红帽全球峰会第 4 章 已知问题
解决了本 Red Hat Trusted Profile Analyzer (RHTPA)版本的已知问题:
本发行版本中发现的未解决已知问题列表:
- 不支持在同一 Red Hat OpenShift 集群上运行并行 RHTPA 实例
- RHTPA Operator 使用集群范围的服务帐户和角色映射来正确运行。拥有多个 RHTPA 实例可能会导致其他命名空间中现有自定义资源(CR)协调问题,从而导致环境不稳定。因此,红帽不支持在同一 Red Hat OpenShift 集群上运行并行 RHTPA 实例。
- 在处理大量项目时,批量 SBOM 上传部分失败
- 当批量通过 RHTPA API 上传软件 Bill of Materials (SBOM)时,导入程序可能会向支持的 S3 或对象存储发送大量并发请求,如果导入程序处理大量项目,这可能会导致错误。要在批量清理过程中解决这些错误,请临时停止或缩减导入程序,以便在上传 SBOMS 或其他导入程序运行时不会并行处理项目。因此,所有 SBOM 都成功导入到 TPA 系统中。
- 当有较高的分数时,会选择第一个漏洞分数
- 当一个漏洞有多个公告时,会选择第一个通用漏洞评分系统(CVSS)分数,而不是最高分数。目前,这个问题还没有临时解决方案。
- 对于在 RHTPA 2.2 之前上传的 Zstandard-compressed 文件,下载失败
-
升级到 RHTPA 2.2 会导致无法下载现有软件 Bill of Materials (SBOM)文档和公告文件,这些文件被上传为 Zstandard (
storage.compression=zstd)。这是因为 RHTPA 2.1.1 及更早版本中使用的较旧 Zstandard (Zstd)压缩与版本 2.2 中引入的较新的 Zstd 库不兼容。受影响的下载尝试返回ERR_INCOMPLETE_CHUNKED_ENCODING错误消息。目前,还没有可用的临时解决方案。
- 包含机器学习模型的 SBOM 文档缺少软件包详情
- 软件 Bill of Materials (SBOM) ingestion 进程不会因组件类型而异,从而存储机器学习模型作为软件包。使用机器学习模型提交 SBOM 文档,该组件及其父 SBOM 之间的关系不会反映在 RHTPA 的数据模型中。这会导致在 RHTPA 的用户界面中没有正确显示数据。要解决这个问题,可在 SBOM Packages 屏幕中观察机器学习模型组件。从 SBOM 到软件包的关系在用户界面中可见,但反向不是。
- 加密方法显示为软件包名称
- 软件 Bill of Materials (SBOM) ingestion 进程不会因组件类型而异。上传包含加密资产的 SBOM 文档可能会导致 SBOM 软件包页面中出现异常。软件包 name 字段使用加密方法名称填充。目前,这个问题还没有临时解决方案。
- 许可证信息不符合 SPDX 规格标准
-
软件 Bill of Materials (SBOM)中的软件包或组件的嵌入式许可证信息不符合 SPDX 规格 标准。由于此问题,TLTPA 将软件包 URL 许可证详细信息标记为
NOASSERTION。目前,这个问题还没有临时解决方案。
- 带有自签名证书的自定义 Quay 源不会导入数据
- 当您使用自签名证书设置自定义 Quay 源时,数据不会导入到 RHTPA。这是因为数据导入者的信任锚缺失。这个问题的解决方法是将 Root CA 证书挂载到 importer pod。
- 使用 OpenShift Data Foundation 时的
IncompleteBody错误 -
红帽的 OpenShift Data Foundation 不支持使用
aws-sdkRust 客户端的压缩逻辑。将 OpenShift Data Foundation 用作 RHTPA 的对象存储时,您可以获得409响应代码,以及一个IncompleteBody错误消息。此问题位于 OpenShift Data Foundation 代码库中。要解决这个问题,在使用 OpenShift Data Foundation 时,我们从 RHTPA 的源代码中删除了压缩逻辑功能。这个临时解决方案会导致软件 Bill of Materials (SBOM)和漏洞利用 eXchange (VEX)文档上传且没有错误。
- 报告了大量漏洞
- 在公告和大软件 Bill of Materials (SBOM)文档间关联漏洞数据的逻辑可能会导致页面加载缓慢,并显示大量漏洞。目前,这个问题还没有临时解决方案。
- 根据 SBOM 版本搜索给出不一致的结果
-
将 Software Bill of Materials (SBOM)版本号用作搜索条件时,您可能会得到不一致的结果。在某些情况下,搜索引擎可以在文件名或
document_id字段中找到包含版本号的 SBOM 版本号。在其他情况下,搜索引擎找不到匹配的 SBOM 版本,即使有效的 SBOM 版本号也是如此。当前没有解决此问题的方法。
- 负载均衡器可以在大型上传过程中丢弃闲置连接
- 在上传大量数据时,如 350 MB,通过使用 RHTPA API,负载均衡器可能会丢弃连接(如果它出现闲置)。在这种情况下,上传仍然已完成,但客户端不会收到响应。要防止这种情况,请将上传分成较小的部分,如 10-20 MB,以确保上传和响应都成功。
- 不支持 cpe 版本 2.3
- 带有字符串绑定的通用平台枚举(CPE)规格和 Software Bill of Materials (SBOM)无法正确呈现在 RHTPA 控制台中,在导出许可证信息时。当前没有解决此问题的方法。
- 可信配置文件分析器 2.2 需要 Helm 版本 3.17 或更高版本
- 要安装 RHTPA 2.2,您必须使用 Helm 版本 3.17 或更高版本在 Red Hat OpenShift Container Platform 上部署受信任的配置文件分析器服务。
- 不支持 CVSS v4 分数
- 目前,在 RHTPA 中不支持通用漏洞评分系统(CVSS)版本 4 分数。
- 具有环境或临时分数的公告无法上传
- 当将环境上传到 RHTPA 时,带有通用漏洞评分系统(CVSS)向量的通用安全公告框架(CSAF)文档可能会失败。由于此上传失败,您无法在 RHTPA 控制台中看到公告。目前,这个问题还没有临时解决方案。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}