Red Hat Summit管理ガイド
Trusted Profile Analyzer サービスの一般管理
概要
はじめに
Red Hat Trusted Profile Analyzer (RHTPA) 管理ガイドへようこそ。
第1章 Red Hat Trusted Profile Analyzer の概要
Red Hat Trusted Profile Analyzer (RHTPA) は、Red Hat Trusted Software Supply Chain スイート内の製品であり、組織がソフトウェアサプライチェーンのセキュリティーとリスク管理を管理するのに役立ちます。これにより、DevSecOps チームは、開発を遅らせたり、運用の複雑さを増大させたりすることなく、カスタム、サードパーティー、オープンソースのソフトウェアコンポーネント全体のリスクプロファイルを評価できるようになります。Trusted Profile Analyzer サービスは、アプリケーションのセキュリティープロファイルの集中化された統合ビュー (Single Pane of Glass (SPOG) ビューとも呼ばれます) を提供します。この SPOG ビューは、基盤となる RESTful アプリケーションプログラミングインターフェイス (API) を活用し、RHTPA Web コンソールと通知サービスの基盤を提供します。
Exhort は、Trusted Profile Analyzer のバックエンドエンドポイントであり、パッケージの依存関係や脆弱性などの分析に必要なデータを取得するために、すべての API リクエストが送信されます。Red Hat Dependency Analytics (RHDA) 統合開発環境 (IDE) プラグインは、このエンドポイントを使用して、IDE フレームワーク内で脆弱性レポートを生成します。
Trusted Profile Analyzer サービスは、次の重要なセキュリティードキュメントを集約、管理、分析することで動作します。
- ソフトウェア部品表 (SBOM): すべてのカスタム、サードパーティー、オープンソースソフトウェアコンポーネントの SBOM を保存、インデックス作成、クエリーして、共有レコードシステムを作成します。CycloneDX や SPDX などの形式をサポートしています。
- Vulnerability Exploitability eXchange (VEX) : 製品内の特定の脆弱性に対してソフトウェアプロバイダーが発行するセキュリティーアドバイザリーです。
- Common Vulnerabilities and Exposures (CVE): 攻撃や悪意のあるアクティビティーに対する製品の露出度を 1 - 10 のスコアで示します。1 が最低の露出レベル、10 が最高の露出レベルです。
Trusted Profile Analyzer サービスは、アドバイザリーデータと脆弱性データを定期的にインポートし、このデータを使用して SBOM ドキュメントのデータを相互参照します。これにより、チームは、IT の脆弱性を評価するための標準化されたオープンフレームワークである Common Vulnerability Scoring System (CVSS) などのメトリクスに基づいて潜在的な影響を解釈し、修復作業の優先順位付けと管理を行うことができます。
第2章 データ輸入者
Red Hat Trusted Profile Analyzer データインポーターを使用すると、さまざまなリモートソースからアドバイザリーおよび脆弱性データ、ソフトウェア部品表 (SBOM) ドキュメントを取得できます。その後、RHTPA はこのデータを使用して、SBOM および Common Security Advisory Framework (CSAF) ドキュメントを分析する際に、より詳しい情報を提供します。
- 利用可能なインポーター
デフォルトでは、RHTPA は次のインポーターソースで設定されます。
- Red Hat CSAF
- Red Hat SBOM
- Common Vulnerabilities and Exposures (CVE) リストバージョン 5
- GitHub アドバイザリーデータベース
- Quay
デフォルトでは、Red Hat CSAF、Red Hat SBOM、および Quay データインポーターは無効になっています。これらのインポーターは完了するまでに長時間かかる場合がありますが、これらのデータインポーターはいつでも有効化できます。Quay データインポーターは、Quay レジストリーをスキャンして、RHTPA が分析する既存の SBOM を探します。
- スケジューリング
- デフォルトでは、各インポーターソースの実行スケジュールは 1 日に設定されています。つまり、有効なインポーターソースは 1 日に 1 回実行されます。インポーターの最初の実行が正常に完了した後、次回の実行はインポーターのジョブが終了してから 24 時間後にスケジュールされます。
- コンピューティングリソース
Red Hat OpenShift Container Platform でコンピューティングリソースとそれらのリソースに対する制限を設定することは、アプリケーションが安定して実行され、期待どおりに機能することを保証するために重要です。インポーターと API サーバーの両方のデプロイメントにおいて、デフォルトのリソース要求は 1 CPU と 8 GB の RAM です。デフォルトではリソース制限はありません。
安定性を犠牲にしてリソース要件を削減するか、ワークロードをサポートするためにクラスターにさらに多くのリソースを割り当てることができます。コンピューティング要件がワークロードをサポートするのに十分でない場合、Pod は起動に失敗したり、"Pending" 状態のままになったりする可能性があります。
第3章 software bill of materials マニフェストファイルの作成
