第1章 Red Hat Trusted Profile Analyzer の概要

Red Hat Trusted Profile Analyzer (RHTPA) は、Red Hat Trusted Software Supply Chain スイート内の製品であり、組織がソフトウェアサプライチェーンのセキュリティーとリスク管理を管理するのに役立ちます。これにより、DevSecOps チームは、開発を遅らせたり、運用の複雑さを増大させたりすることなく、カスタム、サードパーティー、オープンソースのソフトウェアコンポーネント全体のリスクプロファイルを評価できるようになります。Trusted Profile Analyzer サービスは、アプリケーションのセキュリティープロファイルの集中化された統合ビュー (Single Pane of Glass (SPOG) ビューとも呼ばれます) を提供します。この SPOG ビューは、基盤となる RESTful アプリケーションプログラミングインターフェイス (API) を活用し、RHTPA Web コンソールと通知サービスの基盤を提供します。

Exhort は、Trusted Profile Analyzer のバックエンドエンドポイントであり、パッケージの依存関係や脆弱性などの分析に必要なデータを取得するために、すべての API リクエストが送信されます。Red Hat Dependency Analytics (RHDA) 統合開発環境 (IDE) プラグインは、このエンドポイントを使用して、IDE フレームワーク内で脆弱性レポートを生成します。

Trusted Profile Analyzer サービスは、次の重要なセキュリティードキュメントを集約、管理、分析することで動作します。

Trusted Profile Analyzer サービスは、アドバイザリーデータと脆弱性データを定期的にインポートし、このデータを使用して SBOM ドキュメントのデータを相互参照します。これにより、チームは、IT の脆弱性を評価するための標準化されたオープンフレームワークである Common Vulnerability Scoring System (CVSS) などのメトリクスに基づいて潜在的な影響を解釈し、修復作業の優先順位付けと管理を行うことができます。