Release Notes

Rekor 的日志分片

如果只保留，则 Rekor 的日志会无限期地增长，这可能会影响整体性能。在这个版本中，我们为 Rekor 添加了日志分片，以帮助管理扩展，并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 Rekor 自定义资源(CR)来配置分片。有关如何为 Rekor 的 signer 密钥轮转配置日志分片的更多信息，请参阅 RHTAS 管理指南。

CT 日志的日志分片

如果只保留，证书转换(CT)日志将无限期增长，这可能会影响整体性能。在这个版本中，我们为 CT 日志添加了日志分片，以帮助管理扩展，并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 CT 日志自定义资源(CR)来配置分片。有关如何为 CT 日志的签名密钥轮转配置日志分片的更多信息，请参阅 RHTAS 管理指南。

独立部署 Trillian

在这个版本中，您可以独立于所有其他 RHTAS 组件部署 Trillian 服务。现在，您可以部署使用 RHTAS 操作器的独立版本的 Trillian。

独立于 Trillian 部署 Rekor

在早期版本的 RHTAS 中，Rekor 需要 Trillian 服务以及 Trillian 数据库，才能与 Rekor 在同一命名空间中运行。由于这种依赖，在复杂或网段环境中部署 Rekor 更具挑战性。在这个版本中，我们使 Rekor 独立于 Trillian，为用户提供了实施 Trillian 的灵活性，其能够更适应复杂的基础架构配置。由于这一新功能，我们扩展了 API，这允许您为 Trillian 服务指定连接信息。您可以通过为 Securesign 资源中的 spec.trillian. host 和 spec.trillian.port 选项提供适当的值来指定 Trillian 连接信息。

对 Trusted Artifact Signer operator 的代理支持

连接通常由 OpenShift 环境中的代理建立，这可能对某些组织来说是硬要求。在这个版本中，我们添加了对 OpenShift 环境中配置的代理的支持，到 RHTAS operator 和 operands。

添加了可信时间戳授权支持

默认情况下，时间戳来自 Rekor 自己的内部时钟，它不是外部的或不可变。通过使用来自可信时间戳颁发机构(TSAs)的签名时间戳，这可以降低 Rekor 的内部时钟被篡改的风险。在这个版本中，您可以配置可信 TSA，而不是使用 Rekor 的内部时钟。

支持 Ingress 分片的自定义 Rekor UI 路由

在这个版本中，您可以为 Rekor 用户界面(UI)设置自定义路由，以用于 OpenShift 的 Ingress Controller 分片 功能。

Operator 支持带有证书注入的自定义 CA 捆绑包

在这个版本中，RHTAS 操作器支持使用证书注入支持自定义证书颁发机构(CA)捆绑包。为确保与 OpenShift 代理或其他需要信任特定 CA 的其他服务进行安全通信，RHTAS 操作器会自动将可信 CA 捆绑包注入其托管服务中。这些托管服务包括： Trillian、Fulcio、Rekor、Certificate Transparency (CT)日志和 Timestamp Authority (TSA)。

为 Fulcio 配置 CT 日志前缀

在这个版本中，我们添加了为 Fulcio 配置证书转换(CT)日志前缀的功能。在早期版本中，我们硬编码了前缀给 trusted-artifact-signer。使前缀可配置，为您提供更大的灵活性，并允许您在 CT 服务中目标特定的 CT 日志。Fulcio 自定义资源定义(CRD)有一个新的 spec.ctlog.prefix 字段，您可以在其中设置前缀。

企业合同可以初始化 TUF root

在这个版本中，您可以使用 ec sigstore initialize --root ${TUF_URL} 命令初始化企业合同，并带有由 RHTAS 部署的 Update Framework (TUF) root。执行此初始化将可信元数据存储在本地 $HOME/.sigstore/root 中。

支持在企业合同策略中为特定镜像排除规则

在这个版本中，您可以在特定镜像摘要的 Enterprise Contract (EC)策略的 volatileConfig 部分中添加一个 exclude 指令。您可以使用 imageRef 键指定镜像摘要，这会将策略异常限制为一个特定的镜像。

支持机构级别 OCI registry 身份验证

在这个版本中，企业合同(EC)支持使用完整存储库路径的子路径指定的开放容器项目(OCI) registry 凭证。如果有多个匹配的凭证，它会以特定顺序尝试它们。如需更多信息，请参阅针对容器镜像 registry 规格 进行身份验证。

改进了企业合同策略源的审计

在这个版本中，我们记录 Git SHA 的条目，或记录每个策略源的捆绑包镜像摘要。这可以更好地审核企业合同(EC)结果，显示 EC 所使用的策略和策略数据的确切版本，从而可以可重复生成。

将纯文本显示为企业合同报告的默认文本

在这个版本中，我们将 Enterprise Contract (EC)报告的默认输出格式改为纯文本。纯文本格式可以更轻松地读取 EC 结果报告。

添加了配置主机名缺少的选项

在这个版本中，您可以为 cli-server 和 rekor-search-ui 配置主机名。您可以通过在 RHTAS operator 控制器中指定 the -cli-server-hostname=HOSTNAME 来配置主机名。您还可以使用 API 配置主机名，例如：

