバージョンに違いがある場合は、最初のパッケージバージョンの不一致を示すエラーメッセージが表示されます。この問題を回避するには、統合開発環境 (IDE) で RHDA 拡張機能の Match Manifest Versions オプションを無効にします。
ダッシュボードに表示される CVE の総数と CVE タブの不一致
Common Vulnerabilities and Exposures (CVE) の合計数は、RHTPA ホームページダッシュボードと検索結果ページの CVE タブ間で異なるフィルターを使用しているため、2 つの値に不一致が生じます。現在、この既知の問題の回避策はありません。
Trusted Profile Analyzer 1.1.2 から 1.2 にアップグレードするとデータ移行が失敗する
PostgreSQL インスタンスの永続ボリューム要求に容量が残っていない場合、bombastic および vexation コレクター Pod はクラッシュします。この問題の発生の可能性をなくすために、PVC のサイズを 10 GB 増やします。
サイズの大きい SBOM をアップロードすると SBOM データが正しく読み込まれない
大規模な Software Bill of Materials (SBOM) ドキュメント (たとえば、50,000 個のパッケージを含む SBOM) をアップロードすると、RHTPA ダッシュボードが正しく読み込まれません。これは、SBOM がデータのアップロードを完了する前に Keycloak のアクセストークンの有効期限が切れるために発生します。この問題を回避するには、Keycloak のアクセストークンの有効期間を延長してから、Keycloak を再デプロイします。
- コマンドラインインターフェイスから OpenShift クラスターにログインします。
Keycloak の URL 文字列を検索します。
echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth- 前の手順の URL 文字列を Web ブラウザーにコピーアンドペーストし、authentication ページに移動します。
Keycloak 管理コンソールにログインします。
注記OpenShift Web コンソールでユーザー認証情報を見つけるには、Workloads メニューを展開し、Secrets をクリックして、Keycloak インスタンス名をクリックします。
- ホームページで Realm Settings をクリックし、Tokens タブを選択します。
- Access Token Lifespan の値をデフォルトの 5 分から 60 分に変更し、変更を保存します。
Keycloak を再デプロイします。
oc scale deployment/keycloak-postgresql --replicas=0 oc scale deployment/rhsso-operator --replicas=0 oc scale deployment/keycloak-postgresql --replicas=1 oc scale deployment/rhsso-operator --replicas=1
- SBOM を再度アップロードしてみてください。
パッケージの詳細ページの API エラー
RHTPA コンソールで、Vulnerabilities ページからパッケージの詳細ページに移動するときに、影響を受ける依存関係リンクをクリックすると、次のエラーメッセージが表示されます。
API error: Error contacting GUAC (Guac) - Client error: Cannot find an SBOM for PackageUrl
現在、この既知の問題の回避策はありません。