Red Hat Trusted Profile Analyzer は、JSON ファイル形式を使用して、CycloneDX と Software Package Data Exchange (SPDX) SBOM 形式の両方を分析できます。コンテナーイメージから Software Bill of Materials (SBOM) マニフェストファイルを作成したり、アプリケーションに使用したりするために、多くのオープンソースツールを利用できます。この手順では、Syft ツールを使用します。
現在、Trusted Profile Analyzer は、CycloneDX バージョン 1.3、1.4、1.5、1.6、および SPDX バージョン 2.2 および 2.3 のみをサポートしています。
前提条件
ワークステーションプラットフォームに Syft をインストールしている。
手順
コンテナーイメージを使用して SBOM を作成するには、以下を行います。
- CycloneDX フォーマット
syft IMAGE_PATH -o cyclonedx-json@1.5
syft IMAGE_PATH -o cyclonedx-json@1.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
$ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow - SPDX 形式
syft IMAGE_PATH -o spdx-json@2.3
syft IMAGE_PATH -o spdx-json@2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow syft registry:example.io/hello-world:latest -o spdx-json@2.3
$ syft registry:example.io/hello-world:latest -o spdx-json@2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記Syft は多くの種類のコンテナーイメージソースをサポートしています。公式にサポートされているソースリストは、Syft の GitHub サイト を参照してください。
ローカルファイルシステムをスキャンして SBOM を作成します。
- CycloneDX フォーマット
syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5 syft file: FILE_PATH -o cyclonedx-json@1.5
syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5 syft file: FILE_PATH -o cyclonedx-json@1.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow syft dir:. -o cyclonedx-json@1.5 syft file:/example-binary -o cyclonedx-json@1.5
$ syft dir:. -o cyclonedx-json@1.5 $ syft file:/example-binary -o cyclonedx-json@1.5Copy to Clipboard Copied! Toggle word wrap Toggle overflow - SPDX 形式
syft dir: DIRECTORY_PATH -o spdx-json@2.3 syft file: FILE_PATH -o spdx-json@2.3
syft dir: DIRECTORY_PATH -o spdx-json@2.3 syft file: FILE_PATH -o spdx-json@2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow syft dir:. -o spdx-json@2.3 syft file:/example-binary -o spdx-json@2.3
$ syft dir:. -o spdx-json@2.3 $ syft file:/example-binary -o spdx-json@2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第4章 software bill of materials ファイルのスキャン
Red Hat Hybrid Cloud Console 上の Red Hat Trusted Profile Analyzer (RHTPA) マネージドサービスを使用するか、独自に実行中の RHTPA インスタンスを使用して、ソフトウェア部品表 (SBOM) ドキュメントをスキャンして分析できます。Trusted Profile Analyzer サービスは、標準 SBOM、言語モデルを含む人工知能部品表 (AIBOM)、およびキー、証明書、ライブラリーを含む暗号化部品表 (CBOM) を分析できます。
Red Hat はスキャンした SBOM ドキュメントのコピーを保持しません。
前提条件
- 既存の CycloneDX 1.3、1.4、1.5、1.6 または Software Package Data Exchange (SPDX) 2.2、2.3 ドキュメントファイル。
手順
- Web ブラウザーを開きます。
- 実行中の RHTPA インスタンスの Trusted Profile Analyzer コンソール URL に移動します。
- 認証情報を使用して Trusted Profile Analyzer コンソールにログインします。
- ナビゲーションメニューから [SBOM] をクリックします。
- 脆弱性レポートの生成 ボタンをクリックします。
- SBOM ファイルをこのページに直接ドラッグアンドドロップするか、[ファイルの参照] ボタンをクリックして、スキャンする SBOM ファイルを選択できます。
- RHTPA が SBOM ファイルをスキャンすると、分析の概要と、SBOM ファイルに含まれるパッケージの特定の脆弱性情報が表示されます。
第5章 脆弱性とライセンス情報の検索
