红帽全球峰会This documentation is for a release that is no longer maintained
See documentation for the latest supported version.发行注记
Red Hat Developer Hub 1.4 发行注记
摘要
前言
Red Hat Developer Hub 1.4 现在包括在 红帽客户门户网站 或 生态系统目录中。
Developer Hub 是完全支持的企业级产品化版本,上游 Backstage 1.32.6。
第 1 章 新功能
本节重点介绍 Red Hat Developer Hub 1.4 中的新功能。
1.1. 添加了单独的 mountPath
在这个版本中,为 额外的 ConfigMap 或 Secret 添加了单独的 mountPath。
1.2. PersistentVolumeClaims 支持
在这个版本中,可以使用 PersistentVolumeClaims (PVC) 支持。
1.3. 增强的 kube-rbac-proxy的使用
在这个版本中,kube-rbac-proxy sidecar 容器从 RHDH Operator Pod 中删除。此 sidecar 容器保护 Operator 指标端点。但是,主容器现在开箱即用提供此功能。删除此 sidecar 容器可以减少运行 Operator 所需的资源。
1.4. 使用 developerHub.flavor 字段识别插件的 Backstage 类别
在这个版本中,您可以使用 developerHub.flavor 字段来识别插件是否在 RHDH、RHTAP 或 vanilla Backstage 上运行,如下例所示:
带有 developerhub.flavor 字段的 app-config.yaml 片段
developerHub: flavor: <flavor>
developerHub:
flavor: <flavor>Flavor-
确定正在运行的 Backstage 类别。默认值:
rhdh
1.5. 在 RHDH Operator 中管理持久性卷声明(PVC)
现在,您可以在配置 RHDH Operator 时,使用 spec.application.extraFiles.pvcs 字段从预先创建的 PersistentVolumeClaims (PVC)挂载目录。如需更多信息,请参阅在使用 Operator 时配置 Red Hat Developer Hub 部署。
1.6. 使用红帽构建 Keycloak 进行身份验证
在这个版本中,您可以使用 Red Hat Build of Keycloak 作为身份验证供应商。Keycloak 插件现在支持使用红帽构建的 Keycloak 嵌套用户和组。如需了解更多详细信息,请参阅与红帽构建的 Keycloak 身份验证。
1.7. 在 RHDH 中安装第三方插件的功能
现在,您可以在 Red Hat Developer Hub 中安装第三方插件,而无需重建 RHDH 应用程序。
如需更多信息,请参阅在 Red Hat Developer Hub 中安装第三方插件。
1.8. 启用目录后端模块日志插件
在这个版本中,backstage-plugin-catalog-backend-module-logs 被启用并转换为静态插件可提高性能和稳定性。在版本 1.3 中禁用了动态插件。
1.9. Google Kubernetes Engine 现在支持
Google Kubernetes Engine (GKE)没有开发者预览阶段,现在在 RHDH 1.4 开始被完全支持。
请参阅生命周期页中支持的平台的完整列表。https://access.redhat.com/support/policy/updates/developerhub
1.10. 安装动态插件时管理并发写入
在以前的版本中,因为潜在的写入冲突,无法运行带有动态插件缓存的多副本 RHDH。这个版本降低了这个风险。
第 2 章 可能会造成问题的更改
本节列出了 Red Hat Developer Hub 1.4 中的破坏更改。
2.1. 更新了监控和日志记录指标
prom-client 指标已被删除,并替换为 OpenTelemetry 指标。因此,指标端口已从 7007 改为 9464。弃用了的指标也已被删除。如果您有这些依赖项,请确保更新了 prometheus 查询。如需更多信息,请参阅监控和日志记录。
其他资源
2.2. 带有更新范围的插件
要从 RHDH 1.3 升级到 1.4,您必须更新您的配置,以使用来自新范围的以下插件的最新版本。
在这个版本中,以下插件以前在 @janus-idp 范围下,现在被移到 @backstage-community 范围中:
| RHDH 1.3 插件名称 | RHDH 1.4 插件名称 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
