第 2 章 新功能及功能增强


此 Red Hat Trusted Artifact Signer (RHTAS)发行版本中引入的所有主要改进列表和新功能。

这个版本添加的功能和增强有:

Rekor 的日志分片

如果只保留,则 Rekor 的日志会无限期地增长,这可能会影响整体性能。在这个版本中,我们为 Rekor 添加了日志分片,以帮助管理扩展,并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 Rekor 自定义资源(CR)来配置分片。有关如何为 Rekor 的 signer 密钥轮转配置日志分片的更多信息,请参阅 RHTAS 管理指南

CT 日志的日志分片

如果只保留,证书转换(CT)日志将无限期增长,这可能会影响整体性能。在这个版本中,我们为 CT 日志添加了日志分片,以帮助管理扩展,并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 CT 日志自定义资源(CR)来配置分片。有关如何为 CT 日志的签名密钥轮转配置日志分片的更多信息,请参阅 RHTAS 管理指南

独立部署 Trillian

在这个版本中,您可以独立于所有其他 RHTAS 组件部署 Trillian 服务。现在,您可以部署使用 RHTAS 操作器的独立版本的 Trillian。

独立于 Trillian 部署 Rekor

在早期版本的 RHTAS 中,Rekor 需要 Trillian 服务以及 Trillian 数据库,才能与 Rekor 在同一命名空间中运行。由于这种依赖,在复杂或网段环境中部署 Rekor 更具挑战性。在这个版本中,我们使 Rekor 独立于 Trillian,为用户提供了实施 Trillian 的灵活性,其能够更适应复杂的基础架构配置。由于这一新功能,我们扩展了 API,这允许您为 Trillian 服务指定连接信息。您可以通过为 Securesign 资源中的 spec.trillian. host 和 spec.trillian.port 选项提供适当的值来指定 Trillian 连接信息。

对 Trusted Artifact Signer operator 的代理支持

连接通常由 OpenShift 环境中的代理建立,这可能对某些组织来说是硬要求。在这个版本中,我们添加了对 OpenShift 环境中配置的代理的支持,到 RHTAS operator 和 operands。

添加了可信时间戳授权支持

默认情况下,时间戳来自 Rekor 自己的内部时钟,它不是外部的或不可变。通过使用来自可信时间戳颁发机构(TSAs)的签名时间戳,这可以降低 Rekor 的内部时钟被篡改的风险。在这个版本中,您可以配置可信 TSA,而不是使用 Rekor 的内部时钟。

支持 Ingress 分片的自定义 Rekor UI 路由

在这个版本中,您可以为 Rekor 用户界面(UI)设置自定义路由,以用于 OpenShift 的 Ingress Controller 分片 功能。

您可以通过修改 ingress 和 route 资源的 externalAccess 部分来配置此功能,在 routeSelectorlabels 部分下添加 type: dev 标签。例如:

...
    externalAccess:
      enabled: true
      routeSelectorLabels:
        type: dev
...
Copy to Clipboard Toggle word wrap

这允许 Ingress Controller 为特定预设置路由识别这些资源,本例中为 dev 路由。

Operator 支持带有证书注入的自定义 CA 捆绑包

在这个版本中,RHTAS 操作器支持使用证书注入支持自定义证书颁发机构(CA)捆绑包。为确保与 OpenShift 代理或其他需要信任特定 CA 的其他服务进行安全通信,RHTAS 操作器会自动将可信 CA 捆绑包注入其托管服务中。这些托管服务包括: Trillian、Fulcio、Rekor、Certificate Transparency (CT)日志和 Timestamp Authority (TSA)。

您可以通过以下两种方式之一引用包含自定义 CA 捆绑包的配置映射来信任额外的 CA 捆绑包:

  • 在相关的自定义资源(CR)文件中,在 metadata.annotations 部分下,添加 rhtas.redhat.com/trusted-ca
  • 通过在 spec 中添加 trustedCA 字段,直接在 CR 文件中配置自定义 CA 捆绑包。

为 Fulcio 配置 CT 日志前缀

在这个版本中,我们添加了为 Fulcio 配置证书转换(CT)日志前缀的功能。在早期版本中,我们硬编码了前缀给 trusted-artifact-signer。使前缀可配置,为您提供更大的灵活性,并允许您在 CT 服务中目标特定的 CT 日志。Fulcio 自定义资源定义(CRD)有一个新的 spec.ctlog.prefix 字段,您可以在其中设置前缀。

企业合同可以初始化 TUF root

在这个版本中,您可以使用 ec sigstore initialize --root ${TUF_URL} 命令初始化企业合同,并带有由 RHTAS 部署的 Update Framework (TUF) root。执行此初始化将可信元数据存储在本地 $HOME/.sigstore/root 中。

支持在企业合同策略中为特定镜像排除规则

在这个版本中,您可以在特定镜像摘要的 Enterprise Contract (EC)策略的 volatileConfig 部分中添加一个 exclude 指令。您可以使用 imageRef 键指定镜像摘要,这会将策略异常限制为一个特定的镜像。

支持机构级别 OCI registry 身份验证

在这个版本中,企业合同(EC)支持使用完整存储库路径的子路径指定的开放容器项目(OCI) registry 凭证。如果有多个匹配的凭证,它会以特定顺序尝试它们。如需更多信息,请参阅针对容器镜像 registry 规格 进行身份验证。

改进了企业合同策略源的审计

在这个版本中,我们记录 Git SHA 的条目,或记录每个策略源的捆绑包镜像摘要。这可以更好地审核企业合同(EC)结果,显示 EC 所使用的策略和策略数据的确切版本,从而可以可重复生成。

将纯文本显示为企业合同报告的默认文本

在这个版本中,我们将 Enterprise Contract (EC)报告的默认输出格式改为纯文本。纯文本格式可以更轻松地读取 EC 结果报告。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat