Node.jsエージェントのリリースノート

Node.js 5.43.0

Release date: August 27, 2025

Language versions currently supported: 18, 20, 22 and 24 LTS

New and improved:

Node.js 24 LTS is now supported. (NODE-3816)
Added sensible defaults to cmd_ignore_list to prevent instrumentation of popular Node.js processes like those used by development CLIs, build tools, and Electron apps. This change enhances performance and focuses instrumentation on the most relevant applications. (NODE-3763)
As of this release, support for Node.js 16 has been dropped as it reached its end-of-life almost two years ago. This change enables us to enhance performance, streamline our codebase, and concentrate on supporting more modern Node.js environments. (NODE-3786)
Due to the deprecation and removal of the spdy module in Node.js 24, we removed support for it in this release. Our test applications have been updated to use native HTTP/2 for improved compatibility and performance. (NODE-3846)
Introducing a new check that will log a warning and shut down the agent if the --permission flag is detected. This prevents a potential crash and ensures agent stability in specific runtime environments. (NODE-3848)

Bug fixes:

Fixed an issue by updating the @swc/core dependency when a bug was causing high CPU usage. This update resolves a known issue, significantly reducing idle CPU usage. (NODE-3855)

Node.js 5.42.0

Release date: August 8, 2025

Language versions currently supported: 16, 18, 20, and 22 LTS

重要

Contrastは、2025年10月にNode.js 16(LTS)のサポートを終了します。お客様は、最新のNode.js LTSバージョン(現在はバージョン22.17.0(LTS))にアップグレードする必要があります。

New and improved:

Refactored the Assess reporting to no longer rely on the RESPONSE_FINISH event, which improves support for non-HTTP sources like WebSockets and message queues. (NODE-3804)

Bug fixes:

Fixed an issue where the agent failed to load when using an absolute path to the package root. The fix reintroduces the main field to the package.json to support more complex deployment scenarios. (NODE-3851)

Node.js 5.41.0

Release date: July 31, 2025

Language versions currently supported: 16, 18, 20, and 22 LTS

重要

New and improved:

To simplify the code and improve maintainability, this update refactors the nested propagators out of the util-format propagator. This change resolves multiple instances where patched methods were being used within the propagator. (NODE-3773)
The request scope was refactored to use a single, shared abstraction, store.sourceInfo, instead of separate objects for different components. This change reduces code duplication and improves memory efficiency by providing a common request abstraction for all features. (NODE-3808)

Bug fixes:

When a TypeError was thrown when the body-parser module was used without a request body, an issue with route mapping, where a route signature could not be generated due to empty observables, was resolved. (NODE-3836)
When a "Maximum call stack size exceeded" caused error occurred when handling recursively mounted routers in Express 5, the instrumentation now correctly handles nested routing scenarios without crashing, even when a router is mounted at multiple paths. (NODE-3849)

Node.js 5.40.0

リリース日： 2025年7月10日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

エージェントの組み込みが重複している場合に自動で検知・防止するようになりました。これにより、複数のエージェントが指定された場合でも、最初に組み込まれたエージェントだけがアプリケーションを監視するようになります。この機能強化により、エージェントの導入が効率化され、複数のエージェント組み込みによるよる意図しないオーバーヘッドや競合が回避されます。(NODE-3830)

修正された不具合：

根本的な問題を修正し、特殊な構成順やRouter.use()の単独使用などであっても、全ての有効な Express.jsのルート設定方法から検出イベントと監視イベントの両方が確実に生成されるようにしました。この更新により、Express.jsアプリケーションから収集される監視データの精度と網羅性が大幅に向上します。(NODE-3823)
body-parserのデータフローソースでのエージェントによる監視において、Express 5で使用されるバージョン 2をサポートしていない問題を修正しました。body-parserの監視を拡張するようエージェントを更新し、Express 5とbody-parserのバージョン2を使用するアプリケーションで完全かつ正確にデータフローソースを可視化できるようにしました。(NODE-3826)
アプリケーションライブラリがエージェント自体の依存関係でもある場合に、正しく報告されない問題を修正しました。 utils.js listInstalled()内の依存関係フィルタリングロジックを改良し、エージェントの依存関係と重複する場合でも、全ての正当なアプリケーションライブラリが正確に識別され、報告されるようにしました。(NODE-3827)

Node.js 5.39.1

リリース日： 2025年7月1日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

修正された不具合：

脆弱な乱数生成(crypto-weak-randomness)ルールが有効な場合に、Math.randomの呼び出しで誤ってエラーが発生していた問題を修正しました。(NODE-3832)

Node.js 5.39.0

リリース日： 2025年6月25日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

String.prototype.concatの引数が配列の場合に、タグ範囲が正しくない問題を修正しました。(NODE-3748)
本番環境におけるAssessの最新の仕様に準拠するようにエージェントを更新しました。(NODE-3808)
全ての依存関係を含めたNodeエージェントのパッケージを、単一パッケージとして公開するようにしました。(NODE-3817)

修正された不具合：

アプリケーションバージョンの報告をエンコードするように修正しました。(NODE-3829)

Node.js 5.38.0

リリース日： 2025年6月17日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

server_inventoryペイロードにmemory_metricsを含めるよう更新しました。(NODE-3819)

Node.js 5.37.0

リリース日： 2025年6月16日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

Contrastサーバから送られる全てのAssessのサンプリング設定をサポートするようにしました。また本番環境でのサンプリングも他のエージェントに合わせて更新しました。(NODE-3769)
ソースコードの縮小化によるメモリ使用量の改善として@swc/coreバージョンの更新を検討しました。(NODE-3785)
コンテナ内や仮想サーバ・プロセス内でのNode.jsアプリの最大メモリ制限を収集するようにしました。(NODE-3797)
起動時に、エージェントのレポートインスタンスのGUIDとアプリケーションIDのGUIDをINFOレベルでログに出力するようにしました。(NODE-3798)

Node.js 5.36.0

リリース日： 2025年5月22日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

@opentelemetryパッケージをデッドゾーン化しました。 (NODE-3740)
effective_configの出力を新しい標準や他のエージェントの出力と一致するように修正しました。(NODE-3782)
Contrast UIのレポータープロキシを更新し、ファイアウォールとの互換性を向上させました。(NODE-3790)

修正された不具合：

「パストラバーサル - ファイルセキュリティの回避」ルールで、スタックトレースや攻撃のメタデータが正しく報告されていませんでした。(NODE-3771)
@fastify/websocketの使用時に、Fastifyのインストルメンテーションエラーが発生していました。 (NODE-3794)

Node.js 5.35.1

リリース日： 2025年5月12日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

修正された不具合：

正規表現と$nという特殊なパターンを使用した場合に発生していた文字列置換の不具合を修正しました。(NODE-3788)

Node.js 5.35.0

リリース日： 2025年5月7日

現在サポートしている言語バージョン： 16、18、20、22 LTS

重要

新機能と改善点：

Assessのサンプリングevent_detail設定オプションをサポートするようになりました。(NODE-3752)
ワークスペースを更新して@contrast/commonから空の不変オブジェクトを使用できるようにしました。(NODE-3754)
生成されるコード成果物のサイズを小さくするために、リライタを更新しました。(NODE-3767)
ネストしたURLプロパゲータをリファクタリングしました。(NODE-3770)

修正された不具合：

攻撃値のマスク設定が有効になっている場合に、HTTPリクエストの詳細でも攻撃ベクトルをマスクするように修正しました。(NODE-3774)
Contrast Assessで、FastifyのpreValidationハンドラが、ソースコンテキストがない場合にdoneコールバックを呼び出さない問題を修正しました。(NODE-3787)

Node.js 5.34.0

リリース日：2025年4月17日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

Fastify 5のサポートを追加しました。(NODE-3622)

Node.js 5.33.0

リリース日： 2025年4月14日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

string.prototype.replaceをリファクタリングして、regexp.execの呼び出し時にインストゥルメンテーションされないようにしました。(NODE-3766)
本番環境でのContrast Assessで、 assess.stacktracesの設定としてSINKを使用するようにしました(yamlや環境変数で設定されていない場合)。(NODE-3768)

Node.js 5.32.0

リリース日： 2025年4月4日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

ADRの全機能のインストゥルメントを有効にできるオプションを実装しました。(NODE-3736)
HTTPスパンの実装が完了しました。(NODE-3744)
String.prototype.splitプロパゲータをリファクタリングして、タグ範囲を計算するために伝播が強制的に行われないようにしました。(NODE-3749)

Node.js 5.31.0

リリース日： 2025年4月1日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

エージェントが制御の反転(IoC)を使用していることを確認するよう、agentおよびagentifyモジュールを更新しました。(NODE-3757)

修正された不具合：

util.formatでの未定義の引数を処理するようにしました。(NODE-3759)

Node.js 5.30.0

リリース日： 2025年3月13日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

書き込み可能なキャッシュディレクトリを提供するようにエージェントの演算子を設定できるようにしました。(NODE-3728)
証明書設定のオプションを追加しました。(NODE-3738)
event-factoryメソッドをリファクタリングし、パフォーマンスを改善しました。(NODE-3753)

修正された不具合：

String.prototype.concatで発生する可能性のある不要な伝播を修正しました。(NODE-3746)
sendおよびfastify-sendの伝播で、伝播コンテキストをチェックしないようにしました。(NODE-3747)

Node.js 5.29.0

リリース日： 2025年3月4日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

winstonロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3437)
pinoロギングモジュールに対して、プログラムによるデッドゾーンを追加しました(NODE-3438)
Contrast Protectのresponse-blockerをクラス化しました。(NODE-3604)
Contrast Protectで、静的なファイルを提供するライブラリに対してパストラバーサルが報告されないようにしました。(NODE-3717)
パフォーマンスのバグを修正、GUIDに疑わしいというフラグをつけないようにしました(agent-libをバージョン9.1.0に更新)。(NODE-3739)

修正された不具合：

hapiのContrast Assessのソース検査にて、onRequestフックが中断する問題を修正しました。(NODE-3745)

Node.js 5.28.0

リリース日： 2025年2月21日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

顧客から報告されたレイテンシ(待機時間)のパフォーマンスの問題を調査し、原因を解決するためのチケットを作成して修正しています。弊社のテストケースでは50%改善しました。(NODE-3731)

修正された不具合：

get-source-contextで伝播イベントの数が正しくチェックされていませんでした。(NODE-3734)

Node.js 5.27.2

リリース日： 2025年2月19日

現在サポートしている言語バージョン： 16、18、20、22 LTS

修正された不具合：

一部のテレメトリが、オプトアウトしても引き続き有効になっていました。(NODE-3732)
新しい@swc/coreチェックで、ネストされた依存関係が適切に処理されていませんでした。(NODE-3733)

Node.js 5.27.1

リリース日：2025年2月6日

現在サポートしている言語バージョン： 16、18、20、22 LTS

修正された不具合：

設定のデフォルトを決定する際に、空の文字列をチェックするようにしました。(NODE-3725)

Node.js 5.27.0

リリース日： 2025年1月31日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

インストールした環境が実行中の環境とは異なる場合に、明確なエラーメッセージが表示されるようになりました。(NODE-3381)
rewrite.enableまたはrewrite.cache.enableがtrueの場合に、リライタフックが許可されるようになりました。(NODE-3720)
新しいagent-lib@9.0.0によって、コマンドインジェクションの過検知が修正されました。(NODE-3721)

Node.js 5.26.0

リリース日：2025年1月24日

現在サポートしている言語バージョン： 16、18、20、22 LTS

注記

このリリースでは、Apollo、Yoga、graphql-httpにおけるGraphQLライブラリをサポートするようになりました。

新機能と改善点：

graphql-httpがソースとしてインストゥルメントされるようにしました。(NODE-3394)
GraphQLの詳細なルート検出と観測をサポートするよう拡張しました。(NODE-3409)
ライセンスを2025年に更新しました。(NODE-3714)

Node.js 5.25.0

リリース日：2025年1月17日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

CLIリライタは、rewrite-deadzonedパッケージファイルをスキップするようになりました。(NODE-3434)
Contrastサーバのエラーでインストールが失敗した場合のstderrへのログを改善しました。(NODE-3677)
イベント処理を監視するPerf(パフォーマンス分析機能)を拡張しました。(NODE-3684)

修正された不具合：

ターゲットライブラリがインポートされた時にdep-hooksの戻り値が使用されていませんでした。(NODE-3561)
トレースエンドポイントのhashSetを一定の間隔でクリアし、脆弱性の最後の検出が適切に更新されるようにしました。(NODE-3709)

Node.js 5.24.0

リリース日：2025年1月9日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

新機能：ビルドID/アーティファクトを区別する固有のハッシュの自動生成とContrastへのレポート。(NODE-3314)
新機能：Express 5のサポートを追加しました。(NODE-3623)
新機能：プレビュー機能としてGraphQLに対応しました。
セッションとビルドID生成の自動化とレポートについての調査。(NODE-3315)
新しいnode --runコマンドでcmd_ignore_listが使用できるよう互換性について調査して実装しました。(NODE-3540)
Express 5をサポートするようにルートカバレッジをリファクタリングしました。(NODE-3650)
フローマップ機能に関して一部のアーキテクチャコンポーネントの統合テストを実施しました。(NODE-3666)
GraphQLについてルートカバレッジの検出とイベントの観測を報告するようにしました。(NODE-3671)
pinoのtransportをmulti-streamに置き換えました。(NODE-3678)

修正された不具合：

レポーター(reporter)のメモリの問題を修正しました。(NODE-3705)

注記

Node.js 5.18.0は非推奨です。Node.js 5.18.1に、Node.js 5.18.0でリリースされたすべての機能が含まれています。

新機能と改善点：

すべてのエントリポイントにperfを追加しました。(NODE-3602)

Node.js 5.18.0

リリース日： 2024年10月16日

現在サポートしている言語バージョン： 16、18、20、22 LTS

注記

Node.js 5.18.0は非推奨です。Node.js 5.18.1に、Node.js 5.18.0でリリースされたすべての機能が含まれています。

新機能と改善点：

エージェントは、新しいスタートアップエンドポイントv1.0を使用するようになりました。(NODE-3390)
ルートカバレッジにTRACEレベルのログを追加しました。(NODE-3566)
cookie-signatureを含めるように安全なハッシュライブラリを更新しました。(NODE-3558)

修正された不具合：

.swcrcファイルにjsc.targetが指定されている場合にリライタがエラーを返す問題を修正しました。(NODE-3640)

Node.js 5.17.0

リリース日： 2024年9月27日

現在サポートしている言語バージョン： 16、18、20、22 LTS

新機能と改善点：

Node.js LTS 22のサポートを追加しました。
Mongooseのクエリパラメータの無害化と検証を追加しました。(NODE-3565)
core.messagesのイベント数を増やしました。(NODE-3627)

Node.js 5.16.0

リリース日： 2024年9月26日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

npmのAuditエージェントのreadmeファイルを更新し、正確なものにしました。(NODE-3548)

修正された不具合：

監査機能と不要な依存関係を修正しました。(NODE-3601)

Node.js 5.15.0

リリース日： 2024年9月16日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

Node.jsエージェントは、Contrastの通信にCONTRAST__API__TOKENの使用をサポートするようになりました。CONTRAST__API__URL、CONTRAST__API__API_KEY、CONTRAST__API__SERVICE_KEY、CONTRAST__API__USER_NAMEの代わりに使用できます。(NODE-3522)
注記
Contrastサーバからのダウンロード可能なエージェント設定ファイルにはトークンはまだ追加されません。
Contrast Assessのスタックトレースの設定オプションに新しい列挙値(SINK)を追加しました。(NODE-3591)

Node.js 5.14.0

リリース日： 2024年8月27日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

このリリースでは、Node 22 LTSをプレビュー版としてサポートします。
この機能は、まだ正式にはサポートされていません。
crypto.createCipherのサポートを追加しました。(NODE-3533)
FS_METHODS にfs.globとfs.globSyncを追加しました。(NODE-3541)

修正された不具合：

Fastifyのルートカバレッジのリファクタリングを行い、dep-hooksのESM版におけるバグの影響を受けないようにしました。(NODE-3563)
rewrite-is-deadzoned.jsを修正しました。(NODE-3572)
CSP(Content-Security-Policy)ルールを最新の要件に合わせて更新しました。(NODE-3582)
semver v7.6において、バージョン範囲の比較が正しく行われず、予期せぬ結果を引き起こす可能性があった問題を修正しました。(NODE-3585)

Node.js 4.38.4

リリース日： 2024年8月20日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

修正された不具合：

Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。

Node.js 5.13.1

リリース日： 2024年8月15日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

@fastify/static@7で報告されたパストラバーサルの過検知を修正しました。(NODE-3549)
Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。(NODE-3567)

Node.js 5.13.0

リリース日： 2024年8月1日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

Node.js v5にデッドゾーンサポートのフェーズ1を実装しました。(NODE-3360)
デッドゾーンは、エージェントが特定のモジュールや関数のインストゥルメンテーションをスキップできるようにするメカニズムです。
node -rプリロードフラグが適切に使用されていない場合に、ログを出力するようにしました。(NODE-3481)

修正された不具合：

プリフライトリクエストのメッセージにおける重複の問題を修正しました。(NODE-3476)
疎通されていないルートをエージェントが報告していなかった問題を修正しました。(NODE-3548)
テレメトリの報告に関する問題を修正しました。(NODE-3554)

Node.js 5.12.1

リリース日： 2024年7月30日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

bcryptモジュールにプログラムによるデッドゾーンを使用するようにエージェントを更新しました。(NODE-3424)

Node.js 5.12.0

リリース日： 2024年7月18日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

本リリースで、Contrastエージェントをnpmに公開する際の新しいプロセスが導入されました。新しいプロセスでは、アーティファクトには<next>タグを付けてnpmにリリースされます。<next>タグを採用することで、npm install @contrast/agent@nextというコマンドを明示的に使用しない限り、次(next)のバージョンのエージェントが自動的にインストールされることがなくなります。
次のバージョンのリリースノートが公開された直後に、バージョンのタグは<latest>に切り替えられます。この新しいプロセスにより、新機能のプレビューやテストが可能になり、まもなく<latest>としてタグ付けされるリリースノートを確認することもできます。
- <next>タグによってnpmにエージェントを公開するプロセスを改善しました。(NODE-3507)
エージェントは、クラウドリソースID(AWS、Azure、GCP)を抽出して、Contrastに報告するようになりました。(NODE-2932)
この機能は、クラウドプロバイダー上で実行時にリソースIDを収集し、そのIDをログとContrast Webインターフェイスに報告します。
- エージェントが、Contrast にクラウドリソースIDを送信するようになりました。(NODE-3493)
- エージェントが、GCPのリソースIDを取得するようになりました。(NODE-3503)

修正された不具合：

ログに発生していたExpress.response.pushエラーを修正しました。(NODE-3532)

Node.js 5.11.0

リリース日： 2024年7月15日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

@contrast/distringuishのREADMEドキュメントを改善しました。(NODE-3517)
報告されるルートのテキストを、より一貫性のある慣用的な表現に変更しました。影響を受けるフレームワークは、Koa、 Hapi、Fastify、Restifyです。
この変更によって、孤立したルートが発生する可能性がありますが、手動で削除するかルートの有効期限機能を使用して削除してください。セッションメタデータやセッションIDを使用している場合、この変更による影響はありません。Expressフレームワークを使用しているお客様は、このリリースの影響を受けません。
- Fastifyのルートカバレッジをリファクタリングしました。(NODE-3483)
- Koaのネストしたルータのルートカバレッジをサポートするようになりました。(NODE-3484)
- ルートカバレッジの統合テストをリファクタリングしました。(NODE-3443)
- ルートシグネチャを検査してリファクタリングしました。(NODE - 3444)
アプリケーションがAWSまたはAzure Cloudで実行されている場合、リソース識別子がログに報告されるようになりました。
- AWSおよびAzureのリソース識別子を取得するようエージェントが設定されている場合に、リソース識別子が取得されるようになりました。 (NODE-3491、NODE-3492)
- X-Contrast-Reporting-InstanceをContrastに送信される各メッセージに追加しました。(NODE-3502)
- リソースの識別を無効にするための機能フラグを追加しました。(NODE-3513)
- エージェントは、リソース識別子の検出のためにクラウドプロバイダを自動検出するようになりました。(NODE-3518)

修正された不具合：

Contrastに送信されるライブラリの使用状況のリクエストは、HTTPの負荷を軽減するためにバッチ処理されるようになりました。デフォルトのバッチサイズは、100です。 (NODE-3509)

Node.js 5.10.2

リリース日： 2024年7月8日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

インポートバインディング名がリライタの組み込み変数名と一致する場合にエラーが発生する問題を修正しました。(NODE-3486)

Node.js 5.10.1

リリース日： 2024年6月27日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

bson 1.1.6にて、bsonデッドゾーンのrequire-hookでエラーが発生していた問題を修正しました。(NODE-3479)

Node.js 5.10.0

リリース日： 2024年6月21日

現在サポートしている言語バージョン：16、18、20 LTS

重要

このリリースでは、HTTP/2が正式にサポートされるようになりました。

新機能と改善点：

Contrast AssessでHTTP/2モジュールに対する反射型クロスサイトスクリプティング(Reflected XSS)を実装しました。
レスポンスを検査するルールをHTTP/2のspdyライブラリに対して実装しました。
Windowsのnode-require-hookを修正しました。

修正された不具合：

HTTP2のレスポンススキャンで、検出できない例外が発生していました。(NODE-3468)
リクエストがブロックされると、メトリックスモジュールが実行されずに、リクエストが設定時間を超えたことを警告するタイムアウトが発生していました。(NODE-3475)
リライタのキャッシュからロードされたMJSファイルが、相対パスファイルの読み込みを中断する場合がありました。(NODE-3485)
pgのarch-componentのインストゥルメンテーションから、イベントリスナーを減らしました。(NODE-3489)
暗号解析(crypto-analysis)における、アルゴリズムのチェック時に大文字と小文が区別されていませんでした。(NODE-3495)
パスにスペースがあるとnpm検出に失敗していました。(NODE-3497)

Node.js 4.38.3

リリース日： 2024年6月21日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

修正された不具合：

パスにスペースがあるとnpm検出に失敗していました。(NODE-3497)

Node.js 4.38.2

リリース日： 2024年6月17日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

修正された不具合：

Contrastサービスと通信するためにエージェントが使用するライブラリ、@grpc/grpc-jsに関連する新しいCVEに対処しました。(NODE-3487)

Node.js 5.9.0

リリース日： 2024年6月12日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

Contrast ProtectでHTTP/2モジュールに対する反射型クロスサイトスクリプティング(Reflected XSS)を実装しました。
Restify 8、9、10、11のサポートを追加しました(Contrast AssessおよびContrast Protect)。
モジュールインストール時のエラーは必要に応じて発生させるようにし、_errors[]に設定しないようにしました。
バリデーションを正しく機能させるために、必要なモジュールに検証ロジックを実装しました。
更新されたCEF(共通イベント形式)ガイドの仕様に合わせて、セキュリティログのエスケープを更新しました。
ルート探索時のフレームワークの報告(ルートカバレッジでの互換性チェック)を実装しました。

修正された不具合：

URLSearchParams.toString()を修正しました。(NODE-3332)
ソースマップのチェーンを追加しました。(NODE-3442)

Node.js 5.8.0

リリース日：2024年5月31日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

バージョン5でのNode.js 14のサポートを非推奨としました。
既存の@contrast/common関数を、よりパフォーマンスが高い、自己文書型の関数に置き換えました。

Node.js 5.7.5

リリース日： 2024年5月22日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

Contrastサーバで、存在しないエンドポイントを作成して脆弱性を関連付けていました。(NODE-3457)

Node.js 5.7.4

リリース日： 2024年5月22日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

レポータのエラー時にAPIキーがマスクされていませんでした。(NODE-3458)

Node.js 5.7.3

リリース日： 2024年5月21日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

イベント作成時にinspectを使用すると発生していた問題を修正しました。(NODE-3451)
反射型クロスサイトスクリプティング(reflected-xss)の各シンクでisSafeContentTypeをチェックするようにしました。(NODE-3452)

Node.js 5.7.2

リリース日： 2024年5月21日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

Expressのルート観測のバグを修正しました。(NODE-3453)

Node.js 5.7.1

リリース日： 2024年5月20日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

Expressのルートカバレッジで、配列で定義されたミドルウェアが正確に処理されるようになりました。

Node.js 5.7.0

リリース日： 2024年5月15日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

エージェントが常にContrastサーバに報告するように、有効なエージェント設定の有効化フラグを削除しました。
-cコマンドラインオプションを使用して設定ファイルの場所を指定しているのが検出された場合に警告を出すようにしました。CLIオプションによるエージェントの設定は、v5のエージェントでは廃止になりました。
Restifyのルート探索と観測を実装しました。
プログラムによるデッドゾーンの最初のサポートとして、制限された関数内でエージェントの組込みをオフにできるようにしました。

Node.js 5.6.2

リリース日： 2024年5月7日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

受信メッセージのヘッダが正しく処理されていませんでした。(NODE-3396)
Expressのルートカバレッジで、 app.use()とrouter.use()で定義されたルートが検出されていませんでした。(NODE-3402)
TypeError: undefined is not a function at StacktraceFactory.makeFrameが発生していました。 (NODE-3420)

Node.js 4.38.1

リリース日： 2024年5月1日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

バージョン4にて、コードイベントのリスナーを登録するsetCodeEventListener()にtimer.unref()を追加しました。

Node.js 5.6.1

リリース日： 2024年4月29日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

バージョン5.xエージェントにおける入力とURLの例外のサポート
Protect用のCLIリライタオプションの提供

修正された不具合：

Expressのルートがパスの配列で登録されている場合に、ルートカバレッジのエラーが発生していました。(NODE-3380)
バージョン5のエージェントで、アーカイブされたアプリケーションが正しく処理されていませんでした。(NODE-3384)
Fastifyのルートカバレッジが正しく報告されていませんでした。 (NODE-3403)
ログに匿名クラスのエラーが書き込まれていませんでした。 (NODE-3406)

Node.js 5.6.0

リリース日：2024年4月17日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

リライタをCLIコマンドとして実行して、コンテナイメージの作成時にソースコードを変換できるようになりました。これにより、起動時のメモリ消費量が抑えられ、アプリケーションの起動速度を上げることができます。

Node.js 5.5.0

リリース日：2024年4月16日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

リライタにESMローダーのフックを実装しました。
リライタのデッドゾーンを追加しました。

Node.js 5.20.6 - Contrast Protect

リリース日：2024年4月16日

現在サポートしている言語バージョン：14、16、18、20 LTS

重要

Contrast Protectのみのエージェントは、リリース5.20.6で非推奨となりました。

新機能と改善点：

Kubernetesエージェントオペレータに関するパイプラインジョブを更新しました。
@contrast/protect-agentは非推奨となりました。
READMEにv4セクションを追加しました。

修正された不具合：

全てのUIエンドポイントへのHTTP通信で、プロキシ設定を考慮するよう修正しました。(NODE-3338)
テストベンチ(NodeTestBenches)のDockerfileを更新しました。(NODE-3350)

Node.js 5.4.2

リリース日： 2024年3月29日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

string.prototype.split()のトラッキングを最適化しました。

Node.js 4.38.0

リリース日： 2024年3月28日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

Contrastサービスに関連付けられたCVE-2024-24786を解決しました(バージョン2.28.34に更新)。

Node.js 5.4.1

リリース日： 2024年3月26日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

リライタキャッシュのバグを修正し、バージョン5.4.0を非推奨としました。(NODE-3367)

Node.js 5.4.0

リリース日： 2024年3月25日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

バージョン5.xのエージェントで初めてアプリケーションコードのリライタキャッシュに対応しました。

Node.js 5.3.0

リリース日：2024年3月20日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

AssessとProtectにフレームワークhapi 21のサポートを追加しました。
アプリケーション更新時のライブラリマニフェストの報告を停止するようにしました。
ESMフックをコンポーネント化し、通常の構成/インストールパターンに従うようにしました。
最新のNodeバージョン用にエージェントのREADMEを更新しました。

修正された不具合：

ライブラリ解析で「Cannot find module 'file:/...'」エラーを修正しました。(NODE-3358)

Node.js 5.2.2

リリース日：2024年3月6日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

JSON.parseで、キャプチャしたキー/値のインデックスが不正な場合に例外をスローしていた問題を修正しました。(NODE-3344)

Node.js 5.2.1

リリース日：2024年3月5日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

URL解析プロパゲータでparseQueryStringフラグに対応していなかった問題を修正しました。(NODE-3340)
string.replaceで一部の特殊文字の置換が適切に処理されていなかった問題を修正しました。(NODE-3341)
エージェント起動時のドット(.)エントリポイント構文が機能しなくなった問題を修正しました。(NODE-3343)

Node.js 5.1.0

リリース日：2024年2月16日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

depsのparent-package-jsonを置き換えました。

修正された不具合：

一部の設定フィールドに関して、ログ出力時に情報がマスクされていなかった問題を修正しました。(NODE-3339)

Node.js 5.0.8

リリース日：2024年2月13日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

NODE_OPTIONSの--loaderに対して、ロガー(logger)のcleanEnvを更新しました。

修正された不具合：

全てのUIエンドポイントへのHTTP通信で、プロキシ設定を考慮するよう修正しました。(NODE-3338)

Node.js 5.0.6

リリース日：2024年2月8日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

res.sendが呼び出された時に反射型クロスサイトスクリプティング(Reflected XSS)が報告されない問題を修正しました。 (NODE-3334)

Node.js 5.0.5

リリース日：2024年2月6日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

runner-tapのユーザビリティを修正しました。

Node.js 5.0.4

リリース日：2024年2月2日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

サーバ名やアプリケーション名を英語以外の言語で設定するとエラーが発生する問題を修正しました。 (NODE-3333)

Node.js 5.0.2

リリース日：2024年2月2日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

重複するESM初期化の負荷を最小限に抑えました。
Axiosクライアントを更新しました。

修正された不具合：

Juice Shop 16が新エージェントで動作しない問題を修正しました。(NODE-3323)

Node.js 5.0.1

リリース日：2024年1月29日

現在サポートしている言語バージョン：16、18、20 LTS

修正された不具合：

新しいエージェント(v5)のESMローダー機能の不具合を修正しました。(NODE-3320)

Node.js 5.0.0

リリース日：2024年1月23日

現在サポートしている言語バージョン：16、18、20 LTS

新機能と改善点：

Contrastサービス(SpeedRacer)の削除
エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。
Contrast AssessとContrast Protectの同時実行をサポート
再起動なしでProtectルールのモードを切り替えできる機能
なお、モード(Assess、Protect、両方)の切り替えを有効にするには、アプリケーション/エージェントの再起動が必要
Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)
Contrastサーバへの有効な設定の報告
devDependenciesをnpmに公開しない - CVE検出の過検知の減少
pinoを使用した構造化ログ
アプリケーションを再起動せずにContrast Webアプリケーションからエージェントのログレベルを変更する機能
各リクエストに対するDEBUGレベルでのログ要求待ち時間(ns)
重複排除のために正規化されたURIを使用したルート観測/カバレッジ
SWCを使用した起動時のリライタの高速化
SuperTest APIテストフレームワーク(npm: supertest)のサポート
Frisby APIテストフレームワーク(npm: frisby)のサポート
String.prototype.matchAll()のプロパゲータのサポート
ルートを疎通しなくても観測されたルートをアプリケーションの起動時にContrast Webインターフェイスに報告
ESMアプリケーションに対応、以下を使用するエージェントのロード/実行をサポート：
- node --loader @contrast/agent app.mjs (Node.js 16LTSの場合)
- node --import @contrast/agent app.mjs (Node.js 18.9.0、20.9.0以降のLTS)
- node --require @contrast/agent app.js (ESMを使用しない全てのバージョン)
新しい--importディレクティブは、Node.js 18.9.0、20.9.0以降(LTS)で実行されている全てのアプリケーション(ESMとCJSの両方)でサポート
- node --import @contrast/agent app.js
詳細についてはnpmを参照

Node.js 4.37.1

リリース日：2024年1月30日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

Axiosを更新しました。
ビルド関連を微調整しました。

Node.js 4.37.0

リリース日：2024年1月5日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

npmエラー時のログ記録を改善しました。
ファイル内のコピーライトテキストを新しい年に合わせて更新しました。

修正された不具合：

Expressのroute-coverageユーティリティで、stackプロパティが不足している場合に例外がスローされていた問題を修正しました。(NODE-3301)

January - December 2023

Node.jsエージェントのリリース情報 2023年

Node.js 4.36.2

リリース日： 2023年12月20日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

修正された不具合：

バージョン4におけるX-XSS-Protectionが無効なレスポンスルールで報告される内容を修正しました。(NODE-3174)

Node.js 4.36.1

リリース日： 2023年11月29日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

修正された不具合：

String.prototype.splitにおける「TypeError: Cannot read property 'length' of undefined 」のエラーを修正しました。(NODE-3272)

Node.js 4.36.0

リリース日： 2023年11月28日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

i18nで使用される全てのfsメソッドで、stackTrustedLibsポリシーを更新しました。

Node.js 4.35.0

リリース日： 2023年11月22日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。
i18nライブラリに関して、openSyncが呼び出されてもパストラバーサルを報告しないようにしました。

Node.js 4.34.0

リリース日： 2023年11月20日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

QueryBuilder サブクラスに、 sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。
i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。

Node.js 4.33.3

リリース日： 2023年11月16日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

CVE-2023-45857(XSRF-TOKEN値が許可されていない第三者に公開される)に対して、Axiosのバージョンを1.6.0に上げました。

Node.js 4.33.2

リリース日： 2023年10月27日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

Speedracerのバージョンを2.28.33に上げました。

Node.js 4.33.1

リリース日： 2023年10月18日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

特別に細工された悪意のあるコードをコンパイルすると、任意のコードが実行される可能性があるBabelの脆弱性(CVE-2023-45133 )に対応。

Node.js 4.33.0

リリース日： 2023年9月13日

現在サポートしている言語バージョン：12、14、16、18、20 LTS

新機能と改善点：

Node.js 20.5.0以降のサポートを追加しました。

Node.js 4.32.20

リリース日： 2023年9月8日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

FastifyでSwaggerを実行する際の問題を、コードのハードニングを行うことで修正しました。(NODE-3156)

Node.js 4.32.19

リリース日： 2023年8月10日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

リクエストの失敗の原因となっていたTypeError ERR_INVALID_URLを修正しました。(NODE-3131)

Node.js 4.32.18

リリース日： 2023年8月8日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

非同期のコンテキストを保持するためにRedisClientメソッドを修正しました。(NODE-3106)

Node.js 4.32.17

リリース日： 2023年8月7日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

このリリースから、最新のGo標準ライブラリでコンパイルされた新しいContrast Serviceのアーティファクトv2.28.32が含まれるようになりました。

Node.js 4.32.16

リリース日： 2023年7月13日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Speedracer(解析エンジン)のバージョンを2.28.29に上げ、新しいバージョン4のエージェントをリリースしました。

Node.js 4.32.15

リリース日： 2023年7月12日

現在サポートしている言語バージョン：12、14、16、18 LTS

CVE対策：

CVE-2022-25883に対し@contrast/agent v4のfind-cache-dirライブラリを置き換えました。(NODE-3078)

Node.js 4.32.14

リリース日： 2023年7月11日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2022-25883に対し、cls-hookedの依存関係のsemverを更新しました。
cls-hookedの依存関係でsemverの脆弱なバージョンがnpm auditで報告されていませんでした。

Node.js 4.32.13

リリース日： 2023年7月7日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2022-25883に対しsemverのバージョンを7.3.8から7.5.3に上げました。(require-hook)

修正された不具合：

バージョン4のNodeエージェントが/etc/contrast/node/ディレクトリからYAML設定ファイルを読み込むように修正しました。(NODE-3058)

Node.js 4.32.12

リリース日： 2023年6月26日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2022-25883に対しsemverのバージョンを7.3.4から7.5.2に上げました。

Node.js 4.32.11

リリース日：2023年6月9日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

エージェントにバンドルされているContrastサービスを最新のGo標準ライブラリ(バージョン1.20.5)を使用するように更新しました。

Node.js 4.32.10

リリース日： 2023 年6月6日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

npm auditでフラグが立たないように、モックの依存関係をいくつか調整しました。

Node.js 4.32.9

リリース日： 2023 年5月30日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

CEFログ出力をContrastの共通設定仕様書(v4)で定義されたレベルに更新しました。(NODE-2972)
エージェントが環境変数CONTRAST_CONFIG_PATHを認識しない問題。

Node.js 4.32.8

リリース日： 2023年5月17日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Windows版Node.jsのAssessでTypeError: result.startsWith is not a functionエラーとなる問題。(SUP-4799)

Node.js 4.32.7

リリース日： May 3, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Bundled the latest SpeedRacer 2.28.27 with the v4 agent.

Node.js 4.32.6

リリース日： April 25, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2023-2251 node-agent: Bump YAML.

Node.js 4.32.5

リリース日： April 19, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2023-24538 Bump SpeedRacer to v 2.28.26 for v4.

