Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

管理指南

Red Hat Trusted Profile Analyzer 2

Trusted Profile Analyzer 服务的一般管理

Red Hat Trusted Documentation Team

摘要

此管理指南为系统管理员提供了如何维护红帽平台上运行的受信任的配置文件分析器服务。

前言
复制链接

欢迎使用红帽受信任的配置文件分析器(RHTPA)管理指南!

第 1 章 Red Hat Trusted Profile Analyzer 概述
复制链接

Red Hat Trusted Profile Analyzer (RHTPA)是 Red Hat Trusted Software Supply Chain 套件中的一个产品,可帮助组织管理其软件供应链安全性和风险管理。它允许 DevSecOps 团队在自定义、第三方和开源软件组件中评估风险配置集,而不会减慢开发速度或增加操作复杂性。Trusted Profile Analyzer 服务为您提供了应用程序安全配置文件的集中、统一的视图,也称为 Glass (SPOG)视图。此 SPOG 视图由底层 RESTful 应用程序编程接口(API)提供支持,并为 RHTPA Web 控制台和通知服务提供基础。

Exhort 是 Trusted Profile Analyzer 的后端端点,其中所有 API 请求都会发送,以检索要分析所需的数据,包括软件包依赖项和漏洞。红帽依赖分析(RHDA)集成开发环境(IDE)插件使用此端点在 IDE 框架内生成漏洞报告。

Trusted Profile Analyzer 服务通过聚合、管理和分析以下关键安全文档来运行:

  • Software Bill of Materials (SBOMs):它存储、索引和查询 SBOM,以获取您的所有自定义、第三方和开源软件组件,从而创建一个记录系统的共享系统。它支持 CycloneDX 和 SPDX 等格式。
  • 漏洞利用 eXchange (VEX):它是一个由软件提供商为产品中特定漏洞发布的安全公告。
  • 常见的漏洞和风险(CVE):它表示产品的攻击和恶意活动暴露于 1 到 10 之间,其中 1 是最低风险级别,10 是最高公开级别。

Trusted Profile Analyzer 服务定期导入公告和漏洞数据,并使用这些数据来跨引用 SBOM 文档中的数据。这有助于团队根据常见漏洞评分系统(CVSS)等指标解释潜在的影响,它是一个标准化的开放框架,用于对 IT 漏洞进行评分,并帮助他们优先排序和管理补救工作。

第 2 章 数据导入器
复制链接

红帽受信任的配置文件分析器数据导入程序可让您从不同的远程来源获取公告和漏洞数据以及软件 Bill of Materials (SBOM)文档。然后 RHTPA 使用此数据在分析 SBOM 和通用安全公告框架(CSAF)文档时为您提供更多见解。

可用的导入器

默认情况下,TLTPA 配置了以下导入程序:

  • Red Hat CSAF
  • Red Hat SBOMs
  • 常见漏洞披露(CVE)列表版本 5
  • GitHub 公告数据库
  • Quy

默认情况下,Red Hat CSAF、Red Hat SBOM 和 Quay 数据导入程序被禁用。这些导入人员可以在完成之前运行很长时间,但您可以随时启用任何这些数据导入器。Quay 数据导入程序扫描 Quay registry,以查找要分析的现有 SBOMs for RHTPA。

调度
默认情况下,每个导入程序源运行的设置调度为 1 天。这意味着已启用的导入程序源每天运行一次。成功运行导入程序后,下一个调度的运行时间为自导入程序作业完成时 24 小时。
计算资源

计算资源以及对 Red Hat OpenShift Container Platform 中这些资源的限制非常重要,以确保应用程序保持稳定运行并如预期执行。对于 importer 和 API 服务器部署,默认资源请求为 1 个 CPU 和 8 GB RAM。默认没有资源限值。

您可以降低资源要求,以稳定性成本降低,或者向集群提供更多资源,支持工作负载。如果计算要求不适合支持工作负载,pod 无法启动或处于"Pending"状态。

第 3 章 创建材料清单文件的软件清单
复制链接

Red Hat Trusted Profile Analyzer 可以使用 JSON 文件格式分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 格式。很多开源工具可用于从容器镜像或您的应用程序创建软件 Bill of Materials (SBOM)清单文件。对于这个步骤,我们将使用 Syft 工具。

重要

目前,Trusted Profile Analyzer 只支持 CycloneDX 版本 1.3、1.4、1.5 和 1.6,以及 SPDX 版本 2.2 和 2.3。

先决条件

流程

  1. 使用容器镜像创建 SBOM。

    CycloneDX 格式
    syft IMAGE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 
    $ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap
    SPDX 格式
    syft IMAGE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 
    $ syft registry:example.io/hello-world:latest -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap
    注意

