Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

リファレンスガイド

Red Hat Trusted Profile Analyzer 2

Red Hat Trusted Profile Analyzer の追加の参照情報

Red Hat Trusted Documentation Team

概要

このリファレンスガイドでは、Red Hat の Trusted Profile Analyzer サービスに関する追加情報をユーザーに提供します。

はじめに
リンクのコピー

Red Hat Trusted Profile Analyzer (RHTPA) リファレンスガイドへようこそ。

このガイドには、Trusted Profile Analyzer サービスに関する一般的なリファレンス資料が記載されています。

第1章 software bill of materials マニフェストファイルの作成
リンクのコピー

Red Hat Trusted Profile Analyzer は、JSON ファイル形式を使用して CycloneDX および Software Package Data Exchange (SPDX) SBOM 形式の両方を分析できます。コンテナーイメージから Software Bill of Materials (SBOM) マニフェストファイルを作成したり、アプリケーションに使用したりするために、多くのオープンソースツールを利用できます。この手順では、Syft ツールを使用します。

重要

現在、Trusted Profile Analyzer は、CycloneDX バージョン 1.3、1.4、1.5 と、SPDX バージョン 2.2、2.3 のみをサポートしています。

前提条件

手順

  1. コンテナーイメージを使用して SBOM を作成するには、以下を行います。

    CycloneDX 形式:

    構文

    syft IMAGE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 

    $ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap

    SPDX 形式:

    構文

    syft IMAGE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 

    $ syft registry:example.io/hello-world:latest -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap

    注記

    Syft は多くの種類のコンテナーイメージソースをサポートしています。公式にサポートされているソースリストは、Syft の GitHub サイト を参照してください。

  2. ローカルファイルシステムをスキャンして SBOM を作成します。

    CycloneDX 形式:

    構文

    syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5
syft file: FILE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 

    $ syft dir:. -o cyclonedx-json@1.5
$ syft file:/example-binary -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap

    SPDX 形式:

    構文

    syft dir: DIRECTORY_PATH -o spdx-json@2.3
syft file: FILE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 

    $ syft dir:. -o spdx-json@2.3
$ syft file:/example-binary -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap

第2章 ライセンス情報のダウンロードと表示
リンクのコピー

Red Hat の Trusted Profile Analyzer (RHTPA) は、CycloneDX と Software Package Data Exchange (SPDX) SBOM ドキュメントの両方を分析できます。CycloneDX または SPDX 形式でアップロードされたソフトウェア部品表 (SBOM) ドキュメントからライセンス情報をダウンロードして表示できます。CycloneDX と SPDX の 2 つのライセンス形式の違いの詳細は、関連情報のセクションを参照してください。

前提条件

  • Red Hat OpenShift または Red Hat Enterprise Linux への RHTPA サービスのインストール。
  • アップロードされた CycloneDX 1.3、1.4、または 1.5 または SPDX 2.2、2.3 ドキュメント。

手順

  1. Web ブラウザーを開き、RHTPA コンソールにログインします。
  2. ホームページで、ナビゲーションサイドバーの Search をクリックします。
  3. リストから SBOM を見つけます。
  4. ドロップダウンメニューをクリックし、Download License Export をクリックします。
  5. ダウンロードした .zip ファイルからライセンス情報を抽出します。

  6. CSV (comma-separated values) ファイルを開いて表示します。

    注記

    ライセンス参照 CSV ファイルは、SPDX 形式の SBOM のみで利用できます。

第3章 よくある質問
リンクのコピー

Red Hat Trusted Profile Analyzer 製品およびサービスについてご質問はありますか?ここでは、Red Hat の Trusted Profile Analyzer 製品とサービスについて理解を深めるのに役立つよくある質問とその回答をまとめています。

問:

Red Hat の Trusted Profile Analyzer とは何ですか?

答:

Red Hat Trusted Profile Analyzer は、Red Hat Trusted Software Supply Chain スイート内の製品であり、組織がソフトウェア部品表 (SBOM)、ベンダー VEX (Vulnerability Exploitability eXchange)、および CVE (Common Vulnerabilities and Exposures) 情報を管理および分析するのに役立ちます。これにより、セキュリティー、開発者、DevSecOps チームは、開発を遅らせたり、運用の複雑さを増大させたりすることなく、カスタム、サードパーティー、オープンソースのソフトウェアコンポーネント全体のリスクプロファイルを評価できるようになります。

問:

Red Hat の Trusted Profile Analyzer サービスとは何ですか?

答:

Red Hat の Trusted Profile Analyzer サービスは、アプリケーションの SBOM を分析して、オープンソースソフトウェア (OSS) 依存関係のセキュリティーと脆弱性のリスクを検出し、アプリケーションリスクプロファイルを提供します。RHTPA サービスには、CVE アグリゲーターと Red Ha セキュリティーアドバイザリーからの脆弱性情報が含まれています。

Trusted Profile Analyzer サービスは Red Hat の Hybrid Cloud Console でホストされるインスタンスです。無料のこのサービスを利用して、SBOM をサービスに直接アップロードすることで、リスクプロファイルを評価できます。Red Hat は SBOM のコピーを保持しません。

問:

Red Hat Trusted Profile Analyzer を使用する利点は何ですか?

