Node.jsエージェントのリリースノート

正規表現と$nという特殊なパターンを使用した場合に発生していた文字列置換の不具合を修正しました。(NODE-3788)

Assessのサンプリングevent_detail設定オプションをサポートするようになりました。(NODE-3752)

ワークスペースを更新して@contrast/commonから空の不変オブジェクトを使用できるようにしました。(NODE-3754)

生成されるコード成果物のサイズを小さくするために、リライタを更新しました。(NODE-3767)

ネストしたURLプロパゲータをリファクタリングしました。(NODE-3770)

攻撃値のマスク設定が有効になっている場合に、HTTPリクエストの詳細でも攻撃ベクトルをマスクするように修正しました。(NODE-3774)

Contrast Assessで、FastifyのpreValidationハンドラが、ソースコンテキストがない場合にdoneコールバックを呼び出さない問題を修正しました。(NODE-3787)

Fastify 5のサポートを追加しました。(NODE-3622)

string.prototype.replaceをリファクタリングして、regexp.execの呼び出し時にインストゥルメンテーションされないようにしました。(NODE-3766)

本番環境でのContrast Assessで、 assess.stacktracesの設定としてSINKを使用するようにしました(yamlや環境変数で設定されていない場合)。(NODE-3768)

ADRの全機能のインストゥルメントを有効にできるオプションを実装しました。(NODE-3736)

HTTPスパンの実装が完了しました。(NODE-3744)

String.prototype.splitプロパゲータをリファクタリングして、タグ範囲を計算するために伝播が強制的に行われないようにしました。(NODE-3749)

エージェントが制御の反転(IoC)を使用していることを確認するよう、agentおよびagentifyモジュールを更新しました。(NODE-3757)

util.formatでの未定義の引数を処理するようにしました。(NODE-3759)

書き込み可能なキャッシュディレクトリを提供するようにエージェントの演算子を設定できるようにしました。(NODE-3728)

証明書設定のオプションを追加しました。(NODE-3738)

event-factoryメソッドをリファクタリングし、パフォーマンスを改善しました。(NODE-3753)

String.prototype.concatで発生する可能性のある不要な伝播を修正しました。(NODE-3746)

sendおよびfastify-sendの伝播で、伝播コンテキストをチェックしないようにしました。(NODE-3747)

winstonロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3437)

pinoロギングモジュールに対して、プログラムによるデッドゾーンを追加しました(NODE-3438)

Contrast Protectのresponse-blockerをクラス化しました。(NODE-3604)

Contrast Protectで、静的なファイルを提供するライブラリに対してパストラバーサルが報告されないようにしました。(NODE-3717)

パフォーマンスのバグを修正、GUIDに疑わしいというフラグをつけないようにしました(agent-libをバージョン9.1.0に更新)。(NODE-3739)

hapiのContrast Assessのソース検査にて、onRequestフックが中断する問題を修正しました。(NODE-3745)

顧客から報告されたレイテンシ(待機時間)のパフォーマンスの問題を調査し、原因を解決するためのチケットを作成して修正しています。弊社のテストケースでは50%改善しました。(NODE-3731)

get-source-contextで伝播イベントの数が正しくチェックされていませんでした。(NODE-3734)

一部のテレメトリが、オプトアウトしても引き続き有効になっていました。(NODE-3732)

新しい@swc/coreチェックで、ネストされた依存関係が適切に処理されていませんでした。(NODE-3733)

設定のデフォルトを決定する際に、空の文字列をチェックするようにしました。(NODE-3725)

インストールした環境が実行中の環境とは異なる場合に、明確なエラーメッセージが表示されるようになりました。(NODE-3381)

rewrite.enableまたはrewrite.cache.enableがtrueの場合に、リライタフックが許可されるようになりました。(NODE-3720)

新しいagent-lib@9.0.0によって、コマンドインジェクションの過検知が修正されました。(NODE-3721)

graphql-httpがソースとしてインストゥルメントされるようにしました。(NODE-3394)

GraphQLの詳細なルート検出と観測をサポートするよう拡張しました。(NODE-3409)

ライセンスを2025年に更新しました。(NODE-3714)

CLIリライタは、rewrite-deadzonedパッケージファイルをスキップするようになりました。(NODE-3434)

