红帽全球峰会Release Notes
Red Hat Trusted Profile Analyzer 1.2.2 发行注记
摘要
第 1 章 简介
红帽的受信任的配置文件分析器(RHTPA)是一种主动服务,可帮助风险管理开源软件(OSS)软件包和依赖项。Trusted Profile Analyzer 服务使了解和修复软件供应链中发现的 OSS 漏洞。
Red Hat Trusted Profile Analyzer 文档位于 https://docs.redhat.com/en/documentation/red_hat_trusted_profile_analyzer/1。
添加到 RHTPA 1.2.2 发行注记中的项目:
第 2 章 新功能及功能增强
此 Red Hat Trusted Profile Analyzer (RHTPA)发行版本中引入的所有主要改进列表和新功能。
这个版本添加的功能和增强有:
Red Hat Enterprise Linux 上的可信配置文件分析器
在这个版本中,作为技术预览,您可以使用 Ansible Playbook 在 Red Hat Enterprise Linux 9 上部署 RHTPA。您可以使用自己的 PostgreSQL 数据库、OpenID Connect (OIDC)供应商、Simple Storage Service (S3)和 Simple Queue Service (SQS)服务自定义此部署解决方案。您可以在 RHTPA 部署指南 中找到更多信息。
重新设计 Trusted Profile Analyzer 控制台和一个新的 CVE 影响面板
在这个版本中,我们设计了一个更直观的新仪表板主页,并为用户提供更直观的数据。控制面板显示了对最后 10 个软件上传的 10 个软件清单(SBOM)的常见漏洞披露(CVE)的影响。除了影响数据外,您还可以查看日期和时间,以及文档数量,如通用安全公告框架(CSAF)公告、SBOM 和 CVE 最近上传。
组件 registry 的新版本
在这个版本中,我们将 Artifact Composition (GUAC)组件 registry 的图形了解更新到版本 0.7.2。这个较新的 GUAC 版本更易于支持,比早期版本更可靠。目前,没有从 RHTPA 1.1 升级到 1.2 的升级路径。您必须进行全新的 RHTPA 1.2 安装,并重新上传您的文档以使用 GUAC 0.7.2 的新功能。
支持 CycloneDX 1.5 和 SPDX 2.3
在这个版本中,我们支持 CycloneDX 版本 1.5 和 SPDX 版本 2.3 格式的软件保护材料(SBOM)文档。
第 3 章 程序错误修复
在此 Red Hat Trusted Profile Analyzer (RHTPA)发行版本中,我们解决了以下 bug。除了这些修复外,我们还列出了我们修复的早期版本中已知的问题描述。
bombastic-collector 不处理 id 字段中的特殊字符
在此次更新之前,在 Amazon Web Services (AWS)基础架构上运行 RHTPA 时,在 id 字段中上传包含特殊字符的软件清单(SBOM)文件无法正确进行。这会导致漏洞页面中缺少数据。在这个版本中,在上传 SBOM 前,您可以在 id 字段中使用特殊字符。
collector-osv 无法以 CVSS_V4 严重性为准。
在此次更新之前,OpenSource 漏洞(OSV)服务中提供的漏洞数据无法将漏洞与 CVSS_V4 分数与它们影响的软件包关联。因此,更少的漏洞可能会与绑定到 RHTPA 的软件包和软件保护材料(SBOM)相关联。在这个版本中,这个问题已被解决。
修复了对 CVE-2024-21536 的潜在利用
在这个版本中,我们将 RHTPA 中的 http-proxy-middleware 组件更新为可缓解 CVE-2024-21536 漏洞的版本。
当嵌套 CVE 时,v11y-walker 作业会失败
当前缀配置以最旧的常见漏洞和暴露(CVE)没有被正确应用时,v11y-walker 作业会生成错误。前缀配置决定了要 ingest 的 CVE 范围。由于错误范围,这会导致 RHTPA 达到最不需要的 CVE。在这个版本中,我们解决了 CVE ingestion 过程,使其仅与使用提供的前缀配置的 CVE 匹配。
修复了对 CVE-2024-21538 的潜在利用
在这个版本中,我们将 RHTPA 中的 跨spawn 组件更新为可缓解 CVE-2024-21538 漏洞的版本。
在进行 SBOM 批量上传时会发生超时错误
在进行软件清单(SBOM)批量上传时,这会导致 SBOM 仪表板在加载时失败,从而给出连接超时错误。在这个版本中,我们修复了 livenessProbe,以使用 curl 连接到适当的端点。
livenessProbe 和 readinessProbe 的 initialDelaySeconds 属性是可配置的
在此次更新之前,在 livenessProbe 和 readinessProbe 的 initialDelaySeconds 属性上设置了一个硬编码的值为 2 秒。在这个版本中,您可以在 RHTPA Helm 值文件中配置 initialDelaySeconds 属性。
部分嵌套的 SBOM 在 Vulnerabilities 选项卡中出现错误
上传软件材料清单(SBOM)文件在 ingesting 过程中需要完成很多步骤。在此 ingestion 进程完成前,查看 SBOM 漏洞信息不一致,并在没有真实错误时页面可能会显示错误消息。在这个版本中,我们删除了这个错误消息,并在 Vulnerabilities 选项卡中返回一个空页面。
guac-collectsub-pod-service pod 在无限重启循环中被发现
使用 Ansible Playbook 在 Red Hat Enterprise Linux 上部署 RHTPA 会导致健康检查在 guac-collectsub-pod-service pod 上失败。这会导致 pod 进入无限重启循环。在这个版本中,我们通过启用正确的 API 端点来解决 livenessProbe。
修复了为仪表板图表提取 SBOMs 时的超时问题
当嵌套具有大量软件包的软件清单(SBOM)文件时,如果这些软件包有许多关联的漏洞,则 API 调用来检索仪表板图表的数据将超时。在这个版本中,我们改进了向仪表板图表提供数据的 API 调用,从而正确地填充仪表板图表。
某些 CVE 缺少 CVSS 分数
某些常见漏洞披露(CVE)在 metrics 阵列中有元素,但没有对应的通用漏洞评分系统(CVSS)分数。没有 CVSS 分数限制了在 CVE 上查询数据的能力。在这个版本中,我们检查 metrics 阵列中元素中的有效 CVSS 分数,并正确显示 CVE 的 CVSS 分数。
CycloneDX SBOM 中的嵌套软件包不会被嵌套
我们修复了一个程序错误,其中只有主软件包被处理,但嵌套的软件包不会发生。在这个版本中,T RHTPA 可以正确地遍历 CycloneDX 软件 materials (SBOM)清单文件,并在数据库中包括这些嵌套的软件包。
大型 SBOM 清单文件在上传时会生成错误
将大型软件清单(SBOM)清单文件上传到 RHTPA 时,索引会正确更新,但数据库不会。我们认为大型 SBOM 清单文件大小为 90 MB,包含 70,000 个软件包。在这个版本中,我们解决了数据库更新的问题。
第 4 章 已知问题
解决了本 Red Hat Trusted Profile Analyzer (RHTPA)版本的已知问题:
本发行版本中已知的问题列表:
在 web 浏览器中启动 Trusted Profile Analyzer 控制台时,spog -ui-pod-service pod 会重启
当在 Red Hat Enterprise Linux (RHEL)上运行 Red Hat Trusted Profile Analyzer (RHTPA)时,spog-ui-pod-service pod 会在 web 浏览器首次启动 Trusted Profile Analyzer 控制台时重启,从而导致应用程序无响应。要解决这个问题,您可以尝试刷新网页或关闭浏览器标签页,并在新标签页中重新打开 RHTPA 控制台。这样做可以成功加载 RHTPA 控制台。
Dependency Analytics 报告在上传 SBOM 文件时给出存储错误
上传软件材料清单(SBOM)文件 200 MB 或更大时,Dependency Analytics 报告显示有关达到大小限制的错误消息。Dependency Analytics 服务器对上传 SBOMs 的文件大小有限制。目前,这个问题还没有临时解决方案。
collector-osv 给出了 GraphQL 错误
当 collector-osv 在不遵守 GraphQL GUAC 模式的情况下将数据发送到 Graph for Understanding Artifact Composition (GUAC) API 时,默认值不会应用于一些可选字段,例如,软件包的命名空间。GUAC 返回以下出错信息: pq: insert 或 update on table package_versions 违反了外键约束 package_versions_package_names_versions。这会导致 OpenSource Vulnerability (OSV)数据失败,因此有些软件包的漏洞可能比预期要少。目前,这个问题还没有临时解决方案。
