第 3 章 程序错误修复
在此 Red Hat Trusted Profile Analyzer (RHTPA)发行版本中,我们解决了以下 bug。除了这些修复外,我们还列出了我们修复的早期版本中已知的问题描述。
修复了对 CVE-2024-21536 的潜在利用
在这个版本中,我们将 RHTPA 中的 http-proxy-middleware
组件更新为可缓解 CVE-2024-21536 漏洞的版本。
当嵌套 CVE 时,v11y-walker
作业会失败
当前缀配置以最旧的常见漏洞和暴露(CVE)没有被正确应用时,v11y-walker
作业会生成错误。前缀配置决定了要 ingest 的 CVE 范围。由于错误范围,这会导致 RHTPA 达到最不需要的 CVE。在这个版本中,我们解决了 CVE ingestion 过程,使其仅与使用提供的前缀配置的 CVE 匹配。
修复了对 CVE-2024-21538 的潜在利用
在这个版本中,我们将 RHTPA 中的 跨spawn
组件更新为可缓解 CVE-2024-21538 漏洞的版本。
在进行 SBOM 批量上传时会发生超时错误
在进行软件清单(SBOM)批量上传时,这会导致 SBOM 仪表板在加载时失败,从而给出连接超时错误。在这个版本中,我们修复了 livenessProbe
,以使用 curl
连接到适当的端点。
livenessProbe
和 readinessProbe
的 initialDelaySeconds
属性是可配置的
在此次更新之前,在 livenessProbe
和 readinessProbe
的 initialDelaySeconds
属性上设置了一个硬编码的值为 2 秒。在这个版本中,您可以在 RHTPA Helm 值文件中配置 initialDelaySeconds
属性。
部分嵌套的 SBOM 在 Vulnerabilities 选项卡中出现错误
上传软件材料清单(SBOM)文件在 ingesting 过程中需要完成很多步骤。在此 ingestion 进程完成前,查看 SBOM 漏洞信息不一致,并在没有真实错误时页面可能会显示错误消息。在这个版本中,我们删除了这个错误消息,并在 Vulnerabilities 选项卡中返回一个空页面。
guac-collectsub-pod-service
pod 在无限重启循环中被发现
使用 Ansible Playbook 在 Red Hat Enterprise Linux 上部署 RHTPA 会导致健康检查在 guac-collectsub-pod-service
pod 上失败。这会导致 pod 进入无限重启循环。在这个版本中,我们通过启用正确的 API 端点来解决 livenessProbe
。
修复了为仪表板图表提取 SBOMs 时的超时问题
当嵌套具有大量软件包的软件清单(SBOM)文件时,如果这些软件包有许多关联的漏洞,则 API 调用来检索仪表板图表的数据将超时。在这个版本中,我们改进了向仪表板图表提供数据的 API 调用,从而正确地填充仪表板图表。
某些 CVE 缺少 CVSS 分数
某些常见漏洞披露(CVE)在 metrics 阵列中有元素,但没有对应的通用漏洞评分系统(CVSS)分数。没有 CVSS 分数限制了在 CVE 上查询数据的能力。在这个版本中,我们检查 metrics 阵列中元素中的有效 CVSS 分数,并正确显示 CVE 的 CVSS 分数。
CycloneDX SBOM 中的嵌套软件包不会被嵌套
我们修复了一个程序错误,其中只有主软件包被处理,但嵌套的软件包不会发生。在这个版本中,T RHTPA 可以正确地遍历 CycloneDX 软件 materials (SBOM)清单文件,并在数据库中包括这些嵌套的软件包。
大型 SBOM 清单文件在上传时会生成错误
将大型软件清单(SBOM)清单文件上传到 RHTPA 时,索引会正确更新,但数据库不会。我们认为大型 SBOM 清单文件大小为 90 MB,包含 70,000 个软件包。在这个版本中,我们解决了数据库更新的问题。