Red Hat Summitリリースノート
Red Hat Trusted Profile Analyzer 2.0.1 のリリースノート
概要
第1章 はじめに
Red Hat Trusted Profile Analyzer (RHTPA) は、オープンソースソフトウェア (OSS) パッケージと依存関係のリスク管理を支援するプロアクティブなサービスです。Trusted Profile Analyzer サービスは、ソフトウェアサプライチェーン内で発見された OSS の脆弱性を認識し、修復します。
Trusted Profile Analyzer ソフトウェアリリースノート では、最新バージョンの 2.0.1 の新機能と機能拡張、バグ修正、既知の問題が記載されています。メジャーリリースとマイナーリリースのライフサイクルを通じて公式リリースノートを基に構築されるため、各章の先頭に最新の項目が追加されます。
このリリースの新機能
- SBOM 一括アップロードパフォーマンスが改善されました。
- カスタムトラストアンカーを使用した S3 エンドポイントのサポートが追加されました。
- アドバイザリーおよび脆弱性情報のデータインポーター。
- RHTPA API を使用して脆弱性情報を削除する機能が非推奨になりました。
関連情報
- Red Hat Trusted Profile Analyzer ドキュメントは、こちら を参照してください。
第2章 新機能および機能拡張
この Red Hat Trusted Profile Analyzer (RHTPA) リリースで導入された主要な機能拡張と新機能すべてのリスト。
このリリースで追加された機能および機能拡張は次のとおりです。
SBOM 一括アップロードパフォーマンスの改善
このリリースでは、ソフトウェア BOM (Software BOM)ドキュメントの一括アップロードを行う際のアプリケーションのパフォーマンスが向上します。/api/v2/dataset エンドポイントを使用して SBOM の一括アップロードを実行できます。
カスタムトラストアンカーを使用した S3 エンドポイントのサポートが追加されました。
今回のリリースで、RHTPA デプロイメントのカスタムトラストアンカーを使用した Simple Storage Service (S3)エンドポイントのサポートが追加されました。
アドバイザリーおよび脆弱性データのインポーター
RHTPA のインポーターを使用すると、さまざまなリモートソースからアドバイザリーおよび脆弱性データを取得できます。RHTPA はこのデータを使用して、ソフトウェア部品表 (SBOM) および Common Security Advisory Framework (CSAF) ドキュメントを分析する際に、より詳しい情報を提供します。詳細は、RHTPA 管理ガイド を参照してください。
第3章 バグ修正
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースでは、次のバグが修正されました。これらの修正に加えて、以前のバージョンで発見され修正された既知の問題の説明もリストします。
ドキュメントを削除すると、データモデルが破損する可能性があります
API を使用して Software Bill of Materials (SBOM)および Common Security Advisory Framework (CSAF)ドキュメントを削除したときに、データモデルの破損が発生していました。これにより、RHTPA が不安定になる可能性があります。このリリースではこのバグが修正され、API を使用して SBOM および CSAF ドキュメントを削除できます。
一時的なコンポーネントまたは環境コンポーネントを含むドキュメントをアップロードすることで発生するパニックを修正しました。
今回の更新以前は、一時的なコンポーネントまたは環境コンポーネントを持つ Common Vulnerability Scoring System (CVSS)スコアを使用してドキュメントをアップロードすると、タスクプロセスがパニックが発生していました。現在、RHTPA は一時的なコンポーネントまたは環境コンポーネントをサポートしておらず、このドキュメントは、サポートされていないコンポーネントを通常のエラーとして報告しています。このリリースでは、プロセスがパニックを引き起こす問題を解決し、アップロードプロセスの現在の手順のみに失敗し、アップロードプロセスを続行できるようになりました。
Python パッケージによる脆弱性の影響を受けると誤って報告される
Software Bill of Materials (SBOM)ドキュメントに、ダッシュが付いた Python パッケージバージョン( 1.0-rc0 など)が含まれている場合、RHTPA は誤検出となり、パッケージが脆弱性の影響を受けることを報告します。このリリースでは、Python パッケージバージョンを比較して、ダッシュ付きのバージョン番号を正しく処理する際のバグが修正されました。
第4章 既知の問題
Red Hat Trusted Profile Analyzer (RHTPA) のこのリリースで解決された既知の問題:
このリリースで見つかった未解決の既知の問題のリスト:
SBOM のアップロードは 100% から開始
RHTPA コンソール内の Upload ページから複数のファイルをアップロードする場合、それらの SBOM ドキュメントは 0% ではなく、アップロードを待機している 100 が表示されます。現在、この問題に対する回避策はありません。
SBOM 名が円グラフの境界外に表示される
ソフトウェア BOM (Bill of Materials)に長い名前がある場合は、その名前が円グラフの境界を超えることができます。現在、この問題に対する回避策はありません。
API を使用するリモートサーバー接続は一括アップロードでドロップされます。
RHTPA API を使用する圧縮された SBOM ドキュメント(たとえば 350 MB の圧縮ファイル)をアップロードすると、リモート RHTPA サービスへの接続がドロップできます。これにより、ファイルが部分的にアップロードされます。この問題を回避するには、より大きな SBOM ドキュメントを小さなサイズ(圧縮ファイルのサイズなど)に分割します。これにより、アップロードが正常に完了します。
脆弱性情報は API を使用して削除できません
RHTPA API を使用して脆弱性と CVE (Common Vulnerabilities and Exposures)情報を削除すると、外部キー制約のエラーメッセージが表示されます。今回のリリースにより、リターンコードに Not implemented メッセージを追加しました。将来のリリースでは、この削除機能は廃止される予定です。
CPE バージョン 2.3 はサポートされていません
文字列バインディングでフォーマットされた Common Platform Enumeration (CPE)仕様および Software Bill of Materials (SBOM)は、RHTPA コンソールで適切にレンダリングされず、ライセンス情報をエクスポートする場合。現在、この問題に対する回避策はありません。
Trusted Profile Analyzer 2.0 には Helm バージョン 3.17 以降が必要です。
RHTPA 2.0 をインストールするには、Helm バージョン 3.17 以降を使用して、Red Hat OpenShift Container Platform に Trusted Profile Analyzer サービスをデプロイする必要があります。
CVSS v4 スコアはサポートされていません。
現在、RHTPA では Common Vulnerability Scoring System (CVSS) バージョン 4 スコアはサポートされていません。
環境または一時的なスコアを持つアドバイザリーがアップロードに失敗する
RHTPA にアップロードするときに、環境または一時的なスコアを持つ Common Vulnerability Scoring System (CVSS)ベクトルを含む Common Security Advisory Framework (CSAF)ドキュメントが失敗する可能性があります。このアップロードの失敗により、RHTPA コンソール内にアドバイザリーは表示されません。現在、この問題に対する回避策はありません。
第5章 非推奨の機能
Red Hat Trusted Profile Analyzer (RHTPA)の本リリースまでのサポートされるすべてのリリースにおける非推奨の機能の概要です。
脆弱性情報は API を使用して削除できません
RHTPA API を使用して脆弱性と CVE (Common Vulnerabilities and Exposures)情報を削除すると、外部キー制約のエラーメッセージが表示されます。今回のリリースにより、戻りコードに Not implemented メッセージが追加され、この delete 関数が非推奨になりました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}