第3章 よくある質問
Red Hat の Trusted Profile Analyzer 製品およびサービスについてご質問はありますか?ここでは、Red Hat の Trusted Profile Analyzer 製品とサービスについて理解を深めるのに役立つよくある質問とその回答をまとめています。
- 問: Red Hat の Trusted Profile Analyzer とは何ですか?
- 問: Red Hat の Trusted Profile Analyzer サービスとは何ですか?
- 問: Red Hat Trusted Profile Analyzer を使用する利点は何ですか?
- 問: Red Hat の Trusted Profile Analyzer は誰が使用すべきでしょうか?
- 問: Trusted Profile Analyzer はどのような問題を解決しますか?
- 問: Trusted Profile Analyzer は SBOM の管理と分析にどのように役立ちますか?
- 問: Red Hat は Trusted Profile Analyzer をどのように使用しますか?
- 問: RHTPA はどのような種類の SBOM を分析できますか?
- 問: RHTPA はどのような SBOM 形式を受け入れますか?
- 問: 開発ワークフローにどのように統合されますか?
- 問: どのような種類のデプロイメントがサポートされていますか?
- 問: 詳細を知りたい場合や開始したい場合はどこでできますか?
Red Hat の Trusted Profile Analyzer とは何ですか?
Red Hat Trusted Profile Analyzer は、Red Hat Trusted Software Supply Chain スイート内の製品であり、組織がソフトウェア部品表 (SBOM)、ベンダー VEX (Vulnerability Exploitability eXchange)、および CVE (Common Vulnerabilities and Exposures) 情報を管理および分析するのに役立ちます。これにより、セキュリティー、開発者、DevSecOps チームは、開発を遅らせたり、運用の複雑さを増大させたりすることなく、カスタム、サードパーティー、オープンソースのソフトウェアコンポーネント全体のリスクプロファイルを評価できるようになります。
Red Hat の Trusted Profile Analyzer サービスとは何ですか?
Red Hat の Trusted Profile Analyzer サービスは、アプリケーションの SBOM を分析して、オープンソースソフトウェア (OSS) 依存関係のセキュリティーと脆弱性のリスクを検出し、アプリケーションリスクプロファイルを提供します。RHTPA サービスには、CVE アグリゲーターと Red Hat Security アドバイザリーからの脆弱性情報が含まれています。
Trusted Profile Analyzer サービスは 、Red Hat の Hybrid Cloud Console 上でホストされるインスタンスです。このサービスを無料で利用して、SBOM をサービスに直接アップロードすることで、リスクプロファイルを評価できます。Red Hat は SBOM のコピーを保持しません。
Red Hat Trusted Profile Analyzer を使用する利点は何ですか?
- ソフトウェアサプライチェーン全体の透明性が向上します。
- 脆弱性の早期検出と修復。
- SBOM、VEX、CVE データの集中管理。
- 実稼働環境にセキュリティー上の不具合を持ち込むリスクが軽減されます。
- ソフトウェアセキュリティーに関する業界標準への準拠が向上しました。
Red Hat の Trusted Profile Analyzer は誰が使用すべきでしょうか?
Red Hat Trusted Profile Analyzer は、ソフトウェア開発、セキュリティー、運用 (DevSecOps) に携わり、ソフトウェアサプライチェーン (特にオープンソースおよびサードパーティーのコンポーネントを使用するソフトウェア) を管理および保護する必要がある組織やチームに最適です。
Trusted Profile Analyzer はどのような問題を解決しますか?
Red Hat Trusted Profile Analyzer は、組織が次のことを実行できるようにすることで、ソフトウェアサプライチェーンの透明性とセキュリティーのニーズに対応します。
- SBOM と脆弱性修復情報を効率的に管理します。
- オープンソースソフトウェアの脆弱性や、ソフトウェアインベントリー全体にわたる独自のコードベースに関する最新情報を常に把握します。
- 開発プロセスの早い段階で脆弱性を排除します。
- ライセンス情報を分析して公開します。
- 規制遵守を確実にします。
Trusted Profile Analyzer は SBOM の管理と分析にどのように役立ちますか?
Trusted Profile Analyzer は、ソフトウェアインベントリーを作成する SBOM のストレージと管理を提供し、組織が社内アプリケーションやサードパーティーベンダーのソフトウェアコンポーネントの包括的な記録をサポートできるようにします。Trusted Profile Analyzer は、CVE および Common Security Advisory Framework (CSAF) VEX セキュリティーアドバイザリーを使用して SBOM 内のコンポーネントの相互参照をサポートし、ソフトウェアサプライチェーンの透明性を確保するアプリケーションリスクプロファイルを提供します。
Red Hat は Trusted Profile Analyzer をどのように使用しますか?
Trusted Profile Analyzer は、Red Hat の社内ソフトウェアサプライチェーンの重要な部分です。これにより、Red Hat に SBOM ストレージ、リスクプロファイリング、分析の信頼できる情報源が提供されます。
RHTPA はどのような種類の SBOM を分析できますか?
Trusted Profile Analyzer は、ソースコードから直接作成された SBOM、ビルドプロセス中に生成された SBOM、またはコンテナーやパッケージなどのアーティファクトの分析によって生成された SBOM を分析できます。
RHTPA はどのような SBOM 形式を受け入れますか?
Trusted Profile Analyzer は、CycloneDX 1.6 以下および SPDX 2.3 以下でフォーマットされた SBOM をサポートします。
開発ワークフローにどのように統合されますか?
RHTPA を CI/CD パイプラインに統合するのは、SBOM 生成のタスクを追加して、Trusted Profile Analyzer サービスにアップロードするだけです。
どのような種類のデプロイメントがサポートされていますか?
RHTPA は、Red Hat Enterprise Linux または Red Hat OpenShift Container Platform にデプロイできます。詳細は、RHTPA デプロイメントガイド を参照してください。
詳細を知りたい場合や開始したい場合はどこでできますか?
詳細情報、ドキュメント、および開始に役立つリソースについては、Red Hat Developers の Red Hat Trusted Profile Analyzer の概要 ページを参照してください。