红帽全球峰会快速入门指南
在 Red Hat Hybrid Cloud Console 上使用 Red Hat Trusted Profile Analyzer 托管服务
摘要
前言
欢迎使用 Red Hat Trusted Profile Analyzer (RHTPA)快速入门指南!
这是如何在红帽混合云控制台上使用受信任的配置文件分析器管理服务的快速入门指南。
第 1 章 搜索漏洞信息
您可以使用受信任的配置文件分析器服务查找现有软件 Bill of Materials (SBOM)、漏洞扩展性 eXchange (VEX)文档以及红帽产品和软件包的通用漏洞和暴露(CVE)信息。
可信配置文件分析器管理的服务只提供以下红帽产品的信息:
- Red Hat Enterprise Linux Universal Base Image (UBI)版本 8 和 9。
- Java Quarkus 库。
先决条件
- 用于访问 Red Hat Hybrid Cloud Console 的红帽用户帐户。
流程
- 打开 Web 浏览器。
- 进入 Hybrid Cloud Console 上的 Application and Data Services 主页。
- 如有提示,使用您的凭证登录到 Hybrid Cloud Console。
- 在导航菜单中点 Trusted Profile Analyzer。
在 Trusted Profile Analyzer 主页上,单击 Subscribe and launch 按钮。Trusted Profile Analyzer 控制台主页将打开一个新的 Web 浏览器窗口。
注意通过订阅,注册的电子邮件地址将进入产品邮件列表中,以便您可以接收有关新产品开发的信息。
- 在 Home 页面中,在搜索字段中输入您的搜索条件,然后点 搜索。
在搜索结果页中,您可以过滤红帽产品的结果,下载 SBOM 文件,查看软件包漏洞信息,并查看任何可能的补救方法。
注意Advisories 选项卡中显示的数量是您的搜索条件匹配的次数。在 Products 和 containers 选项卡中,产品公告 列中的数字显示该特定产品的公告数。
第 2 章 扫描资料文件的软件清单
您可以扫描自定义软件材料清单(SBOM)清单文件,以便红帽进行分析。
红帽不会保留扫描的 SBOM 文件的副本。
先决条件
- 用于访问 Red Hat Hybrid Cloud Console 的红帽用户帐户。
- 现有 CycloneDX 1.3、1.4 或 1.5 或软件软件包数据交换(SPDX) 2.2、2.3 清单文件。
流程
- 打开 Web 浏览器。
- 进入 Hybrid Cloud Console 上的 Application and Data Services 主页。
- 如有提示,使用您的凭证登录到 Hybrid Cloud Console。
- 在导航菜单中点 Trusted Profile Analyzer。
在 Trusted Profile Analyzer 主页上,单击 Subscribe and launch 按钮。Trusted Profile Analyzer 控制台主页将打开一个新的 Web 浏览器窗口。
注意通过订阅,注册的电子邮件地址将进入产品邮件列表中,以便您可以接收有关新产品开发的信息。
- 从导航菜单中点 Scan SBOM。
- 您可以将 SBOM 清单文件拖放到页面中,或者点击 Load an SBOM。
- 扫描 SBOM 文件后,您可以获得 SBOM 文件中包含的软件包的分析概述和特定的漏洞信息。
第 3 章 配置 Visual Studio Code 以使用依赖分析
您可以使用 Microsoft 的 Visual Studio Code (VS Code)编辑器应用程序的依赖分析扩展,获取红帽受信任的配置文件分析器服务。通过这个扩展,您可以访问最新的开源漏洞信息,并深入了解应用程序依赖的软件包。Red Hat Dependency Analytics 扩展为可用的最新漏洞信息使用以下数据源:
- ONGuard 服务,集成 开源漏洞(OSV) 和 国家漏洞数据库(NVD) 数据源。当为 ONGuard 服务指定一组软件包时,对 OSV 的查询会检索相关的漏洞信息,然后查询 NVD 以了解公共漏洞和暴露(CVE)信息。
依赖项分析支持以下编程语言:
- Maven
- 节点
- Python
- Go
默认情况下,Vis Studio Code 直接在系统 PATH 环境中的终端中执行二进制文件。您可以将 Visual Studio Code 配置为查找其他位置以运行必要的二进制文件。您可以通过访问 扩展设置 来配置。点 Workspace 选项卡,搜索单词 executable,并指定您要用于 Maven、Node、Python 或 Go 的二进制文件的绝对路径。
Dependency Analytics 扩展是由红帽维护的在线服务。依赖项分析只访问清单文件,以便在显示结果前分析应用程序依赖项。
先决条件
- 在工作站上安装 Visual Studio Code。
-
对于 Maven 项目,分析
pom.xml文件,您必须在系统的PATH环境中具有mvn二进制文件。 -
对于 Node 项目,分析
package.json文件,您必须在系统的PATH环境中具有npm二进制文件。 -
对于 Go 项目,分析
go.mod文件,您必须在系统的PATH环境中具有go二进制文件。 -
对于 Python 项目,分析
requirements.txt文件,您必须在系统的PATH环境中具有python3/pip3或python/pip二进制文件。此外,Python 应用需要位于 VS Code 的解释器路径 中。
流程
- 打开 Visual Studio Code 应用。
- 从文件菜单中,单击 View,然后单击 Extensions。
- 搜索 Marketplace for Red Hat Dependency Analytics。
- 点 Install 按钮安装扩展。等待安装完成。
要启动扫描应用程序以了解安全漏洞,并查看漏洞报告,您可以执行以下操作之一:
- 打开清单文件,将鼠标悬停在由内联组件分析标记的依赖项上,在依赖项名称下由 wavy-red 行指示,点 Quick Fix,然后点 Detailsed Vulnerability Report。
- 打开清单文件,然后点 pie chart 图标。
- 在 Explorer 视图中点清单文件右键,点 Red Hat Dependency Analytics Report…。
- 在漏洞弹出警报消息中,点 Open detailed vulnerability report。
第 4 章 将 IntelliJ 配置为使用依赖分析
您可以使用 Jet Brains 的 IntelliJ IDEA 应用程序的依赖分析插件获取红帽受信任的配置文件分析器服务的访问权限。使用这个插件,您可以访问最新的安全漏洞信息,并深入了解应用程序依赖的软件包。Red Hat Dependency Analytics 插件为可用的最新漏洞信息使用以下数据源:
- ONGuard 服务,集成 开源漏洞(OSV) 和 国家漏洞数据库(NVD) 数据源。当为 ONGuard 服务指定一组软件包时,对 OSV 的查询会检索相关的漏洞信息,然后查询 NVD 以了解公共漏洞和暴露(CVE)信息。
依赖项分析支持以下编程语言:
- Maven
- 节点
- Python
- Go
Dependency Analytics 扩展是由红帽维护的在线服务。依赖项分析只访问清单文件,以便在显示结果前分析应用程序依赖项。
先决条件
- 在您的工作站上安装 IntelliJ IDEA。
-
对于 Maven 项目,分析
pom.xml文件,您必须在系统的PATH环境中具有mvn二进制文件。 -
对于 Node 项目,分析
package.json文件,您必须在系统的PATH环境中具有npm二进制文件。 -
对于 Go 项目,分析
go.mod文件,您必须在系统的PATH环境中具有go二进制文件。 -
对于 Python 项目,分析
requirements.txt文件,您必须在系统的PATH环境中具有python3/pip3或python/pip二进制文件。
流程
- 打开 IntelliJ 应用程序。
- 在文件菜单中,单击 Settings,然后单击 Plugins。
- 搜索 Marketplace for Red Hat Dependency Analytics。
- 单击 INSTALL 按钮,以安装插件。
要启动扫描应用程序以了解安全漏洞,并查看漏洞报告,您可以执行以下操作之一:
- 打开清单文件,将鼠标悬停在由内联组件分析标记的依赖项上,由依赖项下的 wavy-red 行指示,然后单击 详细漏洞报告。
- 在项目窗口中单击清单文件右键,然后单击 依赖分析报告。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}