以下插件之前在 @backstage 范围下,现在被移到 @backstage-community 范围中:
| RHDH 1.3 插件名称 | RHDH 1.4 插件名称 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
以前在 @janus-idp 范围下的两个插件已移至 @red-hat-developer-hub 范围:
| RHDH 1.3 插件名称 | RHDH 1.4 插件名称 |
|
|
|
|
|
|
随着插件范围的更新,动态插件配置也已被修改。
| RHDH 1.3 配置 | RHDH 1.4 配置 |
流程
- 要从 RHDH 1.3 升级到 RHDH 1.4,您必须更新您的配置以使用之前从新范围中列出的最新版本的插件。
除了前面提供的表外,您还可以将 RHDH 1.4 CSV 文件与 RHDH 1.3 CSV 文件进行比较,以识别动态插件中的更改。
其他资源
第 3 章 弃用的功能
本节列出了 Red Hat Developer Hub 1.4 中的已弃用的功能。
3.1. ./dynamic-plugins/dist/janus-idp-backstage-plugin-aap-backend-dynamic 插件已弃用
./dynamic-plugins/dist/janus-idp-backstage-plugin-aap-backend-dynamic 插件已被弃用,并将在以后的版本中删除。您可以将 Ansible 插件用于 Red Hat Developer Hub。
其他资源
3.2. 审计日志轮转已弃用
在这个版本中,您可以评估平台的日志转发解决方案,使其与您的安全性和合规性需求保持一致。大多数解决方案都提供可配置的选项,以便在停机时最小化日志的丢失。
其他资源
3.3. Red Hat Single-Sign On 7.6 已被弃用作为身份验证供应商
Red Hat Single-Sign On (RHSSO) 7.6 已被弃用,作为身份验证供应商。在维护支持结束前,您可以继续使用 RHSSO。详情请查看 RHSSO 生命周期日期。作为替代方案,迁移到红帽构建的 Keycloak v24。
其他资源
第 4 章 技术预览
本节列出了 Red Hat Developer Hub 1.4 中的技术预览功能。
技术预览功能为用户提供了一个对最新的产品创新的试用机会,以便用户可以对其进行测试并提供反馈。但是,Red Hat 订阅级别协议并不包括对这些技术预览功能的完全支持。这些功能可能并不完善,且不适用于生产环境。由于红帽会考虑在将来的产品中使用这些技术预览功能,我们将尝试解决客户在使用这些功能时遇到的问题。请参阅: 技术预览支持范围。
4.1. 添加了通知后端插件
在这个版本中,Developer Hub 包括以下动态插件来管理和简化通知交付:
这些插件默认是禁用的。
其他资源
第 5 章 修复的问题
本节列出了 Red Hat Developer Hub 1.4 中修复的问题。
5.1. 修复了 1.4.1 中的问题
5.1.1. 更新频道不会触发 Operator 更新
管理员可能会在跨频道更新 Developer Hub 时遇到问题。作为临时解决方案,要在频道间升级:
- 删除 RHDH Operator 订阅。不要删除操作对象。
-
使用最新的 CSV 创建指向新频道的新订阅(
fast或fast-1.4)。 - 安装新 Operator 时,会升级现有的 Backstage 对象。
如果更改了插件名称或配置要求,您可能需要更新应用程序配置。请参阅 带有更新范围的插件。
其他资源
5.1.2. 使用 RHDH Operator 1.4 部署时,RHDH 在表锁定上失败
在以前的版本中,Operator 部署可能会因为数据库表锁定而失败。这在 1.4.1 中解决。
其他资源
5.2. 修复了 1.4.0 的问题
5.2.1. GitHub issues 插件支持多个 GitHub 集成主机
在以前的版本中,GitHub 问题插件默认使用它为所有组件检测到的第一个 GitHub 集成。此行为使其与涉及多个 GitHub 集成主机的设置不兼容。
现在,GitHub issues 插件支持多个 GitHub 集成主机。它使用已知的实体 slug 注解 backstage.io/source-location 或 backstage.io/managed-by-location 来确定组件的适当 GitHub 集成。如果没有与 slug 匹配,则会选择第一个 GitHub 集成,维护之前的行为。
其他资源
5.2.2. 所有 API 文档都在 3scale 后端插件中定义
在以前的版本中,在 3scale 后端插件中定义的一些 API 文档无法在 RHDH 中访问。
在这个版本中,3scale 后端插件中定义的所有 API 文档都会在 RHDH 中导入并合并。
其他资源
