第3章 よくある質問

Red Hat Trusted Profile Analyzer は、Red Hat Trusted Software Supply Chain スイート内の製品であり、組織がソフトウェア部品表 (SBOM)、ベンダー VEX (Vulnerability Exploitability eXchange)、および CVE (Common Vulnerabilities and Exposures) 情報を管理および分析するのに役立ちます。これにより、セキュリティー、開発者、DevSecOps チームは、開発を遅らせたり、運用の複雑さを増大させたりすることなく、カスタム、サードパーティー、オープンソースのソフトウェアコンポーネント全体のリスクプロファイルを評価できるようになります。

Red Hat の Trusted Profile Analyzer サービスは、アプリケーションの SBOM を分析して、オープンソースソフトウェア (OSS) 依存関係のセキュリティーと脆弱性のリスクを検出し、アプリケーションリスクプロファイルを提供します。RHTPA サービスには、CVE アグリゲーターと Red Ha セキュリティーアドバイザリーからの脆弱性情報が含まれています。

Trusted Profile Analyzer サービスは Red Hat の Hybrid Cloud Console でホストされるインスタンスです。無料のこのサービスを利用して、SBOM をサービスに直接アップロードすることで、リスクプロファイルを評価できます。Red Hat は SBOM のコピーを保持しません。

Red Hat Trusted Profile Analyzer は、ソフトウェア開発、セキュリティー、運用 (DevSecOps) に携わり、ソフトウェアサプライチェーン (特にオープンソースおよびサードパーティーのコンポーネントを使用するソフトウェア) を管理および保護する必要がある組織やチームに最適です。

Red Hat Trusted Profile Analyzer は、組織が次のことを実行できるようにして、ソフトウェアサプライチェーンの透明性とセキュリティー要件に対応します。

Trusted Profile Analyzer は、ソフトウェアインベントリーを作成する SBOM のストレージと管理を提供し、組織が社内アプリケーションやサードパーティーベンダーのソフトウェアコンポーネントの包括的な記録をサポートできるようにします。Trusted Profile Analyzer は、CVE および Common Security Advisory Framework (CSAF) VEX セキュリティーアドバイザリーを使用して SBOM 内のコンポーネントの相互参照をサポートし、ソフトウェアサプライチェーンの透明性を確保するアプリケーションリスクプロファイルを提供します。

Trusted Profile Analyzer は、Red Hat の社内ソフトウェアサプライチェーンで重要な部分です。これにより、Red Hat に SBOM ストレージ、リスクプロファイリング、分析に関して信頼できる情報源が提供されます。

Trusted Profile Analyzer は、ソースコードから直接作成された SBOM、ビルドプロセス中に生成された SBOM、またはコンテナーやパッケージなどのアーティファクトの分析によって生成された SBOM を分析できます。

Trusted Profile Analyzer は、CycloneDX 1.6 以下および SPDX 2.3 以下でフォーマットされた SBOM をサポートします。

RHTPA を CI/CD パイプラインに統合するのは、SBOM 生成のタスクを追加して、Trusted Profile Analyzer サービスにアップロードするだけです。

RHTPA は、Red Hat Enterprise Linux または Red Hat OpenShift Container Platform にデプロイできます。詳細は、RHTPA デプロイメントガイド を参照してください。

詳細情報、ドキュメント、および開始に役立つリソースについては、Red Hat Developers の Red Hat Trusted Profile Analyzer の概要 ページを参照してください。