在使用自签名证书的 OpenShift 集群中，分段备份作业会失败

验证自签名证书时，片段备份作业失败，从而导致安全套接字层(SSL)证书验证错误。由于此验证失败，因此无法使用 OpenShift 的内部 API 从集群监控系统中提取指标。我们通过将 OpenShift 的证书颁发机构(CA)可信捆绑包注入 RHTAS 容器来解决此错误。通过这样做，片段备份作业可以验证自签名证书，并可以成功拉取必要的指标。

在 OpenShift 4.13 中错误地报告的版本号

在此次更新之前，在 OpenShift Container Platform 4.13 上安装 RHTAS Operator 会错误地显示版本 0.0.2，当实际安装了版本 1.0 时。在这个版本中，OpenShift Container Platform 4.13 中可以正确地显示 RHTAS operator 版本号。

删除了 pull-secret 引用

在早期的 RHTAS 版本中，要求您提供 pull secret 来安装 RHTAS。自 RHTAS 正式发布(GA)版本起，您不再需要 pull secret 在 Red Hat OpenShift 上部署 RHTAS。在这个版本中，我们从 RHTAS 代码库中删除了对 pull-secret 的所有引用。

对 treeID 字段的更改不会应用到 Rekor 部署

当更改 Rekor 配置中的 treeID 字段时，在 Rekor 部署中不会更新这个更改。这个程序错误可能会导致日志条目错误，并导致出现其他与 Rekor 的潜在问题。我们修复了 Rekor Manager 中的逻辑，以防止不一致，从而提高了 Rekor 服务的可靠性。在这个版本中，更新 treeID 字段可以正确地更新 Rekor 部署，并显示正确的 status.treeID 值。

对 treeID 字段的更改不会应用到 CT 日志部署

当更改 Certificate Transparency (CT)日志配置中的 treeID 字段时，这个更改不会在 CT 日志部署中更新。这个程序错误可能会导致不一致，以及 CT 日志的其他潜在问题。我们修复了 CT 日志管理器中的逻辑，以防止不一致，从而提高了 CT 日志服务的可靠性。在这个版本中，更新 treeID 字段可以正确地更新 CT 日志部署，并显示正确的 status.treeID 值。

当将 Trusted Artifact Signer 恢复到不同的 OpenShift 集群时，ownerReferences 会丢失

将 RHTAS 数据恢复到新的 Red Hat OpenShift 集群时，组件的 ownerReferences 将会丢失。这是因为 Securesign UUID 在在新集群中恢复时发生了变化，并且每个组件的 ownerReferences 会被删除，因为它们不再有效。要临时解决这个问题，请在恢复 Securesign 资源后运行提供的脚本。https://docs.redhat.com/en/documentation/red_hat_trusted_artifact_signer/1/html/administration_guide/protect-your-signing-data#restore-owner-references-script_admin此脚本使用新的 Securesign UUID 重新创建 ownerReferences。

为 TUF 存储库指定 PVC 名称会失败

当在更新框架(TUF)资源中指定持久性卷声明(PVC)名称时，TLTAS 操作器会导致 TUF 存储库的初始化失败。例如：

升级后，Rekor Search UI 不会显示记录

在将 RHTAS 操作器升级到最新版本(1.0.1)后，在按电子邮件地址搜索时找不到现有的 Rekor 数据。backfill-redis CronJob，它确保 Rekor Search UI 可以在午夜仅查询每天运行一次的透明日志。要解决这个问题，您可以手动触发 backfill-redis 作业，而不是等待午夜。

Trusted Artifact Signer operator 不会应用配置更改

我们发现了 RHTAS 操作器逻辑的潜在问题，在重新部署时可能会导致意外状态。如果从 RHTAS 资源中删除配置，并且操作员尝试重新部署这些资源，则可能会出现不一致的状态。要解决这个问题，您可以删除特定资源，然后使用以前的实例配置（如密钥和持久性卷）重新创建该资源。RHTAS 资源为：Securesign、Fulcio、更新框架(TUF)、Rekor、证书转换(CT)日志或 Trillian。

Operator 在恢复到不同的 OpenShift 集群后不会更新组件状态

当将 RHTAS 签名器数据从备份恢复到新的 OpenShift 集群时，组件状态链接不会如预期更新。目前，您必须手动删除 securesign-sample-trillian-db-tls 资源，并手动更新组件状态链接。RHTAS 操作器将在移除后自动重新创建更新的 securesign-sample-trillian-db-tls 资源。

Example

oc delete secret securesign-sample-trillian-db-tls

$ oc delete secret securesign-sample-trillian-db-tls

Example

oc edit --subresource=status Securesign securesign-sample
oc edit --subresource=status TimestampAuthority securesign-sample

$ oc edit --subresource=status Securesign securesign-sample
$ oc edit --subresource=status TimestampAuthority securesign-sample

可信工件签名程序需要 cosign 2.2 或更高版本

由于最近对生成更新框架(TUF)存储库和使用不同的校验和算法的改变，因此我们需要使用 cosign 版本 2.2 或更高版本。在这个版本中，您可以下载 cosign 版本 2.4 以用于受信任的 Artifact Signer。