Contrastサーバのエラーでインストールが失敗した場合のstderrへのログを改善しました。(NODE-3677)

イベント処理を監視するPerf(パフォーマンス分析機能)を拡張しました。(NODE-3684)

ターゲットライブラリがインポートされた時にdep-hooksの戻り値が使用されていませんでした。(NODE-3561)

トレースエンドポイントのhashSetを一定の間隔でクリアし、脆弱性の最後の検出が適切に更新されるようにしました。(NODE-3709)

新機能：ビルドID/アーティファクトを区別する固有のハッシュの自動生成とContrastへのレポート。(NODE-3314)

新機能：Express 5のサポートを追加しました。(NODE-3623)

新機能：プレビュー機能としてGraphQLに対応しました。

セッションとビルドID生成の自動化とレポートについての調査。(NODE-3315)

新しいnode --runコマンドでcmd_ignore_listが使用できるよう互換性について調査して実装しました。(NODE-3540)

Express 5をサポートするようにルートカバレッジをリファクタリングしました。(NODE-3650)

フローマップ機能に関して一部のアーキテクチャコンポーネントの統合テストを実施しました。(NODE-3666)

GraphQLについてルートカバレッジの検出とイベントの観測を報告するようにしました。(NODE-3671)

pinoのtransportをmulti-streamに置き換えました。(NODE-3678)

レポーター(reporter)のメモリの問題を修正しました。(NODE-3705)

Contrastサーバからの4xxエラーコードを仕様に従って処理するようにしました。(NODE-3638)

Contrast Protectでasync-hook-domainを排他的に使用するようにしました。(NODE-3674)

mssqlクエリのシリアライズ処理のデッドゾーン化を調査しました。 (NODE-3579)

リリース時のフローを調整しました。(NODE-3681)

ライセンスされているADR製品の使用状況を報告するようにしました。(NODE-3605)

フローマップの残りのアーキテクチャコンポーネントを実装しました。(NODE-2793)

ホスト名および検出されたコンテナを公開し、サーバインベントリエンドポイントに送信するようにしました。(NODE-3639)

パッチの適用： パッケージのバージョン範囲を確認し、新しいバージョンで互換性が損なわれないようにしました。(NODE-3642)

Contrast Protectのソースを更新し、モジュールrouterをインストゥルメントできるようにしました。(NODE-3648)

Contrast Protectのエラーハンドラを更新し、モジュールrouterをインストゥルメントできるようにしました。(NODE-3649)

protect.getSourceContext()の呼び出しから未使用の引数を削除しました。(NODE-3660)

APIトークンのプロパティが旧キーで上書きされた場合のログレベルをWARNに引き上げました。(NODE-3661)

ログファイルの上書きの問題を修正しました。(NODE-3667)

Contrast Protectのイベントのリクエストヘッダが配列ではなくオブジェクトとして報告されるようにしました。(NODE-3662)

Syslogのメタデータ文字列の形式が正しくありませんでした。(NODE-3668)

Contrast AssessがExpress 5にプレビュー機能として対応。(NODE-3644、NODE-3645、NODE-3646)

本番環境におけるContrast Assess機能で、サンプリングされていないリクエストが、ソースコンテキスト不足として報告されていた問題を修正しました。(NODE-3659)

観測されたルートの機能としてContrast Assessのサンプリングを調査しました。 (NODE-3597)

MongoDB 6ドライバの集計関数のサポートを改善しました。(NODE-3614)

bunyanロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3427)

ライブラリ報告のためのnpm lsの使用を置き換えました。(NODE-3599)

ライブラリ報告のためのnpmを置き換え、 Distrolessをサポートするようにしました。(NODE-3619)

log4jsロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3636)

Expressの最大バージョンに対するインストゥルメンテーションを追加しました。(NODE-3641)

すべてのエントリポイントにperfを追加しました。(NODE-3602)

エージェントは、新しいスタートアップエンドポイントv1.0を使用するようになりました。(NODE-3390)

ルートカバレッジにTRACEレベルのログを追加しました。(NODE-3566)

cookie-signatureを含めるように安全なハッシュライブラリを更新しました。(NODE-3558)

.swcrcファイルにjsc.targetが指定されている場合にリライタがエラーを返す問題を修正しました。(NODE-3640)