答:
  • ソフトウェアサプライチェーン全体の透明性が向上する。
  • 脆弱性が早期に検出され、修復される。
  • SBOM、VEX、CVE データが集中管理される。
  • 実稼働環境にセキュリティー上の不具合が入り込むリスクが軽減される。
  • ソフトウェアセキュリティーに関する業界標準への準拠の状況が改善される。
問:

Red Hat の Trusted Profile Analyzer は誰が使用すべきでしょうか?

答:

Red Hat Trusted Profile Analyzer は、ソフトウェア開発、セキュリティー、運用 (DevSecOps) に携わり、ソフトウェアサプライチェーン (特にオープンソースおよびサードパーティーのコンポーネントを使用するソフトウェア) を管理および保護する必要がある組織やチームに最適です。

問:

Trusted Profile Analyzer はどのような問題を解決しますか?

答:

Red Hat Trusted Profile Analyzer は、組織が次のことを実行できるようにして、ソフトウェアサプライチェーンの透明性とセキュリティー要件に対応します。

  • SBOM と脆弱性修復情報を効率的に管理する。
  • オープンソースソフトウェアの脆弱性や、ソフトウェアインベントリー全体にわたる独自のコードベースに関する最新情報を常に把握する。
  • 開発プロセスの早い段階で脆弱性を排除する。
  • ライセンス情報を分析して公開する。
  • 規制遵守を確実にする。
問:

Trusted Profile Analyzer は SBOM の管理と分析にどのように役立ちますか?

答:

Trusted Profile Analyzer は、ソフトウェアインベントリーを作成する SBOM のストレージと管理を提供し、組織が社内アプリケーションやサードパーティーベンダーのソフトウェアコンポーネントの包括的な記録をサポートできるようにします。Trusted Profile Analyzer は、CVE および Common Security Advisory Framework (CSAF) VEX セキュリティーアドバイザリーを使用して SBOM 内のコンポーネントの相互参照をサポートし、ソフトウェアサプライチェーンの透明性を確保するアプリケーションリスクプロファイルを提供します。

問:

Red Hat は Trusted Profile Analyzer をどのように使用しますか?

答:

Trusted Profile Analyzer は、Red Hat の社内ソフトウェアサプライチェーンで重要な部分です。これにより、Red Hat に SBOM ストレージ、リスクプロファイリング、分析に関して信頼できる情報源が提供されます。

問:

RHTPA はどのような種類の SBOM を分析できますか?

答:

Trusted Profile Analyzer は、ソースコードから直接作成された SBOM、ビルドプロセス中に生成された SBOM、またはコンテナーやパッケージなどのアーティファクトの分析によって生成された SBOM を分析できます。

問:

RHTPA ではどのような SBOM 形式を使用できますか?

答:

Trusted Profile Analyzer は、CycloneDX 1.6 以下および SPDX 2.3 以下でフォーマットされた SBOM をサポートします。

問:

開発ワークフローにどのように統合されますか?

答:

RHTPA を CI/CD パイプラインに統合するのは、SBOM 生成のタスクを追加して、Trusted Profile Analyzer サービスにアップロードするだけです。

問:

どのような種類のデプロイメントがサポートされていますか?

答:

RHTPA は、Red Hat Enterprise Linux または Red Hat OpenShift Container Platform にデプロイできます。詳細は、RHTPA デプロイメントガイド を参照してください。

問:

RHTPA の詳細はどこで確認できますか、またどこから使用開始できますか?

答:

詳細情報、ドキュメント、および開始に役立つリソースについては、Red Hat Developers の Red Hat Trusted Profile Analyzer の概要 ページを参照してください。

第4章 用語集
リンクのコピー

Red Hat の Trusted Profile Analyzer サービスの一般的な用語と定義。

Exhort
Trusted Profile Analyzer のバックエンドエンドポイント。パッケージの依存関係や脆弱性など、分析に必要なデータを取得するために、すべての API リクエストが送信されます。Red Hat Dependency Analytics (RHDA) 統合開発環境 (IDE) プラグインは、このエンドポイントを使用して IDE フレームワーク内で脆弱性レポートを生成します。
Software Bill of Materials
略して SBOM とも呼ばれます。特定のアプリケーションに必要な依存ソフトウェアパッケージのマニフェスト。
Single Pane of Glass
略して SPOG とも呼ばれます。Trusted Profile Analyzer Web ダッシュボードおよび通知の RESTful アプリケーションプログラミングインターフェイス (API)。
Vulnerability Exploitability eXchange
略して VEX とも呼ばれます。製品内の特定の脆弱性に関してソフトウェアプロバイダーが発行するセキュリティー勧告。
Common Vulnerability and Exposures
略して CVE とも呼ばれます。CVE は、製品が攻撃や悪意のある活動にさらされることを 1 ~ 10 のスコアで示します。1 は、危険レベルが最低、10 は最高となっています。
Common Vulnerability Score System
略して CVSS とも呼ばれます。CVSS は、幅広い製品やネットワークで CVE を計算する場合に、特定の式に従って CVE スコアを算出します。

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat