第 3 章 程序错误修复

修复了解决方案链接格式化

我们解决了在 ec validate image 命令中出现的解决方案和描述文本的链接问题。现在，到其他文档的链接显示为正确格式化的 URL 字符串。

下载工件的大小限制

我们删除了对开放容器项目(OCI)获取的下载大小限制，以获取大于 10 MB 的工件。这个限制会导致工件被截断，从而导致在访问大型软件 Bill of Materials (SBOM)文档时出现错误。

Rekor 无法将测试写入存储

Rekor 将 attestation 写入 /tmp/ 目录，然后尝试将 attestation 移到持久性卷声明(PVC)。在代码库中移动 attestation 文件实际上是一个"rename"操作。"rename"操作仅适用于同一挂载点中的位置，但在挂载点之间移动时会失败。在这个版本中，这个问题已被解决，以便 Rekor 可以正确地将测试写入 PVC。

使用 Kubernetes OIDC 签发者配置时 Fulcio 服务崩溃

当使用 Kubernetes OpenID Connect (OIDC)签发者配置时，缺少所需的证书会导致 Fulcio 服务崩溃，并带有严重错误，例如 https://kubernetes.default.svc。缺少的证书正在阻止 Fulcio 服务运行，并为签名请求提供服务。在这个版本中，我们通过将 Kubernetes API 服务器证书挂载到 /var/run/fulcio/ca.crt 解决了这个问题，并在配置 Kubernetes OIDC 签发者时成功启动 Fulcio 服务。

一个签名的两个 Rekor 日志条目

当配置 Rekor 和 Certificate Transparency 日志时，在 Trillian 中使用相同的树标识符，这会导致一个签名有两个 Rekor 日志条目。要解决这个问题，请使用唯一树标识符配置 Rekor 和 Certificate Transparency 日志。

Trillian 无法正常工作的健康状况探测

一个错误格式化的 container 命令没有向 trillian-mysql pod 发送健康探测。这会产生带有 "unhealthy" 或 "improper" 标签的错误消息，即使 pod 处于健康状态。在这个版本中，我们修复了容器命令的格式，健康探测会报告正确的状态。

在 Red Hat Enterprise Linux 上部署 RHTAS 以创建匿名卷

Rekor 清单没有定义卷。这创建了带有随机名称的匿名卷，使其难以知道属于谁。在这个版本中，我们通过添加正确的卷挂载来解决 Rekor 清单。我们按如下所示将卷命名为： redis-backfill-storage 和 rekor-redis-storage。