    Syft 支持许多类型的容器镜像源。请参阅 Syft GitHub 网站上的官方支持 源列表。

  2. 通过扫描本地文件系统来创建 SBOM。

    CycloneDX 格式
    syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5
syft file: FILE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 
    $ syft dir:. -o cyclonedx-json@1.5
$ syft file:/example-binary -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap
    SPDX 格式
    syft dir: DIRECTORY_PATH -o spdx-json@2.3
syft file: FILE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 
    $ syft dir:. -o spdx-json@2.3
$ syft file:/example-binary -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap

第 4 章 扫描软件材料清单
复制链接

您可以使用 Red Hat Hybrid Cloud Console 上的 Red Hat Trusted Profile Analyzer (RHTPA)托管服务或使用您自己的运行 RHTPA 实例来扫描您的软件清单(SBOM)文档进行分析。Trusted Profile Analyzer 服务可分析标准 SBOM、Artificial Intelligence Bill of Materials (AIBOM),包含语言模型、加密账单和包含密钥、证书和库的 Cryptographic Bill。

重要

红帽不会保留扫描的 SBOM 文档的副本。

先决条件

  • 现有 CycloneDX 1.3、1.4、1.5、1.6 或软件软件包数据交换(SPDX) 2.2、2.3 文档文件。

流程

  1. 打开 Web 浏览器。
  2. 转至正在运行的 RHTPA 实例的 Trusted Profile Analyzer 控制台 URL。
  3. 使用您的凭证登录到 Trusted Profile Analyzer 控制台。
  4. 从导航菜单中点 SBOMs
  5. Generate vulnerability report 按钮。
  6. 您可以将 SBOM 文件直接拖放到此页面,或者点击 Browse Files 按钮,然后选择您要扫描的 SBOM 文件。
  7. 在 RHTPA 扫描 SBOM 文件后,您将获得分析摘要,以及 SBOM 文件中所含软件包的任何特定漏洞信息。

第 5 章 搜索漏洞和许可证信息
复制链接

您可以使用红帽的受信任的配置文件分析器(RHTPA)服务来查找有关软件 Bill of Materials (SBOM)文档、软件许可证表达式、常见漏洞和风险(CVE)以及红帽产品和软件包公告的信息。

受信任的配置文件分析器搜索导入的数据以识别最新的漏洞信息,并使用最新的软件软件包数据交换(SPDX)规范来定义 SBOM 文档中的各种许可证表达式。

先决条件

  • 在 Red Hat Enterprise Linux 或 Red Hat OpenShift 上托管的 Running RHTPA 服务。

流程

  1. 打开 Web 浏览器,再登录 RHTPA 控制台。
  2. 在主页中,单击导航菜单中的 Search
  3. 在搜索字段中,输入您的搜索查询。
  4. 在搜索结果页中,您可以查看与搜索查询相关的 SBOM 文档、软件包、漏洞和公告。您还可以按日期范围、SBOM 格式和许可证表达式过滤这些结果。

第 6 章 下载和查看许可证信息
复制链接

Red Hat Trusted Profile Analyzer ({acroynm})可以分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 文档。您可以以 CycloneDX 或 SPDX 格式从上传的软件 Bill of Materials (SBOM)文档下载并查看许可证信息。要了解更多有关 CycloneDX 和 SPDX 的两个许可证格式之间的区别,请参阅其他资源部分。

先决条件

  • 在 Red Hat OpenShift 或 Red Hat Enterprise Linux 上安装 {acroynm} 服务。
  • 上传的 CycloneDX 1.3、1.4、1.5 和 1.6 或 SPDX 2.2、2.3 文档。

流程

  1. 打开 Web 浏览器,并登录到 {acroynm} 控制台。
  2. 在主页中,单击导航边栏中的 Search
  3. 从列表中选择您的 SBOM。
  4. 点 options 菜单图标,然后点 Download License Export
  5. 从下载的 .zip 文件中提取许可证信息。

  6. 打开以逗号分隔的值(CSV)文件以查看它。

    注意

    许可证引用 CSV 文件只适用于 SPDX 格式的 SBOM。

第 7 章 为 SBOM 和公告编辑标签
复制链接

标签可帮助您组织组织,并快速查找 SBOM 和公告信息。您可以通过编辑红帽受信任的配置文件分析器({acroynm})中的 SBOM 和公告来管理软件 Bill of Materials (SBOM)文档和公告的自定义标签。

先决条件

  • 安装 RHTPA 服务.
  • Web 浏览器.
  • 用于访问 RHTPA 控制台的用户凭据。

流程

  1. 在 RHTPA 控制台主页中,单击导航菜单上的 SBOMs 或 Advisory。
  2. 在您要编辑标签的 SBOM 或公告行中,单击行末尾的 溢出菜单,然后单击 Edit labels

