1.2. 新功能

此发行版本添加了对 RHACS 在 Red Hat OpenShift Virtualization (RHOCPV)运行时对虚拟机(VM)工作负载进行漏洞管理的支持。该功能要求您运行虚拟机代理，以便从虚拟机内部执行持续软件包扫描。Sensor 和 Central 运行 RHACS 版本 4.9.0 及更新的版本。

如需更多信息，请参阅使用 Red Hat Advanced Cluster Security for Kubernetes 漏洞管理虚拟机。

RHACS 4.9 为所有安装方法在安全集群安装过程中提供新的和简化的配置选项。您可以使用这些选项来执行以下操作：

此外，一些较旧的配置选项已弃用，以实现简单性和正确的性。有关已弃用项目的更多信息，请参阅 已弃用和删除的功能。

您可以在每个集群的 Platform Configuration Clusters 页面中的 RHACS 门户中查看新设置。您可以使用以下方法配置这些设置：

如需更多信息，请参阅以下文档：

本发行版本中提供了一个新的默认策略 "Red Hat images must signed by a Red Hat release key"。此策略确保红帽镜像由红帽 发布密钥 3 产品签名密钥签名签名。除了确保供应链外，此默认策略还充当使用 "Image Signature" 字段的示例，并将其与其他标准合并。

如需更多信息，请参阅 高严重性安全策略。

此流程执行策略改进了自动锁定基准的流程，无需为每个部署手动完成此过程。这个变化旨在显著减少完成此过程的时间和工作量，并使安全团队能够专注于更重要的工作项目。

此外，这种变化允许更积极的安全方法。您可以在设置警报前等待部署存在，而是为特定范围（如命名空间）定义策略。该范围内的任何新部署将自动引发警报，确保所有部署之间的一致安全性。

如需更多信息，请参阅为进程基准配置自动锁定。

在这个版本中，您可以从漏洞管理页面中直接导出 CSV 文件，从而可能会增强您的漏洞管理工作流。此功能还允许您使用粒度过滤器并创建基于视图的按需报告，并提供分析数据和解决特定安全问题的灵活性。

另外，您还可以直接从单个镜像和部署详情页面生成基于视图的报告。

有关创建和下载漏洞报告的更多信息，请参阅 漏洞报告。

在这个版本中，使用 RHACS 从扫描的容器镜像生成软件清单(SBOM)已正式发布(GA)。SBOM 生成包括使用 RHACS 委派扫描功能扫描的镜像。这些 SBOM 提供了应用程序中的所有软件组件、依赖项和库的详细概述。RHACS 创建的 SBOM 是 "Analyzed" 类型，符合 SPDX 2.3 规格。

如需更多信息，请参阅从扫描的镜像生成 SBOM。

RHACS 与 ServiceNow Container Vulnerability Response Application 集成现在在 ServiceNow Marketplace 中是 GA。RHACS 与 ServiceNow 的集成会在 ServiceNow Container Vulnerability Response 模块中填充来自 RHACS 的丰富的容器镜像漏洞数据。它可让 RHACS 用户创建自定义漏洞管理工作流来有效地跟踪和修复漏洞。

在这个版本中，RHACS 支持使用外部 JSON Web 令牌(JWT)令牌签发者进行透明机器到机器(M2M)令牌交换。RHACS 在第三方身份令牌和 RHACS 之间执行令牌交换。它使用角色映射来允许访问 RHACS API。这种改进可让不支持完整 M2M 令牌交换流的第三方客户端访问 RHACS API 端点。例如，Prometheus 服务器不支持 M2 令牌交换，但可以使用 Kubernetes 服务帐户令牌来访问 API 端点。

如需更多信息，请参阅配置 API 令牌。

在这个版本中，您可以声明性配置 M2M OIDC 身份验证。要配置 M2M 身份验证资源，首先要创建包含配置信息的 YAML 文件。这些文件用于创建配置映射或 secret。在安装 RHACS Central 资源的过程中，配置映射或 secret 使用挂载点添加到 Central。

有关为简短的 OIDC 令牌使用设置声明配置示例，请参阅 Declarative 配置简短令牌示例。

在以前的版本中，在发行版本 4.7 中，RHACS 只自动轮转 1 年服务证书。此更改还为 5 年 CA 证书启用自动轮转。这个变化旨在简化大型集群安装的管理，因为手动升级证书可能需要大量工作。

如需更多信息 ，请参阅重写内部证书。

在这个版本中，集群注册 secret (CRSes)的过期时间从默认值 1 年改为 1 小时。另外，您可以使用 roxctl central crs 命令的 --valid-until or --valid-for 标志来配置时间段。

如需更多信息，请参阅 roxctl central crs 命令。

在 4.9 发行版本中，RHACS SMTP 通知程序支持配置 EHLO/HELO 主机名。此功能可以更好地与安全环境中严格的邮件转发服务器兼容。

如需更多信息，请参阅 与电子邮件集成。

在 4.9 发行版本中，RHACS Central 会在其 /metrics API 端点上公开详细的安全指标，允许用户使用现有的 Prometheus 基础架构提取此数据。通过此功能，您可以利用可定制的安全可观察性来主动警报和趋势分析。

如需更多信息，请参阅使用自定义 Prometheus 指标。

RHACS 改进了 Central 对离线漏洞捆绑包的处理，因此对 Central DB 和 Central 磁盘的压力较低，特别是在大型环境中。

在这个版本中，Sensor 在带有大量进程侦听连接的集群中使用比早期版本更高的内存。例如，在极端规模的环境中，具有大于 1,000万个开放端口的集群，Sensor 的内存占用量与开放连接、端点和进程跟踪相关的内存占用率会显著减少 50%。这种改进有助于防止内存不足(OOM)终止。对于中等工作负载，如几个千个开放端口，根据工作负载特性，通常涵盖 10 到 15% 的内存节省。

通过更改 Sensor 跟踪并报告对 Central 的更新来实现这个优化。在以前的版本中，Sensor 在保持活跃时保留所有打开的连接、端点和进程的完整详情。Sensor 还消耗了存储所有这些详情所需的内存。在这个版本中，Sensor 仅存储每个对象的指纹或哈希，从而大大减少了内存用量。