第 1 章 Red Hat Trusted Profile Analyzer 概述

Red Hat Trusted Profile Analyzer (RHTPA)是 Red Hat Trusted Software Supply Chain 套件中的一个产品，可帮助组织管理其软件供应链安全性和风险管理。它允许 DevSecOps 团队在自定义、第三方和开源软件组件中评估风险配置集，而不会减慢开发速度或增加操作复杂性。Trusted Profile Analyzer 服务为您提供了应用程序安全配置文件的集中、统一的视图，也称为 Glass (SPOG)视图。此 SPOG 视图由底层 RESTful 应用程序编程接口(API)提供支持，并为 RHTPA Web 控制台和通知服务提供基础。

Exhort 是 Trusted Profile Analyzer 的后端端点，其中所有 API 请求都会发送，以检索要分析所需的数据，包括软件包依赖项和漏洞。红帽依赖分析(RHDA)集成开发环境(IDE)插件使用此端点在 IDE 框架内生成漏洞报告。

Trusted Profile Analyzer 服务通过聚合、管理和分析以下关键安全文档来运行：

Trusted Profile Analyzer 服务定期导入公告和漏洞数据，并使用这些数据来跨引用 SBOM 文档中的数据。这有助于团队根据常见漏洞评分系统(CVSS)等指标解释潜在的影响，它是一个标准化的开放框架，用于对 IT 漏洞进行评分，并帮助他们优先排序和管理补救工作。