Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

リファレンスガイド

Red Hat Trusted Profile Analyzer 2

Red Hat Trusted Profile Analyzer の追加の参照情報

Red Hat Trusted Documentation Team

概要

このリファレンスガイドでは、Red Hat の Trusted Profile Analyzer サービスに関する追加情報をユーザーに提供します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

はじめに

Red Hat Trusted Profile Analyzer (RHTPA) リファレンスガイドへようこそ。

このガイドには、Trusted Profile Analyzer サービスに関する一般的なリファレンス資料が記載されています。

第1章 software bill of materials マニフェストファイルの作成

Red Hat Trusted Profile Analyzer は、JSON ファイル形式を使用して CycloneDX および Software Package Data Exchange (SPDX) SBOM 形式の両方を分析できます。コンテナーイメージから Software Bill of Materials (SBOM) マニフェストファイルを作成したり、アプリケーションに使用したりするために、多くのオープンソースツールを利用できます。この手順では、Syft ツールを使用します。

重要

現在、Trusted Profile Analyzer は、CycloneDX バージョン 1.3、1.4、1.5 と、SPDX バージョン 2.2、2.3 のみをサポートしています。

前提条件

手順

  1. コンテナーイメージを使用して SBOM を作成するには、以下を行います。

    CycloneDX 形式:

    構文

    syft IMAGE_PATH -o cyclonedx-json@1.5

    $ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5

    SPDX 形式:

    構文

    syft IMAGE_PATH -o spdx-json@2.3

    $ syft registry:example.io/hello-world:latest -o spdx-json@2.3

    注記

    Syft は多くの種類のコンテナーイメージソースをサポートしています。公式にサポートされているソースリストは、Syft の GitHub サイト を参照してください。

  2. ローカルファイルシステムをスキャンして SBOM を作成します。

    CycloneDX 形式:

    構文

    syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5
syft file: FILE_PATH -o cyclonedx-json@1.5

    $ syft dir:. -o cyclonedx-json@1.5
$ syft file:/example-binary -o cyclonedx-json@1.5

    SPDX 形式:

    構文

    syft dir: DIRECTORY_PATH -o spdx-json@2.3
syft file: FILE_PATH -o spdx-json@2.3

    $ syft dir:. -o spdx-json@2.3
$ syft file:/example-binary -o spdx-json@2.3

関連情報

第2章 ライセンス情報のダウンロードと表示

Red Hat の Trusted Profile Analyzer (RHTPA) は、CycloneDX と Software Package Data Exchange (SPDX) SBOM ドキュメントの両方を分析できます。CycloneDX または SPDX 形式でアップロードされたソフトウェア部品表 (SBOM) ドキュメントからライセンス情報をダウンロードして表示できます。CycloneDX と SPDX の 2 つのライセンス形式の違いの詳細は、関連情報のセクションを参照してください。

前提条件

  • Red Hat OpenShift または Red Hat Enterprise Linux への RHTPA サービスのインストール。
  • アップロードされた CycloneDX 1.3、1.4、または 1.5 または SPDX 2.2、2.3 ドキュメント。

手順

  1. Web ブラウザーを開き、RHTPA コンソールにログインします。
  2. ホームページで、ナビゲーションサイドバーの Search をクリックします。
  3. リストから SBOM を見つけます。
  4. ドロップダウンメニューをクリックし、Download License Export をクリックします。
  5. ダウンロードした .zip ファイルからライセンス情報を抽出します。

  6. CSV (comma-separated values) ファイルを開いて表示します。

    注記

    ライセンス参照 CSV ファイルは、SPDX 形式の SBOM のみで利用できます。

関連情報

第3章 よくある質問

信頼できるプロファイルのアナライザーに関する質問がありますか。ここでは、Red Hat の Trusted Profile Analyzer サービスの理解を深めるのに役立つ、一般的な質問とその回答をまとめています。

問:

Red Hat の Trusted Profile Analyzer サービスとは何ですか?

答:

Red Hat の Trusted Profile Analyzer サービスは、アプリケーションスタック内のオープンソースソフトウェア (OSS) パッケージと依存関係を使用する場合のセキュリティーと脆弱性のリスクを評価する際に役立つ先を見越したサービスです。

問:

Red Hat の Trusted Profile Analyzer サービスを使用する方法は?