5.2.3. RHDH helm chart 部署会抛出 NotAllowedError
在以前的版本中,当使用 Helm Chart 部署时,在 Route hostname 和 baseUrl 字段之间可能会不匹配,添加到生成的 app-config ConfigMap 中。这有时可能会导致因为原始不匹配而对某些提供程序进行身份验证。
在这个版本中解决了这个问题,确保这些值之间没有不匹配。
其他资源
5.2.4. 禁用 RBAC 后端插件时,禁用创建权限策略和角色
在以前的版本中,禁用基于角色的访问控制(RBAC)后端插件会创建角色和权限策略,无论是否启用了权限框架。
在这个版本中,禁用 RBAC 后端插件不再创建角色和权限策略。
其他资源
5.2.5. 添加了批量导入过程中删除图标的警报
在此次更新之前,存储库会添加到来自不同源的 Developer Hub 中,如 app-config 文件或 GitHub 发现。Bulk Import 插件只跟踪可通过配置的 GitHub 集成访问的存储库。当两个插件被启用时,GitHub Discovery 发现的存储库会出现在 Bulk Import 页面中。但是,从 Bulk Import Jobs 中删除这些软件仓库无效,因为 discovery 或 app-config.yaml 文件中的实体保留在 Developer Hub 目录中。
在这个版本中,删除图标上的警报会通知用户修改源(存储库中的 catalog-info 或 app-config.yaml 文件(如果文件源自于其中)来删除目录实体。
其他资源
5.2.6. 从 Kubernetes 配置中删除预先配置的自定义资源
在此次更新之前,Kubernetes 配置中的自定义资源会被预先配置。因此,用户可以在 Kubernetes 中配置自定义资源的情况下看到 Tekton 警告。
在这个版本中,从 Kubernetes 配置中删除预配置的自定义资源。因此,用户可以根据自己的要求自定义资源,从而防止出现不相关的警告。
其他资源
5.2.7. RBAC 插件使用最新的 Backstage 版本中断(1.31)
在此次更新之前,基于角色的访问控制(RBAC)后端插件会在 Backstage 1.31 中无法正常工作,并显示错误。
在这个版本中解决了在 Backstage 版本 1.31 和 1.32 上与 RBAC 后端插件的兼容性问题,而不会显示任何错误。
其他资源
5.2.8. backstage 实例始终无法在版本 5.1.0中启动
在此次更新之前,backstage 实例无法在 5.1.0 版本中启动,显示错误。
在这个版本中,基于角色的访问控制(RBAC)后端插件在版本 5.1.0 中成功启动,而不会显示任何错误。
其他资源
5.2.9. 在将部署扩展到多个 pod 时解决了 RBAC API 不一致的问题
在此次更新之前,将部署扩展到多个 pod 会导致基于角色的访问控制(RBAC)角色保持未同步,只允许创建该资源的 pod 来提供它。
在这个版本中,RBAC 角色在所有 pod 之间正确同步,并配置了 Redis 缓存和流量路由,以确保部署的一致性。
其他资源
5.2.10. export-dynamic-plugin 无法查找比 node_modules中嵌套的依赖关系的依赖关系
在以前的版本中,CLI 在导出过程中检查嵌入式软件包的依赖项,以了解是否应嵌入其他软件包。当 CLI 遇到构建的嵌入式软件包时,方法之一正在调用 需要,这是在嵌套现有插件时的情况。
在这个版本中,将 需要使用 的父目录从 monorepo root 改为嵌入的软件包。因此,找到的依赖软件包是与嵌入的软件包最相关的依赖项。
其他资源
5.2.11. suppress-native-package 和 allow-native-package 标志来处理原生模块
在以前的版本中,CLI 会失败,并显示不支持原生模块的信息。
这个版本引入了两个新的 CLI 标志,可帮助动态插件开发人员处理原生模块。这两个标志都接受软件包列表。--suppress-native-package 标志不需要在运行时使用原生模块。它将原生模块替换为显示错误的空软件包。-allow-native-package 标志指示 CLI 在检查期间允许原生软件包,并测试使用原生模块的插件。
其他资源
5.2.12. 在报告 TechDoc 问题时解决文本选择的问题
在以前的版本中,报告文档(TechDoc)问题的功能会失败。因此,当用户在 TechDoc 中选择了文本时,会出现一个大型图标而不是工具提示按钮。
在这个版本中,用户可以在报告文档(TechDoc)问题时选择文本。
其他资源
5.2.13. 解决了 stdout maxBuffer 错误
在以前的版本中,export-dynamic-plugin 失败,并显示超过 stdout maxBuffer 长度的错误。