Red Hat の Trusted Profile Analyzer (RHTPA) サービスを使用すると、Red Hat 製品およびソフトウェアパッケージのソフトウェア部品表 (SBOM) ドキュメント、ソフトウェアライセンス表現、Common Vulnerabilities and Exposures (CVE)、およびアドバイザリーに関する情報を見つけることができます。
Trusted Profile Analyzer は、インポートされたデータを検索して最新の脆弱性情報を識別し、最新の Software Package Data Exchange (SPDX) 仕様を使用して SBOM ドキュメント内にあるさまざまなライセンス表現を定義します。
前提条件
- Red Hat Enterprise Linux または Red Hat OpenShift でホストされている実行中の RHTPA サービス。
手順
- Web ブラウザーを開き、RHTPA コンソールにログインします。
- ホームページで、ナビゲーションメニューから [検索] をクリックします。
- 検索フィールドに検索クエリーを入力します。
- 検索結果ページでは、検索クエリーに関連する SBOM ドキュメント、ソフトウェアパッケージ、脆弱性、アドバイザリーを表示できます。これらの結果は、日付範囲、SBOM 形式、ライセンス式でフィルタリングすることもできます。
第6章 ライセンス情報のダウンロードと表示
Red Hat Trusted Profile Analyzer ({acroynm}) は、CycloneDX と Software Package Data Exchange (SPDX) SBOM ドキュメントの両方を分析できます。CycloneDX または SPDX 形式でアップロードされたソフトウェア部品表 (SBOM) ドキュメントからライセンス情報をダウンロードして表示できます。CycloneDX と SPDX の 2 つのライセンス形式の違いの詳細は、関連情報のセクションを参照してください。
前提条件
- Red Hat OpenShift または Red Hat Enterprise Linux への {acroynm} サービスのインストール。
- アップロードされた CycloneDX 1.3、1.4、1.5、および 1.6 または SPDX 2.2、2.3 ドキュメント。
手順
- Web ブラウザーを開き、{acroynm} コンソールにログインします。
- ホームページで、ナビゲーションサイドバーの Search をクリックします。
- リストから SBOM を見つけます。
- オプションメニューアイコンをクリックし、[ライセンスのエクスポートのダウンロード] をクリックします。
-
ダウンロードした
.zipファイルからライセンス情報を抽出します。 CSV (comma-separated values) ファイルを開いて表示します。
注記ライセンス参照 CSV ファイルは、SPDX 形式の SBOM のみで利用できます。
第7章 SBOM とアドバイザリーのラベルの編集
ラベルを使用すると、SBOM やアドバイス情報を整理して、すばやく見つけることができます。Red Hat Trusted Profile Analyzer ({acroynm}) 内で SBOM とアドバイザリー情報を編集することで、ソフトウェア部品表 (SBOM) ドキュメントとアドバイザリーのカスタムラベルを管理できます。
前提条件
- RHTPA サービスがインストールされている。
- Web ブラウザー。
- RHTPA コンソールにアクセスするためのユーザー認証情報。
手順
- RHTPA コンソールのホームページで、ナビゲーションメニューの SBOMs または Advisories をクリックします。
- ラベルを編集する SBOM またはアドバイザリーの行で、行の末尾にある overflow menu をクリックし、Edit labels をクリックします。
Edit labels ページでは、ラベルを追加または削除できます。
- 新しいラベルを追加するには、Label フィールドにラベル名を入力し、Add ボタンをクリックします。
- ラベルを削除するには、Labels of SBOM セクションので、削除するラベルの X をクリックします。
- SBOM またはアドバイザリーのラベルの編集が完了したら、Save ボタンをクリックします。
第8章 SBOM 文書またはアドバイザリーの削除
Red Hat Trusted Profile Analyzer (RHTPA) サービスに保存されているソフトウェア部品表 (SBOM) ドキュメントとアドバイザリーを削除できます。この手順では、RHTPA Web ベースのコンソールを使用して SBOM ドキュメントまたはアドバイザリーを削除する方法について段階的に説明します。
前提条件
- Red Hat Enterprise Linux または Red Hat OpenShift でホストされている実行中の RHTPA サービス。
- RHPTA コンソールにアクセスします。
手順
- Web ブラウザーを開き、RHTPA コンソールにログインします。
- ホームページで、ナビゲーションメニューから [SBOM] または アドバイザリー をクリックします。
- リストで SBOM またはアドバイザリーを見つけて、オプションメニューアイコンをクリックし、[削除] をクリックします。
- 確認ダイアログが表示されるので、削除 ボタンをクリックします。
第9章 よくある質問
Red Hat Trusted Profile Analyzer についてご質問はありますか?ここでは、Red Hat の Trusted Profile Analyzer 製品とサービスについて理解を深めるのに役立つよくある質問とその回答をまとめています。
- 問: Red Hat の Trusted Profile Analyzer サービスとは何ですか?
- 問: Red Hat Trusted Profile Analyzer を使用する利点は何ですか?
- 問: Red Hat の Trusted Profile Analyzer は誰が使用すべきでしょうか?
- 問: Trusted Profile Analyzer はどのような問題を解決しますか?
- 問: Trusted Profile Analyzer は SBOM の管理と分析にどのように役立ちますか?
