Red Hat Summitクイックスタートガイド
Red Hat Hybrid Cloud Console での Red Hat Trusted Profile Analyzer マネージドサービスの使用
概要
はじめに
Red Hat Trusted Profile Analyzer (RHTPA) クイックスタートガイドへようこそ。
これは、Red Hat の Hybrid Cloud Console で Trusted Profile Analyzer マネージドサービスを使用する方法を説明するクイックスタートガイドです。
第1章 脆弱性情報の検索
Trusted Profile Analyzer サービスを使用すると、既存の Software Bill of Materials (SBOM)、Vulnerability Exploitability eXchange (VEX) ドキュメント、および Red Hat 製品およびパッケージの共通脆弱性識別子 (CVE) 情報を検索できます。
Trusted Profile Analyzer マネージドサービスは、次の Red Hat 製品に関する情報のみを提供します。
- Red Hat Enterprise Linux Universal Base Image (UBI) バージョン 8 および 9。
- Java Quarkus ライブラリー。
前提条件
- Red Hat Hybrid Cloud Console にアクセスできる Red Hat ユーザーアカウント。
手順
- Web ブラウザーを開きます。
- Hybrid Cloud Console の Application and Data Services ホームページに移動します。
- プロンプトが表示されたら、認証情報を使用して Hybrid Cloud Console にログインします。
- ナビゲーションメニューで Trusted Profile Analyzer をクリックします。
Trusted Profile Analyzer のホームページで、Subscribe and launch ボタンをクリックします。新しい Web ブラウザーウインドウが Trusted Profile Analyzer コンソールのホームページで開きます。
注記サブスクライブすると、ご登録いただいたメールアドレスが製品メーリングリストに登録され、新製品の開発に関する情報を受け取ることができます。
- Home ページの検索フィールドに検索条件を入力し、Search をクリックします。
検索結果ページでは、Red Hat 製品ごとに結果をフィルタリングしたり、SBOM ファイルをダウンロードしたり、パッケージの脆弱性情報を表示したり、考えられる修復策を表示したりできます。
注記Advisories タブに表示される数値は、検索条件が一致した回数です。Products and containers タブの Product advisories 列の数は、その特定の製品のアドバイザリーの数を表します。
第2章 software bill of materials ファイルのスキャン
カスタムの software bill of materials (BOM) マニフェストファイルをスキャンして、Red Hat の分析ができます。
Red Hat は、スキャンした SBOM ファイルのコピーを保持しません。
前提条件
- Red Hat Hybrid Cloud Console にアクセスできる Red Hat ユーザーアカウント。
- 既存の CycloneDX 1.3、1.4、1.5 または Software Package Data Exchange (SPDX) 2.2、2.3 マニフェストファイル。
手順
- Web ブラウザーを開きます。
- Hybrid Cloud Console の Application and Data Services ホームページに移動します。
- プロンプトが表示されたら、認証情報を使用して Hybrid Cloud Console にログインします。
- ナビゲーションメニューで Trusted Profile Analyzer をクリックします。
Trusted Profile Analyzer のホームページで、Subscribe and launch ボタンをクリックします。新しい Web ブラウザーウインドウが Trusted Profile Analyzer コンソールのホームページで開きます。
注記サブスクライブすると、ご登録いただいたメールアドレスが製品メーリングリストに登録され、新製品の開発に関する情報を受け取ることができます。
- ナビゲーションメニューから Scan SBOM をクリックします。
- SBOM マニフェストファイルをページにドラッグアンドドロップするか、Load an SBOM をクリックします。
- SBOM ファイルをスキャンすると、分析の概要と、SBOM ファイルに含まれるパッケージの特定の脆弱性情報が得られます。
関連情報
- software bill of materials ファイルの作成方法は、Trusted Profile Analyzer リファレンスガイド を参照してください。
第3章 Dependency Analytics を使用するための Visual Studio Code の設定
Microsoft の Visual Studio Code (VS Code) エディターアプリケーションの Dependency Analytics 拡張機能を使用すると、Red Hat の Trusted Profile Analyzer サービスにアクセスできます。この拡張機能を使用すると、最新のオープンソースの脆弱性情報にアクセスし、アプリケーションの依存パッケージに関する洞察を得ることができます。Red Hat Dependency Analytics 拡張機能は、入手可能な最新の脆弱性情報を取得するために次のデータソースを使用します。
- ONGuard サービスは、Open Source Vulnerability (OSV) および National Vulnerability Database (NVD) データソースを統合します。ONGuard サービスにパッケージのセットを指定すると、OSV へのクエリーによって関連する脆弱性情報が取得され、次に NVD へのクエリーによって公開されている Common Vulnerability and Exposures (CVE) 情報が取得されます。
Dependency Analytics は、以下のプログラミング言語をサポートしています。
- Maven
- Node
- Python
- Go