  3. Edit labels 页面中,您可以添加或删除标签。

    1. 要添加新标签,请在 Label 字段中输入标签名称,然后点 Add 按钮。
    2. 要删除标签,请查看 SBOM 部分的 Labels,点您要删除的标签上的 X
  4. 在为 SBOM 或公告编辑标签后,点 Save 按钮。

第 8 章 删除 SBOM 文档或公告
复制链接

您可以删除存储在 Red Hat Trusted Profile Analyzer (RHTPA)服务中的软件 Bill of Material (SBOM)文档和公告。此流程逐步说明如何使用基于 RHTPA Web 的控制台删除 SBOM 文档或公告。

先决条件

  • 在 Red Hat Enterprise Linux 或 Red Hat OpenShift 上托管的 Running RHTPA 服务。
  • 访问 RHPTA 控制台。

流程

  1. 打开 Web 浏览器,再登录 RHTPA 控制台。
  2. 在主页中,单击导航菜单中的 SBOM公告
  3. 在列表中找到您的 SBOM 或公告,点选项菜单图标,然后点 Delete
  4. 给出了一个确认对话框,点 Delete 按钮。

第 9 章 常见问题解答
复制链接

您是否对 Red Hat Trusted Profile Analyzer 有疑问?以下是常见问题及其答案的集合,以帮助您了解更多有关红帽受信任的配置文件分析器产品和服务的信息。

问:

什么是红帽受信任的配置文件分析器服务?

答:

红帽的 Trusted Profile Analyzer 服务通过分析应用程序的 SBOM 以了解开源软件(OSS)依赖项的漏洞风险,来提供应用程序风险。RHTPA 服务具有来自 CVE 聚合器和红帽安全公告的漏洞信息。

Trusted Profile Analyzer 服务是 红帽混合云控制台 上的托管实例。您可以通过将其直接上传到服务,使用此服务免费来评估 SBOM 的风险配置集。红帽不会保留 SBOM 的副本。

问:

使用 Red Hat Trusted Profile Analyzer 的好处是什么?

答:
  • 提高了整个软件供应链的透明度。
  • 早期检测和修复漏洞。
  • 集中管理 SBOM、VEX 和 CVE 数据。
  • 降低将安全漏洞引入生产环境的风险。
  • 改进了与软件安全性的行业标准的合规性。
问:

谁应使用红帽的受信任的配置文件分析器?

答:

红帽受信任的配置文件分析器非常适合需要管理和保护其软件供应链(尤其是使用开源和第三方组件的软件)的软件开发、安全性和操作(DevSecOps)。

问:

Trusted Profile Analyzer 可以解决哪些问题?

答:

Red Hat Trusted Profile Analyzer 通过使机构能够:

  • 有效地管理 SBOM 和漏洞补救信息。
  • 及时了解开源软件中的漏洞,以及软件清单中的专有代码库。
  • 在开发过程早期消除漏洞。
  • 分析并公开许可证信息。
  • 确保法规合规性。
问:

Trusted Profile Analyzer 如何使用 SBOM 管理和分析帮助?

答:

受信任的配置文件分析器为 SBOMs 创建软件清单提供存储和管理,允许组织支持内部应用程序和第三方的软件组件的综合记录。受信任的配置文件分析器支持带有 CVE 和通用安全公告框架(CSAF) VEX 安全公告的 SBOM 中的跨引用组件,并提供应用程序风险配置文件,确保软件供应链中的透明度。

问:

红帽如何使用 Trusted Profile Analyzer?

答:

受信任的配置文件分析器是红帽内部软件供应链的重要部分。它为红帽提供了 SBOM 存储、风险性能分析和分析的真实来源。

问:

RHTPA 可以分析哪些类型 SBOMs?

答:

受信任的 Profile Analyzer 可以分析直接从构建过程中生成的源代码创建的 SBOM,或者由分析工件(如容器和软件包)生成。

问:

RHTPA 接受什么 SBOM 格式?

答:

受信任的配置文件分析器支持以 CycloneDX 1.6 或较低格式 SBOM,以及 SPDX 2.3 或较低格式。

问:

它如何集成到开发工作流中?

答:

将 RHTPA 集成到您的 CI/CD 管道中就像为 SBOM 生成添加任务一样简单,并将它上传到受信任的配置文件分析器服务。

问:

支持哪些部署类型?

答:

您可以在 Red Hat Enterprise Linux 或 Red Hat Openshift Container Platform 上部署 RHTPA。如需了解更多详细信息,请参阅 RHTPA 部署指南

问:

在哪里可以了解更多信息或入门?

答:

请参阅 Red Hat Developers 上的 Red Hat Trusted Profile Analyzer 概述页面 以了解更多信息、文档和资源来帮助您入门。

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部