Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

参考指南

Red Hat Trusted Profile Analyzer 2

Red Hat Trusted Profile Analyzer 的其他参考信息

Red Hat Trusted Documentation Team

摘要

此参考指南为用户提供有关红帽受信任的配置文件分析器服务的附加信息。

前言
复制链接

欢迎使用红帽受信任的配置文件分析器(RHTPA)参考指南!

在本指南中,您可以找到有关受信任的配置文件分析器服务的一般参考材料。

第 1 章 创建材料清单文件的软件清单
复制链接

Red Hat Trusted Profile Analyzer 可以使用 JSON 文件格式分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 格式。很多开源工具可用于从容器镜像或您的应用程序创建软件 Bill of Materials (SBOM)清单文件。对于这个步骤,我们将使用 Syft 工具。

重要

目前,Trusted Profile Analyzer 只支持 CycloneDX 版本 1.3、1.4 和 1.5 以及 SPDX 版本 2.2 和 2.3。

先决条件

流程

  1. 使用容器镜像创建 SBOM。

    CycloneDX 格式
    syft IMAGE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 
    $ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap
    SPDX 格式
    syft IMAGE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 
    $ syft registry:example.io/hello-world:latest -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap
    注意

    Syft 支持许多类型的容器镜像源。请参阅 Syft GitHub 网站上的官方支持 源列表。

  2. 通过扫描本地文件系统来创建 SBOM。

    CycloneDX 格式
    syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5
syft file: FILE_PATH -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap 
    $ syft dir:. -o cyclonedx-json@1.5
$ syft file:/example-binary -o cyclonedx-json@1.5
    Copy to Clipboard Toggle word wrap
    SPDX 格式
    syft dir: DIRECTORY_PATH -o spdx-json@2.3
syft file: FILE_PATH -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap 
    $ syft dir:. -o spdx-json@2.3
$ syft file:/example-binary -o spdx-json@2.3
    Copy to Clipboard Toggle word wrap

第 2 章 下载和查看许可证信息
复制链接

红帽的受信任的配置文件分析器(RHTPA)可以分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 文档。您可以以 CycloneDX 或 SPDX 格式从上传的软件 Bill of Materials (SBOM)文档下载并查看许可证信息。要了解更多有关 CycloneDX 和 SPDX 的两个许可证格式之间的区别,请参阅其他资源部分。

先决条件

  • 在 Red Hat OpenShift 或 Red Hat Enterprise Linux 上安装 RHTPA 服务。
  • 上传的 CycloneDX 1.3、1.4 或 1.5 或 SPDX 2.2、2.3 文档。

流程

  1. 打开 Web 浏览器,再登录 RHTPA 控制台。
  2. 在主页中,单击导航边栏中的 Search
  3. 从列表中选择您的 SBOM。
  4. 单击下拉菜单,然后单击 Download License Export
  5. 从下载的 .zip 文件中提取许可证信息。

  6. 打开以逗号分隔的值(CSV)文件以查看它。

    注意

    许可证引用 CSV 文件只适用于 SPDX 格式的 SBOM。

第 3 章 常见问题解答
复制链接

您是否对红帽受信任的配置文件分析器产品和服务有疑问?以下是常见问题及其答案的集合,以帮助您了解更多有关红帽受信任的配置文件分析器产品和服务的信息。

问:

红帽的受信任的配置文件分析器是什么?

答:

Red Hat Trusted Profile Analyzer 是 Red Hat Trusted Software Supply Chain 套件中的一个产品,它可帮助组织管理和分析 Materials (SBOMs)、供应商 VEX (Vulnerability Exploitability eXchange)和 CVE (通用漏洞和风险)信息。它允许安全性、开发人员和 DevSecOps 团队在自定义、第三方和开源软件组件中评估风险配置文件,而不会减慢开发速度或增加操作复杂性。

问:

什么是红帽受信任的配置文件分析器服务?