软件包版本在 API 响应和 Red Hat Dependency Analytics 的 HTML 报告之间不匹配
在 Visual Studio Code 或 IntelliJ 中打开清单文件进行分析,您可以在红帽依赖分析(RHDA) HTML 报告和 API 客户端响应之间为您提供不同的软件包版本号。在分析清单文件前,API 客户端会在清单文件中将软件包版本与客户端环境中安装的软件包版本进行比较。当软件包版本有区别时,您会收到一个包含第一个软件包版本不匹配的错误消息。要解决这个问题,您可以在集成开发环境(IDE)中禁用 RHDA 扩展的 Match Manifest Versions 选项。
在仪表板和 CVE 标签页中显示的 CVE 总数不一致
常见漏洞和暴露(CVE)的总数在 RHTPA 主页仪表板和搜索结果页面中的 CVE 选项卡之间使用不同的过滤器,从而导致两个值之间的差异。目前,这个已知问题还没有临时解决方案。
当从 Trusted Profile Analyzer 1.1.2 升级到 1.2 时,数据迁移会失败
当 PostgreSQL 实例没有剩余空间时,bombastic 和 vexation 收集器 Pod 会崩溃。要解决这个问题,将 PVC 的大小增加到 10 GB。
在上传大型 SBOM 时,SBOM 数据无法正确加载
在上传大型软件清单(SBOM)文档时,例如包含 50,000 个软件包的 SBOM,MPTPA 仪表板无法正确加载。这是因为 Keycloak 的访问令牌在 SBOM 可以完成上传其数据前过期。要解决这个问题,您可以增加 Keycloak 的访问令牌的生命周期,然后重新部署 Keycloak:
- 使用命令行界面登录到 OpenShift 集群。
查找 Keycloak 的 URL 字符串:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/authecho https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth- 将上一步中的 URL 字符串复制并粘贴到网页浏览器中,然后进入身份验证页面。
登录到 Keycloak 管理控制台。
注意您可以通过扩展 Workloads 菜单,点 Secrets 并点击您的 Keycloak 实例名称在 OpenShift web 控制台中查找用户凭证。
- 在主页上,单击 Realm Settings,再选择 Tokens 选项卡。
- 将 Access Token Lifespan 值从默认值 5 分钟更改为 60 分钟,然后保存更改。
重新部署 Keycloak:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc scale deployment/keycloak-postgresql --replicas=0 oc scale deployment/rhsso-operator --replicas=0 oc scale deployment/keycloak-postgresql --replicas=1 oc scale deployment/rhsso-operator --replicas=1
oc scale deployment/keycloak-postgresql --replicas=0 oc scale deployment/rhsso-operator --replicas=0 oc scale deployment/keycloak-postgresql --replicas=1 oc scale deployment/rhsso-operator --replicas=1- 再次尝试上传您的 SBOM。
软件包详情页面中的 API 错误
在 RHTPA 控制台中,当从 Vulnerabilities 页面导航到软件包详情页面时,单击受影响的依赖项链接会为您提供以下错误消息:
API 错误: Error contacting GUAC (Guac)- Client error: Cannot find an SBOM for PackageUrl
目前,这个已知问题还没有临时解决方案。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}