在这个版本中,CLI 会将它在导出过程中执行的 yarn install 命令的输出重定向到文件中。因此,成功完成 yarn install 命令和验证 export-dynamic-plugin,清理该文件。当动态插件验证检查失败时,该文件可用于故障排除。
其他资源
5.2.14. 添加了 an -ignore-version-check 标记
在以前的版本中,导出没有更新至较新的后端版本的插件会失败,因为对动态插件软件包的依赖项执行检查。
在这个版本中,a -ignore-version-check 标志接受一个软件包名称列表,从而导致 CLI 在评估插件软件包依赖项时有选择地忽略 CLI 执行的 semver 检查。因此,尚未更新的插件可以正常工作,因为它依赖于没有更改的接口和功能。
其他资源
5.2.15. 更新了 Tech Radar 插件
在这个版本中,您需要启用 ./dynamic-plugins/dist/backstage-community-tech-radar 和 ./dynamic-plugins/dist/backstage-community-tech-radar-backend-dynamic 来使用 Tech Radar 插件。您必须根据您选择为插件加载 JSON 数据的位置配置其他设置。
其他资源
第 6 章 修复了安全问题
本节列出了 Red Hat Developer Hub 1.4 中修复的安全问题。
6.1. Red Hat Developer Hub 1.4.3
6.1.1. Red Hat Developer Hub 依赖项更新
- CVE-2025-27516
-
Jinja 中发现了一个安全漏洞。在受影响的版本中,Jinja 沙盒容器环境如何与
|attr过滤器交互时,允许控制模板内容执行任意 Python 代码的攻击者。为了利用此漏洞,攻击者需要控制模板的内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户。Jinja 的沙盒会捕获对str.format的调用,并确保它们不会转义沙盒。但是,可以使用|attr过滤器来获得对字符串纯文本方法的引用,绕过沙盒。 - CVE-2025-29774
- 在 Node.js 的 xml-crypto 库中发现了一个安全漏洞。攻击者可以利用此漏洞绕过依赖 xml-crypto 的系统中的验证或授权机制来验证签名的 XML 文档。此漏洞允许攻击者以仍然通过签名验证检查的方式修改有效的签名 XML 信息。
- CVE-2025-29775
- 在 Node.js 的 xml-crypto 库中发现了一个安全漏洞。攻击者可以利用此漏洞绕过依赖 xml-crypto 的系统中的验证或授权机制来验证签名的 XML 文档。此漏洞允许攻击者以仍然通过签名验证检查的方式修改有效的签名 XML 信息。
6.2. Red Hat Developer Hub 1.4.2
6.2.1. Red Hat Developer Hub 依赖项更新
- CVE-2025-22150
-
在 Node.js 的 undici 软件包中发现了一个安全漏洞。Undici 使用
Math.random ()选择 multipart/form-data 请求的边界。如果已知了其中几个生成的值,则可以预测Math.random() 的输出。如果应用程序有向攻击者控制的网站发送多部分请求的机制,则可能会泄漏必要的值。因此,如果满足某些条件,攻击者可能会篡改到后端 API 的请求。
6.3. Red Hat Developer Hub 1.4.1
6.3.1. Red Hat Developer Hub 依赖项更新
- CVE-2024-45338
- golang.org/x/net/html 中发现了一个安全漏洞。此漏洞允许攻击者对解析功能进行精心设计的输入,这些函数会对长度不单处理,从而造成了非常慢的解析过程。此问题可能会导致拒绝服务。
- CVE-2024-52798
- 在 path-to-regexp 中发现了一个安全漏洞。path-to-regexp 将路径字符串转换为正则表达式。在某些情况下,path-to-regexp 将输出一个可以利用的正则表达式来降低性能。
- CVE-2024-55565
- nanoid (也称为 Nano ID)在 5.0.9 错误处理非整数值前。3.3.8 也是固定的版本。
- CVE-2024-56201
- 在 Jinja2 软件包中发现了一个安全漏洞。Jinja 编译器中的一个 bug 允许一个控制模板内容和文件名的攻击者来执行任意 Python 代码,而不考虑 Jinja 的沙盒。攻击者需要能够控制模板的文件名和内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户,其中模板作者也可以选择模板文件名。
- CVE-2024-56326
