Red Hat SummitRelease Notes
Red Hat Trusted Profile Analyzer 2.0.1 のリリースノート
概要
第1章 はじめに
Red Hat Trusted Profile Analyzer (RHTPA) は、オープンソースソフトウェア (OSS) パッケージと依存関係のリスク管理を支援するプロアクティブなサービスです。Trusted Profile Analyzer サービスは、ソフトウェアサプライチェーン内で発見された OSS の脆弱性を認識し、修復します。
Trusted Profile Analyzer ソフトウェアリリースノートでは、最新バージョンの 2.0.1 の新機能と機能拡張、バグ修正、既知の問題が記載されています。メジャーリリースとマイナーリリースのライフサイクルを通じて公式リリースノートを基に構築されるため、各章の先頭に最新の項目が追加されます。
このリリースの新機能
- SBOM 一括アップロードパフォーマンスが改善されました。
- カスタムトラストアンカーを使用した S3 エンドポイントのサポートが追加されました。
- アドバイザリーおよび脆弱性情報のデータインポーター。
- RHTPA API を使用して脆弱性情報を削除する機能が非推奨になりました。
第2章 新機能および機能拡張
この Red Hat Trusted Profile Analyzer (RHTPA) リリースで導入された主要な機能拡張と新機能すべてのリスト。
このリリースで追加された機能および機能拡張は次のとおりです。
SBOM 一括アップロードパフォーマンスが改善されました
このリリースでは、Software Bill of Materials (SBOM) ドキュメントを一括アップロードする際のアプリケーションパフォーマンスが向上しました。/api/v2/dataset エンドポイントを使用して SBOM の一括アップロードを実行できます。
カスタムトラストアンカーを使用した S3 エンドポイントのサポートが追加されました。
このリリースでは、RHTPA デプロイメント用のカスタムトラストアンカーを備えた Simple Storage Service (S3) エンドポイントのサポートが追加されました。
アドバイザリーおよび脆弱性データのインポーター
RHTPA のインポーターを使用すると、さまざまなリモートソースからアドバイザリーおよび脆弱性データを取得できます。RHTPA はこのデータを使用して、ソフトウェア部品表 (SBOM) および Common Security Advisory Framework (CSAF) ドキュメントを分析する際に、より詳しい情報を提供します。詳細は、RHTPA 管理ガイド を参照してください。
第3章 バグ修正
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースでは、次のバグが修正されました。これらの修正に加えて、以前のバージョンで発見され修正された既知の問題の説明もリストします。
ドキュメントを削除するとデータモデルが壊れる可能性があります
API を使用してソフトウェア部品表 (SBOM) および Common Security Advisory Framework (CSAF) ドキュメントを削除すると、データモデルが破損していました。これにより、RHTPA が不安定になる可能性があります。このリリースではこのバグが修正され、API を使用して SBOM および CSAF ドキュメントを削除できるようになりました。
時間的コンポーネントまたは環境的コンポーネントを含むドキュメントをアプロードすることで発生したパニックを修正しました。
この更新前は、Common Vulnerability Scoring System (CVSS) スコアに時間的コンポーネントまたは環境的コンポーネントが含まれるドキュメントをアップロードすると、タスクプロセスがパニックを起こしていました。現在、RHTPA は時間的または環境的なコンポーネントをサポートしていないため、サポートされていないコンポーネントを含むこのドキュメントは通常のエラーとして報告されます。このリリースでは、プロセスがパニックになり、アップロードプロセスの現在のステップのみが失敗してアップロードプロセスが続行される問題を修正しました。
Python パッケージが脆弱性の影響を受けると誤って報告されました
Software Bill of Materials (SBOM) ドキュメントに、1.0-rc0 のように、ダッシュの付いた Python パッケージバージョンが含まれている場合、RHTPA は誤検知を返し、パッケージが脆弱性の影響を受けていると報告します。このリリースでは、Python パッケージのバージョンを比較する際のバグを修正し、ダッシュを含むバージョン番号を正しく処理できるようになりました。
第4章 既知の問題
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースで解決された既知の問題:
このリリースで見つかった未解決の既知の問題のリスト:
SBOM バージョンで検索すると、一貫性のない結果が返されます
Software Bill of Materials (SBOM) のバージョン番号を検索条件として使用すると、一貫性のない結果が返される可能性があります。場合によっては、検索エンジンは、ファイル名または document_id フィールドにバージョン番号を含む SBOM バージョン番号を検出することがあります。それ以外の場合、有効な SBOM バージョン番号があっても、検索エンジンで一致する SBOM バージョンが検出されません。現在、この問題に対する回避策はありません。
SBOM アップロードは 100% から開始されます
RHTPA コンソール内の Upload ページから複数のファイルをアップロードする場合、アップロードを待機している SBOM ドキュメントには 0% ではなく 100% が表示されます。現在、この問題に対する回避策はありません。
長い SBOM 名は円グラフの境界外に表示されます
Software Bill of Materials (SBOM) の名前が長い場合、名前が円グラフの境界を超えることがあります。現在、この問題に対する回避策はありません。
API を使用した一括アップロード時にリモートサーバー接続が切断されます
RHTPA API を使用する圧縮された SBOM ドキュメント (たとえば、350 MB の圧縮ファイル) をアップロードすると、リモート RHTPA サービスへの接続が切断されることがあります。これにより、ファイルの部分的なアップロードが行われます。この問題を回避するには、大きな SBOM ドキュメントを、たとえば約 10 - 20 MB のサイズの圧縮ファイルなど、小さなサイズに分割します。これにより、アップロードが正常に完了します。
脆弱性情報は API を使用して削除できません
RHTPA API を使用して脆弱性および Common Vulnerabilities and Exposures (CVE) 情報を削除すると、外部キー制約のエラーメッセージが表示されます。このリリースでは、戻りコードに Not implemented のメッセージが追加されました。今後のリリースでは、この削除機能は廃止される予定です。
CPE バージョン 2.3 はサポートされていません
文字列バインディングでフォーマットされた Common Platform Enumeration (CPE) 仕様と Software Bill of Materials (SBOM) は、RHTPA コンソールおよびライセンス情報のエクスポート時に正しくレンダリングされません。現在、この問題に対する回避策はありません。
Trusted Profile Analyzer 2.0 には Helm バージョン 3.17 以降が必要です。
RHTPA 2.0 をインストールするには、Helm バージョン 3.17 以降を使用して、Red Hat OpenShift Container Platform に Trusted Profile Analyzer サービスをデプロイする必要があります。
CVSS v4 スコアはサポートされていません。
現在、RHTPA では Common Vulnerability Scoring System (CVSS) バージョン 4 スコアはサポートされていません。
環境または時間スコアを持つアドバイザリーのアップロードに失敗します
Common Vulnerability Scoring System (CVSS) ベクトルに環境スコアまたは時間スコアが含まれる Common Security Advisory Framework (CSAF) ドキュメントは、RHTPA にアップロードするときに失敗する可能性があります。このアップロードの失敗が原因で、RHTPA コンソール内でアドバイザリーを表示できません。現在、この問題に対する回避策はありません。
第5章 非推奨の機能
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースまでのすべてのサポート対象リリースで廃止された機能を概説します。
脆弱性情報は API を使用して削除できません
RHTPA API を使用して脆弱性および Common Vulnerabilities and Exposures (CVE) 情報を削除すると、外部キー制約のエラーメッセージが表示されます。このリリースでは、戻りコードに Not implemented のメッセージが追加され、この削除機能は非推奨になりました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}