答:

红帽的 Trusted Profile Analyzer 服务通过分析应用程序的 SBOM 以了解开源软件(OSS)依赖项的漏洞风险,来提供应用程序风险。RHTPA 服务具有来自 CVE 聚合器和红帽安全公告的漏洞信息。

Trusted Profile Analyzer 服务是 红帽混合云控制台 上的托管实例。您可以通过将其直接上传到服务,使用此服务免费来评估 SBOM 的风险配置集。红帽不会保留 SBOM 的副本。

问:

使用 Red Hat Trusted Profile Analyzer 的好处是什么?

答:
  • 提高了整个软件供应链的透明度。
  • 早期检测和修复漏洞。
  • 集中管理 SBOM、VEX 和 CVE 数据。
  • 降低将安全漏洞引入生产环境的风险。
  • 改进了与软件安全性的行业标准的合规性。
问:

谁应使用红帽的受信任的配置文件分析器?

答:

红帽受信任的配置文件分析器非常适合需要管理和保护其软件供应链(尤其是使用开源和第三方组件的软件)的软件开发、安全性和操作(DevSecOps)。

问:

Trusted Profile Analyzer 可以解决哪些问题?

答:

Red Hat Trusted Profile Analyzer 通过使机构能够:

  • 有效地管理 SBOM 和漏洞补救信息。
  • 及时了解开源软件中的漏洞,以及软件清单中的专有代码库。
  • 在开发过程早期消除漏洞。
  • 分析并公开许可证信息。
  • 确保法规合规性。
问:

Trusted Profile Analyzer 如何使用 SBOM 管理和分析帮助?

答:

受信任的配置文件分析器为 SBOMs 创建软件清单提供存储和管理,允许组织支持内部应用程序和第三方的软件组件的综合记录。受信任的配置文件分析器支持带有 CVE 和通用安全公告框架(CSAF) VEX 安全公告的 SBOM 中的跨引用组件,并提供应用程序风险配置文件,确保软件供应链中的透明度。

问:

红帽如何使用 Trusted Profile Analyzer?

答:

受信任的配置文件分析器是红帽内部软件供应链的重要部分。它为红帽提供了 SBOM 存储、风险性能分析和分析的真实来源。

问:

RHTPA 可以分析哪些类型 SBOMs?

答:

受信任的 Profile Analyzer 可以分析直接从构建过程中生成的源代码创建的 SBOM,或者由分析工件(如容器和软件包)生成。

问:

RHTPA 接受什么 SBOM 格式?

答:

受信任的配置文件分析器支持以 CycloneDX 1.6 或较低格式 SBOM,以及 SPDX 2.3 或较低格式。

问:

它如何集成到开发工作流中?

答:

将 RHTPA 集成到您的 CI/CD 管道中就像为 SBOM 生成添加任务一样简单,并将它上传到受信任的配置文件分析器服务。

问:

支持哪些部署类型?

答:

您可以在 Red Hat Enterprise Linux 或 Red Hat Openshift Container Platform 上部署 RHTPA。如需了解更多详细信息,请参阅 RHTPA 部署指南

问:

在哪里可以了解更多信息或入门?

答:

请参阅 Red Hat Developers 上的 Red Hat Trusted Profile Analyzer 概述页面 以了解更多信息、文档和资源来帮助您入门。

第 4 章 术语表
复制链接

红帽受信任的配置文件分析器服务的常见术语和定义。

Exhort
发送所有 API 请求的受信任配置文件分析器的后端端点,以检索要分析所需的数据,包括软件包依赖项和漏洞。红帽依赖分析(RHDA)集成开发环境(IDE)插件使用此端点在 IDE 框架内生成漏洞报告。
软件 Bill of Materials
也称为 acronym,SBOM。特定应用程序所需的依赖软件包的清单。
Glas 的单一原则
也称为 acronym,SPOG。Trusted Profile Analyzer Web 仪表板和通知的 RESTful 应用程序编程接口(API)。
漏洞利用性 eXchange
也称为 acronym VEX。由软件供应商为产品中特定漏洞发布的安全公告。
常见漏洞和风险
也称为 acronym, CVE。CVE 通过给出一个分数 1-10 来指示产品的攻击和恶意活动风险,其中 1 是最低风险水平,10 是最高公开级别。
通用漏洞分数系统
也称为 acronym CVSS。当试图在各种产品和网络中计算 CVE 时,CVSS 会根据特定公式计算 CVE 分数。

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部