- Jinja 软件包中发现了一个安全漏洞。在受影响的 Jinja 版本中,Jinja 沙盒容器环境如何检测对 str.format 的调用允许攻击者控制模板内容执行任意 Python 代码。为了利用此漏洞,攻击者需要控制模板的内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户。Jinja 的沙盒会捕获对 str.format 的调用,并确保它们不会转义沙盒。但是,可以存储对恶意字符串格式方法的引用,然后将它传递给调用它的过滤器。此类过滤器不在 Jinja 中构建,但可以通过应用中的自定义过滤器来显示。在修复后,此类间接调用也由沙盒处理。
- CVE-2024-56334
-
在 Node.js 的 systeminformation 库中发现了一个安全漏洞。在 Windows 系统中,
getWindowsIEEE8021x功能的 SSID 参数在传递给 cmd.exe 之前不会被清理。这可能会允许远程攻击者在目标系统上执行任意命令。
6.4. Red Hat Developer Hub 1.4.0
6.4.1. Red Hat Developer Hub 依赖项更新
- CVE-2024-21536
- http-proxy-middleware 软件包中发现了一个安全漏洞。因为 UnhandledPromiseRejection 错误导致这个软件包的拒绝拒绝服务(DoS)受到微匹配的影响。通过这个漏洞,攻击者可以通过请求某些路径来终止 Node.js 进程并使服务器崩溃。
- CVE-2024-21538
- Node.js 的 cross-spawn 软件包中发现了一个 Service (ReDoS)漏洞的常规 Expression Denial。由于输入不正确,攻击者可以增加 CPU 使用量并使程序具有较大的特制字符串使程序崩溃。
- CVE-2024-45296
- 在 path-to-regexp 软件包中发现了一个安全漏洞,它会将路径字符串转换为正则表达式。在某些情况下,path-to-regexp 将输出一个可以利用的正则表达式来降低性能。因为 JavaScript 是单线程和正则表达式匹配,所以在主线程上运行,性能不佳会阻断事件循环,并导致拒绝服务(DoS)。
- CVE-2024-45590
- 在 body-parser 中发现了一个安全漏洞。此漏洞会在启用 URL 编码时通过特殊设计的有效负载拒绝服务。
- CVE-2024-45815
- 在 back/plugin-catalog-backend 软件包中发现了一个安全漏洞。对安装了 catalog backend 插件的 Backstage 实例具有验证访问权限的恶意参与者,可以使用对目录 API 特殊设计的查询来中断服务。
- CVE-2024-45816
- 在 backstage/plugin-wagon-backend 软件包中发现了一个目录遍历漏洞。将 AWS S3 或 GCS 存储供应商用于 TechDocs 时,可以访问整个存储桶中的内容。这可能会泄漏存储桶的内容,并绕过 Backstage 中的权限检查。
- CVE-2024-46976
- 在 backstage/plugin-backend 软件包中发现了一个安全漏洞。控制对 TechDocs 存储存储桶内容的攻击者,可以在浏览文档或导航到攻击者提供的链接时在 TechDocs 内容中注入可执行脚本。
- CVE-2024-47762
- 在 backstage/plugin-app-backend 软件包中发现了一个安全漏洞。通过 APP_CONFIG swig 环境变量提供的配置意外忽略配置模式中定义的可见性,可能会公开旨在保持私有或仅限于后端进程的敏感配置详情。
第 7 章 已知问题
本节列出了 Red Hat Developer Hub 1.4 中的已知问题。
7.1. 卷(PVC)的多附加错误.
目前,当使用 Helm Chart 部署 Developer Hub 时,两个副本无法在不同的集群节点上运行。如果新 pod 调度到其他节点上,这也可能会影响从 1.3 升级到 1.4.0。
升级的一个可能的解决方法是,在升级 Helm 发行版本前手动将副本数缩减为 0。在升级 Helm 发行版本后,或者手动删除旧的 Developer Hub pod。但是,这就意味着一些应用程序停机时间。您还可以使用 Pod 关联性规则来强制集群调度程序在同一节点上运行 Developer Hub pod。
其他资源
7.2. 拓扑插件权限不会在 RBAC 前端 UI 中显示
仅与前端插件关联的权限不会显示在 UI 中,因为它们需要后端插件来公开权限框架已知的端点。作为临时解决方案,您可以使用 CSV 文件或直接调用 RBAC 后端插件的 REST API 来应用这些权限。受影响的插件包括 Topology (topology.view.read)、Tekton (tekton.view.read), ArgoCD (argocd.view.read)和 Quay (quay.view.read)。
其他资源
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}