- 問: Red Hat は Trusted Profile Analyzer をどのように使用しますか?
- 問: RHTPA はどのような種類の SBOM を分析できますか?
- 問: RHTPA ではどのような SBOM 形式を使用できますか?
- 問: 開発ワークフローにどのように統合されますか?
- 問: どのような種類のデプロイメントがサポートされていますか?
- 問: 詳細を知りたい場合や、開始したい場合はどこでできますか?
Red Hat の Trusted Profile Analyzer サービスとは何ですか?
Red Hat の Trusted Profile Analyzer サービスは、アプリケーションの SBOM を分析して、オープンソースソフトウェア (OSS) 依存関係のセキュリティーと脆弱性のリスクを検出し、アプリケーションリスクプロファイルを提供します。RHTPA サービスには、CVE アグリゲーターと Red Ha セキュリティーアドバイザリーからの脆弱性情報が含まれています。
Trusted Profile Analyzer サービスは Red Hat の Hybrid Cloud Console でホストされるインスタンスです。無料のこのサービスを利用して、SBOM をサービスに直接アップロードすることで、リスクプロファイルを評価できます。Red Hat は SBOM のコピーを保持しません。
Red Hat Trusted Profile Analyzer を使用する利点は何ですか?
- ソフトウェアサプライチェーン全体の透明性が向上する。
- 脆弱性が早期に検出され、修復される。
- SBOM、VEX、CVE データが集中管理される。
- 実稼働環境にセキュリティー上の不具合が入り込むリスクが軽減される。
- ソフトウェアセキュリティーに関する業界標準への準拠の状況が改善される。
Red Hat の Trusted Profile Analyzer は誰が使用すべきでしょうか?
Red Hat Trusted Profile Analyzer は、ソフトウェア開発、セキュリティー、運用 (DevSecOps) に携わり、ソフトウェアサプライチェーン (特にオープンソースおよびサードパーティーのコンポーネントを使用するソフトウェア) を管理および保護する必要がある組織やチームに最適です。
Trusted Profile Analyzer はどのような問題を解決しますか?
Red Hat Trusted Profile Analyzer は、組織が次のことを実行できるようにして、ソフトウェアサプライチェーンの透明性とセキュリティー要件に対応します。
- SBOM と脆弱性修復情報を効率的に管理する。
- オープンソースソフトウェアの脆弱性や、ソフトウェアインベントリー全体にわたる独自のコードベースに関する最新情報を常に把握する。
- 開発プロセスの早い段階で脆弱性を排除する。
- ライセンス情報を分析して公開する。
- 規制遵守を確実にする。
Trusted Profile Analyzer は SBOM の管理と分析にどのように役立ちますか?
Trusted Profile Analyzer は、ソフトウェアインベントリーを作成する SBOM のストレージと管理を提供し、組織が社内アプリケーションやサードパーティーベンダーのソフトウェアコンポーネントの包括的な記録をサポートできるようにします。Trusted Profile Analyzer は、CVE および Common Security Advisory Framework (CSAF) VEX セキュリティーアドバイザリーを使用して SBOM 内のコンポーネントの相互参照をサポートし、ソフトウェアサプライチェーンの透明性を確保するアプリケーションリスクプロファイルを提供します。
Red Hat は Trusted Profile Analyzer をどのように使用しますか?
Trusted Profile Analyzer は、Red Hat の社内ソフトウェアサプライチェーンで重要な部分です。これにより、Red Hat に SBOM ストレージ、リスクプロファイリング、分析に関して信頼できる情報源が提供されます。
RHTPA はどのような種類の SBOM を分析できますか?
Trusted Profile Analyzer は、ソースコードから直接作成された SBOM、ビルドプロセス中に生成された SBOM、またはコンテナーやパッケージなどのアーティファクトの分析によって生成された SBOM を分析できます。
RHTPA ではどのような SBOM 形式を使用できますか?
Trusted Profile Analyzer は、CycloneDX 1.6 以下および SPDX 2.3 以下でフォーマットされた SBOM をサポートします。
開発ワークフローにどのように統合されますか?
RHTPA を CI/CD パイプラインに統合するのは、SBOM 生成のタスクを追加して、Trusted Profile Analyzer サービスにアップロードするだけです。
どのような種類のデプロイメントがサポートされていますか?
RHTPA は、Red Hat Enterprise Linux または Red Hat OpenShift Container Platform にデプロイできます。詳細は、RHTPA デプロイメントガイド を参照してください。
詳細を知りたい場合や、開始したい場合はどこでできますか?
詳細情報、ドキュメント、および開始に役立つリソースについては、Red Hat Developers の Red Hat Trusted Profile Analyzer の概要 ページを参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}