修正された不具合：

Fixed the RegExp for detecting XXE vulnerabilities in Protect mode. (NODE-2887)

Node.js 4.32.4

リリース日： April 14, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2023-0842 (DevDependency) - xml2js is vulnerable to prototype pollution.
CVE-2019-10790 (DevDependency) - TaffyDB in jsdoc.

修正された不具合：

Fix bugs in csp-header-insecure rule for both v4 and v5. (NODE-2971)

Node.js 4.32.3

リリース日： April 14, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Fixed issue with Fastify XSS payload check. (NODE-2974)

Node.js 4.32.2

リリース日： April 5, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Implemented improved logging.The agent does not rewrite all files at start-up. (NODE-2944)

Node.js 4.32.1

リリース日： April 3, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Bump SpeedRacer to 2.28.25.

Node.js 4.32.0

リリース日： March 16, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

New config option for conditional running the agent when called through NODE_OPTIONS.

Node.js 4.31.2

リリース日： March 14, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Bump SpeedRacer for v4
Improved log message for node version compatibility
CVE-2023-22578 (DevDependency) - Sequelize - Default support for “raw attributes” when using parentheses
Enhancements to logging surrounding errors when starting the agent

修正された不具合：

Fixed Hapi implementation for reflected-xss detection. (NODE-2757)
Fixed Fastify implementation for reflected-xss detection. (NODE-2756)
Added hardening to getAllParents method. (NODE-2931)

Node.js 4.31.1

リリース日： February 27, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Improved support for Experss.static(). (SUP-4451)
Improved support for XXS detection when using the Fastify framework.
Improved logging surrounding errors when starting the agent.

Node.js 4.31.0

リリース日：January 31, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Instrumented the serve-static module to act as a custom sanitizer.

Node.js 4.30.1

リリース日： January 20, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Config-diagnostics fails to create a configuration file if the logger path refers to a file descriptor.

Node.js 4.30.0

リリース日： January 17, 2023

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Included the docker container ID in the system-info.json when running system-diagnostics.
CVE-2022-46175 node-agent Prototype Pollution in JSON5 via Parse Method.

修正された不具合：

Prevent crashing when the req is undefined. (NODE-2867)

Node.js 5.0.0 ベータ

Node.js 5.0.0 ベータ.11

リリース日：2024年1月2日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点：

CVE-2023-45857に対してAxiosを更新しました。
各コンポーネントで単独のイベントエミッターを使用するようにしました。
koa-multerをAssessのデータフローソースとして実装しました。
レスポンスをスキャンするルールをさらに追加しました。
/tracesデータがContrastサーバに送信される際に、新しいstandardNormalizedUriフィールドが正しく設定されるようになりました。
暗号化関連のAssessルール(安全ではないハッシュアルゴリズム、安全ではない暗号化アルゴリズム、脆弱な乱数生成)を実装しました。
バージョン5でejs.Template.prototype.generateSource のプロパゲータを実装しました。
バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。

修正された不具合：

「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)
ProtectのNoSQLインジェクションの報告を修正しました。(NODE-3216)

Node.js 5.0.0 ベータ.10

リリース日： 2023年11月28日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

util.formatのプロパゲータを実装しました。
信頼できないデータのデシリアライゼーションルールのサポートを追加しました。
QueryBuilder サブクラスに、 sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。

Node.js 5.0.0 ベータ.9

リリース日： 2023年11月16日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

以下のプロパゲータを実装しました。
- path.toNamespacedPath
- path.extname
- path.parse
- path.format
- querystring.stringify
いくつかのエスケープメソッドに対してプロパゲータを実装しました。
リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。

修正された不具合：

Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)
アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)

Node.js 5.0.0 ベータ.8

リリース日： 2023年10月31日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

バージョン5での「X-XSS-Protectionが無効なレスポンス」(xxssprotecttion-header-disabled)ルールにおけるContrastサーバからの報告の問題を修正しました。

修正された不具合：

JSON.parseプロパゲータがNULLまたは空の文字列で呼び出されると、trackerのエラーが発生していました。 (NODE-3230)

Node.js 5.0.0 ベータ.6

リリース日： 2023年10月26日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

path.relativeのプロパゲータを実装しました。
path.dirnameのプロパゲータを実装しました。
AssessのXML外部実体参照(XXE)ルールのサポートを追加しました。

修正された不具合：

Koaアプリケーションで、ルート検出が2回報告される問題を修正しました。(NODE-3199)
AssessまたはProtectがローカルで有効にされていない場合に、アプリケーションがオンボードできない問題を修正しました。(NODE-3221)
Docker版のjuice-shopでnpmが見つからない場合に実行に失敗する問題を修正しました。 (NODE-3223)

Node.js 5.0.0 ベータ.5

リリース日： 2023年10月19日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

Contrastの通信のトラブルシューティングのためにログ出力を改善しました。
ヒープダンプのスナップショットをキャプチャするためのより分かりやすい仕組みを実装しました。
juice-shopの検出結果をエージェントが誤って報告していた箇所を修正しました。

Node.js 5.0.0 ベータ.4

リリース日： 2023年10月8日

現在サポートしている言語バージョン：仕様一覧を確認してください。

重要

新機能と改善点：

serverTypeパスパラメータの構築時にv1エンドポイントが設定オプションを受け入れるようにしました。
JoiのBoolean値および数値の型強制メソッドの計測を実装しました。
Joiのvaluesメソッド(.allow()、.valid()、.equal())の計測を実装しました。
Joiのタイプ(object、expression、any)の計測を実装しました。
evalシンクのコンテキストがeval(...)として報告されるようにして、Contrastメソッドのテキストが含まれないようにしました。
追跡を行う全ての呼び出しの前で、イベントが正常に作成されたかどうかをチェックするようにしました。

修正された不具合：

エージェントの有効な設定が一度しか更新されていなかった問題を修正しました。(NODE-3204)
Assess実行時のメモリリークに関連する問題を修正しました。(NODE-3198)

Node.js 5.0.0 ベータ.3

リリース日： 2023年10月8日

現在サポートしている言語バージョン：仕様一覧表を確認してください。

重要

新機能と改善点：

エージェントの有効な設定でローカルポリシーを管理するために、全てのコンポーネントを更新しました。
全ての文字列操作とArray.prototype.joinメソッドの使用をリファクタリングしました。