答:

Red Hat の Trusted Profile Analyzer サービスを使用する方法は 2 つあります。まず、Microsoft の Visual Studio Code や Jet Brains の IntelliJ IDEA など、統合開発環境 (IDE) プラットフォーム用の Dependency Analytics 拡張機能を使用します。Dependency Analytics を使用すると、アプリケーションの作成時に脆弱性に関するガイダンスが提供されます。次に、Red Hat の Hybrid Cloud Console で Red Hat 製品の Software Bill of Materials (SBOM) と Vulnerability Exploitability eXchange (VEX) 情報を検索します。

問:

Trusted Profile Analyzer サービスではどのようなコンテンツが利用できますか?

答:

Java、NodeJS、Python、Go、および Red Hat Enterprise Linux パッケージのアプリケーションライブラリーにアクセスできます。オープンソースパッケージに関する脆弱性情報は、Red Hat の内部リソース、Snyk などの Red Hat のパートナーエコシステム、およびオープンソースコミュニティーのデータソースから直接得られます。

問:

Trusted Profile Analyzer サービスではどのような初期コンテンツが利用可能になりますか?

答:

以下のコンテンツが利用可能になります。

  • Quarkus Java Framework for Java Archive (JAR) ファイルと、関連する SBOM ファイル。
  • Red Hat Enterprise Linux Universal Base Image (UBI) バージョン 8 および 9 と関連する SBOM ファイル。
  • オープンソースの Java パッケージに関する脆弱性情報。
問:

Trusted Profile Analyzer SBOM はどのように役立ちますか?

答:

Trusted Profile Analyzer Software Bill of Materials (SBOM) は、アプリケーションスタック内のソフトウェアコンポーネントと、それらのソフトウェアコンポーネントに含まれる可能性のある関連する脆弱性を理解するのに役立ちます。SBOM は、コンポーネントの出所、ライセンス情報、およびコンポーネントの構築方法の証明によって、ソフトウェアサプライチェーン内のオープンソースコードの可視性と透明性を向上させることができます。

問:

Red Hat の Trusted Profile Analyzer サービスの利用者は誰ですか?

答:

Red Hat の Trusted Profile Analyzer サービスの主な利用者は、Quarkus Java 開発者と、Red Hat Enterprise Linux UBI を使用するクラウドネイティブコンテナー Image Builder です。

問:

Red Hat の Trusted Profile Analyzer サービスを使用するには、何か新しいことを学習したり、開発ワークフローやプロセスを変更したりする必要がありますか?

答:

いいえ

問:

私は Quarkus Java 開発者ではありませんが、Red Hat の Trusted Profile Analyzer サービスから何らかの価値を得ることができますか?

答:

はい。Trusted Profile Analyzer サービスは、現在 Trusted Profile Analyzer リポジトリーに含まれていないオープンソースパッケージに関するセキュリティーリスク情報も提供しています。

第4章 用語集

Red Hat の Trusted Profile Analyzer サービスの一般的な用語と定義。

Exhort
Trusted Profile Analyzer のバックエンドエンドポイント。パッケージの依存関係や脆弱性など、分析に必要なデータを取得するために、すべての API リクエストが送信されます。Red Hat Dependency Analytics (RHDA) 統合開発環境 (IDE) プラグインは、このエンドポイントを使用して IDE フレームワーク内で脆弱性レポートを生成します。
Software Bill of Materials
略して SBOM とも呼ばれます。特定のアプリケーションに必要な依存ソフトウェアパッケージのマニフェスト。
Single Pane of Glass
略して SPOG とも呼ばれます。Trusted Profile Analyzer Web ダッシュボードおよび通知の RESTful アプリケーションプログラミングインターフェイス (API)。
Vulnerability Exploitability eXchange
略して VEX とも呼ばれます。製品内の特定の脆弱性に関してソフトウェアプロバイダーが発行するセキュリティー勧告。
Common Vulnerability and Exposures
略して CVE とも呼ばれます。CVE は、製品が攻撃や悪意のある活動にさらされることを 1 ~ 10 のスコアで示します。1 は、危険レベルが最低、10 は最高となっています。
Common Vulnerability Score System
略して CVSS とも呼ばれます。CVSS は、幅広い製品やネットワークで CVE を計算する場合に、特定の式に従って CVE スコアを算出します。

法律上の通知

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.