リリースノート

SBOM からライセンスデータをダウンロード

このリリースでは、CycloneDX または Software Package Data Exchange (SPDX) 形式で、Software Bill of Materials (SBOM) ドキュメントからライセンスデータをダウンロードできます。この新機能は、開発サイクルの早い段階でライセンスに準拠する潜在的な問題を特定し、組織が法的リスクを軽減し、オープンソースライセンスの義務を遵守するのに役立ちます。

CVE に CVSS スコアが多数ある場合の不整合を修正

この更新前は、多くの Common Vulnerability Scoring System (CVSS) スコアを持つ脆弱性が、フィルターを適用した際に一貫性のない表示になっていました。これは、最初の CVSS スコアが初期の脆弱性リストの順序を決定した後、フィルターを適用した際に 2 つ目のスコアが同じリストを並び替えたことで、一貫性のない脆弱性リストが表示されていたために発生していました。このリリースでは、フィルターを適用する場合でも、脆弱性のリストを順序付けるときに常に最高スコアを適用することで、この順序が修正されました。これにより、脆弱性リストの一貫性が確保されます。

OpenShift で spog-api および collectorist-api をデプロイするストラテジータイプを変更

この更新前は、OpenShift に spog-api および collectorist-api をデプロイするデフォルトのストラテジータイプはローリングストラテジーでした。これらの 2 つの API をデプロイするときにローリングストラテジーを使用すると、ReadWriteOnce ポリシーでボリュームがマウントされます。これにより、ローリングストラテジーがスケールダウンされず、ボリュームが既存 Pod によって使用されているため、RHTPA アプリケーションの再デプロイ時に Pod が失敗します。このリリースにより、spog-api および collectorist-api Pod のデフォルトのストラテジーが、ローリングから再作成ストラテジーに変更されました。

脆弱性カウントの不一致

この更新前は、Common Vulnerability and Exposures (CVE) パネルと Software Bill of Materials (SBOM) ダッシュボードの間に、脆弱性カウントの不一致がありました。このリリースにより、CVE パネルと SBOM ダッシュボード間の脆弱性数の不一致が修正されました。

RHTPA コンソールに SBOM の重複が表示される

Software Bill of Materials (SBOM) ドキュメント内のハッシュを使用するパッケージの適切な識別を実装することにより、Graph for Understanding Artifact Composition (GUAC) エンジンからデータを取得する際のバグが修正されました。この修正により、同じ SBOM を参照するときに重複する SBOM が表示されなくなります。

SBOM ドキュメント内の循環依存関係に関するエラー

一部の Software Bill of Materials (SBOM) ドキュメントには、パッケージの循環依存関係が含まれており、これは予想されるデータでエラーを引き起こしていました。Graph for Understanding Artifact Composition (GUAC) エンジンに関するバグが修正されました。これにより、グラフはパッケージから属する製品に適切にトラバースされます。この更新により、パッケージの詳細ページで正しい製品の関連付けが報告されるようになりました。

サイズの大きい SBOM をアップロードすると SBOM データが正しく読み込まれない

この更新前は、大規模な Software Bill of Materials (SBOM) ドキュメント (例: 50,000 個のパッケージを含む SBOM) をアップロードすると、RHTPA ダッシュボードが正しくロードされませんでした。このリリースにより、SBOM がデータのアップロードを終了する前に、Keycloak のアクセストークンの有効期限が切れるという問題が修正されました。大規模な SBOM ドキュメントのアップロードは予想通りに機能し、RHTPA ダッシュボードで適切に表示されます。

SBOM 棒グラフと円グラフ間の値の不整合

棒チャートに記載されている Software Bill of Materials (SBOM) ドキュメントの値が、RHTPA ホームページの円グラフの値と異なっています。現在、この問題の回避策はなく、今後のリリースで修正される予定です。

Web ブラウザーで Trusted Profile Analyzer コンソールを起動すると、spog-ui-pod-service Pod が再起動する

Red Hat Enterprise Linux (RHEL) で Red Hat Trusted Profile Analyzer (RHTPA) を実行する場合に、Web ブラウザーで Trusted Profile Analyzer を初めて起動すると spog-ui-pod-service Pod が再起動し、アプリケーションが応答しなくなります。この問題を回避するには、Web ページを更新するか、ブラウザータブを閉じて、新しいタブで RHTPA コンソールを再度開いてください。これにより、RHTPA コンソールが正常にロードされます。

collector-osv が GraphQL エラーを出力する

collector-osv が GraphQL GUAC スキーマに準拠せずに Graph for Understanding Artifact Composition (GUAC) API にデータを送信すると、パッケージの名前空間など、一部のオプションフィールドにデフォルト値が適用されません。GUAC は、エラーメッセージ pq: insert or update on table package_versions violates foreign key constraint package_versions_package_names_versions を返します。これにより、OpenSource Vulnerability (OSV) データの取り込みが失敗し、結果として一部のパッケージで報告される脆弱性が予想よりも少なくなる可能性があります。現在、この問題に対する回避策はありません。

ダッシュボードに表示される CVE の総数と CVE タブの不一致

Common Vulnerabilities and Exposures (CVE) の合計数は、RHTPA ホームページダッシュボードと検索結果ページの CVE タブ間で異なるフィルターを使用しているため、2 つの値に不一致が生じます。現在、この既知の問題の回避策はありません。

Trusted Profile Analyzer 1.1.2 から 1.2 にアップグレードするとデータ移行が失敗する

PostgreSQL インスタンスの永続ボリューム要求に容量が残っていない場合、bombastic および vexation コレクター Pod はクラッシュします。この問題の発生の可能性をなくすために、PVC のサイズを 10 GB 増やします。

パッケージの詳細ページの API エラー

RHTPA コンソールで、Vulnerabilities ページからパッケージの詳細ページに移動するときに、影響を受ける依存関係リンクをクリックすると、次のエラーメッセージが表示されます。

Red Hat Dependency Analytics の API 応答と HTML レポート間のパッケージバージョンの不一致

Visual Studio Code または IntelliJ で分析用にマニフェストファイルを開くと、Red Hat Dependency Analytics (RHDA) HTML レポートと API クライアント応答の間で異なるパッケージバージョン番号が提供される場合があります。マニフェストファイルを分析する前に、API クライアントはマニフェストファイル内のパッケージバージョンとクライアントの環境内にインストールされているパッケージバージョンを比較します。パッケージバージョンに違いがある場合は、最初のパッケージバージョンの不一致を示すエラーメッセージが表示されます。この問題を回避するには、統合開発環境 (IDE) で RHDA 拡張機能の Match Manifest Versions オプションを無効にします。

Red Hat Trusted Profile Analyzer から Dependency Analytics レポートを削除

このリリースでは、Dependency Analytics レポート機能を Red Hat の Trusted Profile Analyzer 製品から削除しました。