Visual Studio Code はデフォルトで、システムの PATH 環境にあるターミナルでバイナリーを直接実行します。必要なバイナリーを実行するために別の場所を探すように Visual Studio Code を設定できます。これは、拡張機能の設定 にアクセスして設定できます。Workspace タブをクリックし、executable という単語を検索し、Maven、Node、Python、または Go に使用するバイナリーファイルへの絶対パスを指定します。
Dependency Analytics 拡張機能は、Red Hat によって維持されるオンラインサービスです。Dependency Analytics は、結果を表示する前にマニフェストファイルにのみアクセスしてアプリケーションの依存関係を分析します。
前提条件
- Visual Studio Code をワークステーションにインストールしている。
-
Maven プロジェクトで
pom.xmlファイルを分析する場合は、システムのPATH環境にmvnバイナリーを指定する。 -
Node プロジェクトで
package.jsonファイルを分析する場合は、システムのPATH環境にnpmバイナリー指定する。 -
Go プロジェクトで
go.modファイルを分析する場合は、システムのPATH環境にgoバイナリーを指定する。 -
Python プロジェクトで
requirements.txtファイルを分析する場合は、システムのPATH環境に python3/pip3またはpython/pipバイナリーを指定する。また、Python アプリケーションが VS Code のインタープリターパス に存在する。
手順
- Visual Studio Code アプリケーションを開きます。
- ファイルメニューから View をクリックし、Extensions をクリックします。
- Marketplace で Red Hat Dependency Analytics を検索します。
- Install ボタンをクリックして、拡張機能をインストールします。インストールが完了するまで待ちます。
アプリケーションのセキュリティー脆弱性のスキャンを開始し、脆弱性レポートを表示するには、次のいずれかを実行できます。
- マニフェストファイルを開き、インラインコンポーネント分析によってマークされた依存関係 (依存関係名の下に赤い波線で示されています) にマウスをかざし、Quick Fix、Detailed Vulnerability Report の順にクリックします。
- マニフェストファイルを開き、円グラフ アイコンをクリックします。
- Explorer ビューでマニフェストファイルを右クリックし、Red Hat Dependency Analytics Report… をクリックします。
- 脆弱性ポップアップアラートメッセージから、Open detailed vulnerability report をクリックします。
関連情報
- Red Hat Dependency Analytics Visual Studio マーケットプレイスの ページ。
- GitHub プロジェクト。
第4章 Dependency Analytics を使用するための IntelliJ の設定
Jet Brains の IntelliJ IDEA アプリケーション用の Dependency Analytics プラグインを使用すると、Red Hat の Trusted Profile Analyzer サービスにアクセスできます。このプラグインを使用すると、最新のオープンソースの脆弱性情報にアクセスし、アプリケーションの依存パッケージに関する洞察を得ることができます。Red Hat Dependency Analytics プラグインは、入手可能な最新の脆弱性情報を取得するために次のデータソースを使用します。
- ONGuard サービスは、Open Source Vulnerability (OSV) および National Vulnerability Database (NVD) データソースを統合します。ONGuard サービスにパッケージのセットを指定すると、OSV へのクエリーによって関連する脆弱性情報が取得され、次に NVD へのクエリーによって公開されている Common Vulnerability and Exposures (CVE) 情報が取得されます。
Dependency Analytics は、以下のプログラミング言語をサポートしています。
- Maven
- Node
- Python
- Go
Dependency Analytics 拡張機能は、Red Hat によって維持されるオンラインサービスです。Dependency Analytics は、結果を表示する前にマニフェストファイルにのみアクセスしてアプリケーションの依存関係を分析します。
前提条件
- ワークステーションに IntelliJ IDEA をインストールしている。
-
Maven プロジェクトで
pom.xmlファイルを分析する場合は、システムのPATH環境にmvnバイナリーを指定する。 -
Node プロジェクトで
package.jsonファイルを分析する場合は、システムのPATH環境にnpmバイナリー指定する。 -
Go プロジェクトで
go.modファイルを分析する場合は、システムのPATH環境にgoバイナリーを指定する。 -
Python プロジェクトで
requirements.txtファイルを分析する場合は、システムのPATH環境に python3/pip3またはpython/pipバイナリーを指定する。
手順
- IntelliJ アプリケーションを開きます。
- ファイルメニューから Settings、Plugins の順にクリックします。
- Marketplace で Red Hat Dependency Analytics を検索します。
- INSTALL ボタンをクリックしてプラグインをインストールします。
アプリケーションのセキュリティー脆弱性のスキャンを開始し、脆弱性レポートを表示するには、次のいずれかを実行できます。
- マニフェストファイルを開き、インラインコンポーネント分析によってマークされた依存関係 (依存関係の下の赤い波線で示されています) にマウスをかざし、Detailed Vulnerability Report をクリックします。
- Project ウィンドウでマニフェストファイルを右クリックし、Dependency Analytics Report をクリックします。
関連情報
- Red Hat の Dependency Analytics Jet Brains marketplace ページ。
- GitHub プロジェクト。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}