Node.js LTS 22のサポートを追加しました。

Mongooseのクエリパラメータの無害化と検証を追加しました。(NODE-3565)

core.messagesのイベント数を増やしました。(NODE-3627)

npmのAuditエージェントのreadmeファイルを更新し、正確なものにしました。(NODE-3548)

監査機能と不要な依存関係を修正しました。(NODE-3601)

Node.jsエージェントは、Contrastの通信にCONTRAST__API__TOKENの使用をサポートするようになりました。CONTRAST__API__URL、CONTRAST__API__API_KEY、CONTRAST__API__SERVICE_KEY、CONTRAST__API__USER_NAMEの代わりに使用できます。(NODE-3522)

Contrast Assessのスタックトレースの設定オプションに新しい列挙値(SINK)を追加しました。(NODE-3591)

このリリースでは、Node 22 LTSをプレビュー版としてサポートします。

この機能は、まだ正式にはサポートされていません。

crypto.createCipherのサポートを追加しました。(NODE-3533)

FS_METHODS にfs.globとfs.globSyncを追加しました。(NODE-3541)

Fastifyのルートカバレッジのリファクタリングを行い、dep-hooksのESM版におけるバグの影響を受けないようにしました。(NODE-3563)

rewrite-is-deadzoned.jsを修正しました。(NODE-3572)

CSP(Content-Security-Policy)ルールを最新の要件に合わせて更新しました。(NODE-3582)

semver v7.6において、バージョン範囲の比較が正しく行われず、予期せぬ結果を引き起こす可能性があった問題を修正しました。(NODE-3585)

Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。

@fastify/static@7で報告されたパストラバーサルの過検知を修正しました。(NODE-3549)

Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。(NODE-3567)

Node.js v5にデッドゾーンサポートのフェーズ1を実装しました。(NODE-3360)

デッドゾーンは、エージェントが特定のモジュールや関数のインストゥルメンテーションをスキップできるようにするメカニズムです。

node -rプリロードフラグが適切に使用されていない場合に、ログを出力するようにしました。(NODE-3481)

プリフライトリクエストのメッセージにおける重複の問題を修正しました。(NODE-3476)

疎通されていないルートをエージェントが報告していなかった問題を修正しました。(NODE-3548)

テレメトリの報告に関する問題を修正しました。(NODE-3554)

bcryptモジュールにプログラムによるデッドゾーンを使用するようにエージェントを更新しました。(NODE-3424)

本リリースで、Contrastエージェントをnpmに公開する際の新しいプロセスが導入されました。新しいプロセスでは、アーティファクトには<next>タグを付けてnpmにリリースされます。<next>タグを採用することで、npm install @contrast/agent@nextというコマンドを明示的に使用しない限り、次(next)のバージョンのエージェントが自動的にインストールされることがなくなります。

次のバージョンのリリースノートが公開された直後に、バージョンのタグは<latest>に切り替えられます。この新しいプロセスにより、新機能のプレビューやテストが可能になり、まもなく<latest>としてタグ付けされるリリースノートを確認することもできます。

エージェントは、クラウドリソースID(AWS、Azure、GCP)を抽出して、Contrastに報告するようになりました。(NODE-2932)

この機能は、クラウドプロバイダー上で実行時にリソースIDを収集し、そのIDをログとContrast Webインターフェイスに報告します。

ログに発生していたExpress.response.pushエラーを修正しました。(NODE-3532)

@contrast/distringuishのREADMEドキュメントを改善しました。(NODE-3517)

報告されるルートのテキストを、より一貫性のある慣用的な表現に変更しました。影響を受けるフレームワークは、Koa、 Hapi、Fastify、Restifyです。

この変更によって、孤立したルートが発生する可能性がありますが、手動で削除するかルートの有効期限機能を使用して削除してください。セッションメタデータやセッションIDを使用している場合、この変更による影響はありません。Expressフレームワークを使用しているお客様は、このリリースの影響を受けません。

アプリケーションがAWSまたはAzure Cloudで実行されている場合、リソース識別子がログに報告されるようになりました。

Contrastに送信されるライブラリの使用状況のリクエストは、HTTPの負荷を軽減するためにバッチ処理されるようになりました。デフォルトのバッチサイズは、100です。 (NODE-3509)

インポートバインディング名がリライタの組み込み変数名と一致する場合にエラーが発生する問題を修正しました。(NODE-3486)