Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

参考指南

Red Hat Trusted Profile Analyzer 2

Red Hat Trusted Profile Analyzer 的其他参考信息

Red Hat Trusted Documentation Team

摘要

此参考指南为用户提供有关红帽受信任的配置文件分析器服务的附加信息。
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息

前言

欢迎使用红帽受信任的配置文件分析器(RHTPA)参考指南!

在本指南中,您可以找到有关受信任的配置文件分析器服务的一般参考材料。

第 1 章 创建材料清单文件的软件清单

Red Hat Trusted Profile Analyzer 可以使用 JSON 文件格式分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 格式。很多开源工具可用于从容器镜像或您的应用程序创建软件 Bill of Materials (SBOM)清单文件。对于这个步骤,我们将使用 Syft 工具。

重要

目前,Trusted Profile Analyzer 只支持 CycloneDX 版本 1.3、1.4 和 1.5 以及 SPDX 版本 2.2 和 2.3。

先决条件

流程

  1. 使用容器镜像创建 SBOM。

    CycloneDX 格式:

    语法

    syft IMAGE_PATH -o cyclonedx-json@1.5

    Example

    $ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5

    SPDX 格式:

    语法

    syft IMAGE_PATH -o spdx-json@2.3

    Example

    $ syft registry:example.io/hello-world:latest -o spdx-json@2.3

    注意

    Syft 支持许多类型的容器镜像源。请参阅 Syft GitHub 网站上的官方支持 源列表。

  2. 通过扫描本地文件系统来创建 SBOM。

    CycloneDX 格式:

    语法

    syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5
syft file: FILE_PATH -o cyclonedx-json@1.5

    Example

    $ syft dir:. -o cyclonedx-json@1.5
$ syft file:/example-binary -o cyclonedx-json@1.5

    SPDX 格式:

    语法

    syft dir: DIRECTORY_PATH -o spdx-json@2.3
syft file: FILE_PATH -o spdx-json@2.3

    示例

    $ syft dir:. -o spdx-json@2.3
$ syft file:/example-binary -o spdx-json@2.3

其他资源

第 2 章 下载和查看许可证信息

红帽的受信任的配置文件分析器(RHTPA)可以分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 文档。您可以以 CycloneDX 或 SPDX 格式从上传的软件 Bill of Materials (SBOM)文档下载并查看许可证信息。要了解更多有关 CycloneDX 和 SPDX 的两个许可证格式之间的区别,请参阅其他资源部分。

先决条件

  • 在 Red Hat OpenShift 或 Red Hat Enterprise Linux 上安装 RHTPA 服务。
  • 上传的 CycloneDX 1.3、1.4 或 1.5 或 SPDX 2.2、2.3 文档。

流程

  1. 打开 Web 浏览器,再登录 RHTPA 控制台。
  2. 在主页中,单击导航边栏中的 Search
  3. 从列表中选择您的 SBOM。
  4. 单击下拉菜单,然后单击 Download License Export
  5. 从下载的 .zip 文件中提取许可证信息。

  6. 打开以逗号分隔的值(CSV)文件以查看它。

    注意

    许可证引用 CSV 文件只适用于 SPDX 格式的 SBOM。

其他资源

第 3 章 常见问题解答

您是否对受信任的配置文件分析器有疑问?以下是常见问题及其答案的集合,以帮助您了解更多有关红帽受信任的配置文件分析器服务的信息。

问:

什么是红帽受信任的配置文件分析器服务?

答:

红帽的 Trusted Profile Analyzer 服务是一种主动服务,可帮助您评估在应用程序堆栈中使用开源软件(OSS)软件包和依赖项的安全性和漏洞风险。

问:

如何使用红帽的受信任的配置文件分析器服务?

答:

您可以使用 Red Hat 的 Trusted Profile Analyzer 服务。首先,通过将依赖分析扩展用于集成开发环境(IDE)平台,如 Microsoft 的 Visual Studio Code 或 Jet Brains 的 IntelliJ IDEA。使用依赖分析功能,您可以在编写应用程序时对漏洞进行在线指导。其次,通过搜索 红帽混合云控制台 上红帽产品的软件 Bill of Materials (SBOM)和漏洞利用性 eXchange (VEX)信息。

问:

Trusted Profile Analyzer 服务将提供哪种类型的内容?

答:

您可以访问 Java、NodeJS、Python、Go 和 Red Hat Enterprise Linux 软件包的应用程序库。有关开源软件包的漏洞信息直接来自内部红帽资源、红帽的生态系统,如 Snyk 和开源社区数据源。

问:

Trusted Profile Analyzer Service 将提供哪些初始内容?

答:

以下内容将可用:

  • quarkus Java Framework for Java Archive (JAR)带有相关 SBOM 文件。
  • Red Hat Enterprise Linux Universal Base Image (UBI)版本 8 和 9 带有关联的 SBOM 文件。
  • 有关开源 Java 软件包的漏洞信息。
问:

Trusted Profile Analyzer SBOM 如何帮助我?

答:

受信任的配置文件分析器软件 Bill of Materials (SBOM)可以帮助您了解应用程序堆栈中的软件组件,以及这些软件组件可以具有的任何相关漏洞。SBOM 可以通过组件验证、许可证信息以及测试其构建方式,提高软件供应链中开源代码的可见性和透明性。

问:

谁使用红帽的受信任的配置文件分析器服务?

答:

红帽受信任的配置文件分析器服务的主要受众是 Quarkus Java 开发人员,以及使用 Red Hat Enterprise Linux UBI 的云原生容器镜像构建器。

问:

要使用红帽的受信任的配置文件分析器服务,是否需要了解新的内容,或更改我的开发工作流和流程?

答:

No.

问:

我不是 Quarkus Java 开发人员,我是否仍然可以从红帽受信任的配置文件分析器服务获得任何值?

答:

是。Trusted Profile Analyzer 服务仍提供有关当前未包含在 Trusted Profile Analyzer 存储库中的开源软件包的安全风险信息。

第 4 章 术语表

红帽受信任的配置文件分析器服务的常见术语和定义。

Exhort
发送所有 API 请求的受信任配置文件分析器的后端端点,以检索要分析所需的数据,包括软件包依赖项和漏洞。红帽依赖分析(RHDA)集成开发环境(IDE)插件使用此端点在 IDE 框架内生成漏洞报告。
软件 Bill of Materials
也称为 acronym,SBOM。特定应用程序所需的依赖软件包的清单。
Glas 的单一原则
也称为 acronym,SPOG。Trusted Profile Analyzer Web 仪表板和通知的 RESTful 应用程序编程接口(API)。
漏洞利用性 eXchange
也称为 acronym VEX。由软件供应商为产品中特定漏洞发布的安全公告。
常见漏洞和风险
也称为 acronym, CVE。CVE 通过给出一个分数 1-10 来指示产品的攻击和恶意活动风险,其中 1 是最低风险水平,10 是最高公开级别。
通用漏洞分数系统
也称为 acronym CVSS。当试图在各种产品和网络中计算 CVE 时,CVSS 会根据特定公式计算 CVE 分数。

法律通告

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.