修正された不具合：

ファイルが安全な方法でserve-staticを使用して提供される場合に、エージェントがパストラバーサルを報告していませんでした。(NODE-3157)

Node.js 5.0.0 ベータ.2

重要

リリース日： 2023年9月15日

現在サポートしている言語バージョン：仕様一覧を確認してください。

新機能と改善点：

Node.js 20.5.0以降のサポートを追加しました。
express-sessionのセッション設定ルールを実装しました。
URLSearchParamsに渡されるキーを追跡して、異なるオブジェクトタイプを解析するようにしました。
require-hookのログ出力を改善しました。

Node.js 5.0.0 ベータ.1

重要

リリース日： 2023年9月1日

現在サポートしている言語バージョンとテクノロジ：仕様一覧を確認してください。

新機能と改善点：

Contrastサービス(SpeedRacer)の削除
エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。
Contrast AssessとContrast Protectの同時実行のサポート
Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)
Contrastサーバへの有効な設定の報告
devDependenciesをnpmに公開しない - CVE検出の過検知の減少
pinoを使用した構造化ログ
重複排除のために正規化されたURIを使用したルート観測/カバレッジ
SWC使用した起動時のリライタの高速化
SuperTest npm: supertestを使用するAPIテスト時の脆弱性検出のサポート
String.prototype.matchAll()のプロパゲータのサポート(バージョン4では未サポート)

Contrast Protectのみ

Node.js 5.19.0 - Contrast Protect

リリース日：2024年1月2日

現在サポートしている言語バージョン：14、16、18、20 LTS

新機能と改善点：

CVE-2023-45857に対してAxiosを更新しました。
各コンポーネントで単独のイベントエミッターを使用するようにしました。
セキュリティのログ出力でpath: /dev/nullに対応し、サポート対象の全てのオペレーティングシステムでログを無効にできるようになりました。
バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。

修正された不具合：

「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)
ProtectのNoSQLインジェクションの報告を修正しました。(NODE-3216)
vmモジュールでのエージェントの組込みを修正しました。 (NODE-3004)

Node.js 5.18.0 - Contrast Protect

リリース日： 2023年11月16日

現在サポートしている言語バージョン：14、16、18、20 LTS

新機能と改善点：

リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。

修正された不具合：

Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)
アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)

Node.js 5.13.0 - Contrast Protect

リリース日： 2023年10月8日

現在サポートしている言語バージョン：14、16、18、20 LTS

新機能と改善点：

再起動の必要なく、ContrastサーバでProtectポリシーとログレベルを変更できるようにしました。

Node.js 5.12.0 - Contrast Protect

リリース日： 2023年9月15日

現在サポートしている言語バージョン：14、16、18、20 LTS

新機能と改善点：

ログ出力の使用を監査し、PIIのログを記録しているインスタンスを修正しました。

Node.js 5.11.0 - Contrast Protect

リリース日： 2023年8月25日

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

AssessとProtectの実装が異なる場合の同期。
Contrastサーバの通信にHTTPログを追加。

修正された不具合：

ContrastMethods.Functionを組み込み、既存のProtect入力追跡パッチをサポートするようリライタを更新しました。(NODE-3100)
effective-configエンドポイントに関するエージェントバージョン5の問題を修正しました。(NODE-3151)

Node.js 5.10.0 - Contrast Protect

リリース日： 2023年8月7日

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

JSON.parseにプロパゲータを実装しました。
セッション設定に関連するAssess仕様のルールを実装しました。
libxmljsライブラリの新しいメジャーバージョン(v 1.x.x.)のサポートを追加しました。このライブラリは、XML外部実体参照(XXE)の脆弱性を検出するために組み込まれます。

修正された不具合：

libxmljsが適切に組み込まれていなかった問題を修正しました。(NODE-3121)

Node.js 5.9.0 - Contrast Protect

リリース日： 2023年8月4日

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

末尾に誤った文字を追加しないようにリライタを修正しました。
shebangコメントのあるファイルを変換できるようswcリライタを改善しました。

Node.js 5.8.0 - Contrast Protect

リリース日： 2023年7月14日

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

MongoDBのコンテキストでsleep(x)のような呼び出しのSSJSの攻撃を検出するように対応しました。
有効な設定オプションにsession_idを追加しました。

Node.js 5.6.0 - Contrast Protect

リリース日： May 2, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

Added support for the MS SQL database driver for v5 Protect-only agent.

Node.js 5.5.0 - Contrast Protect

リリース日： April 3, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

Added support for detecting nosql-injection attacks for MarsDB in Protect mode.

Node.js 5.4.2 - Contrast Protect

リリース日： February 20, 2023

現在サポートしている言語バージョン：14、16、18 LTS

修正された不具合：

Fixed a bug when receiving the nosql-injection rule settings from Contrast and the agent not respecting that setting.

Node.js 5.4.1 - Contrast Protect

リリース日： February 9, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

security_logger receives the correct default values.

Node.js 5.4.0 - Contrast Protect

リリース日： February 9, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

NoSQL Injection Mongo - added support for $accumulator operator.
The RegExp now detects a vulnerable string with single and double quotes around the URI of the targeted file.
Bumped agent-lib version in Node agent v5 to v5.3.0.

Node.js 5.3.0 - Contrast Protect

リリース日：January 31, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

NoSQL Injection Mongo - added support for $function operator.
Migrated shared hooks to instrumentation layer: http, https, http2, spdy.
Reduced code duplication in existing Protect hooks.
CVE-2022-46175 node-require-hook Prototype Pollution in JSON5 via Parse Method.

修正された不具合：

NODE_OPTIONS envrionment for pino worker-thread does not get cleared of --require @contrast/.... (NODE-2882)

Node.js 5.2.0 - Contrast Protect

リリース日： January 17, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

Provided npx command to config-diagnostics and output results.

修正された不具合：

Fixed issue where @contrast/protect-agent does not install. (NODE-2803)

Node.js 5.1.0 - Contrast Protect

リリース日： January 10, 2023

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

CVE-2022-46175 Prototype Pollution in JSON5 via Parse Method.
Internal Protect data structure changes.

Node.js 5.0.1 - Contrast Protect

リリース日： December 8, 2022

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

Performance improvement for capturing stack traces. (NODE 2760)

Node.js 5.0.0 - Contrast Protect

リリース日： December 5, 2022

現在サポートしている言語バージョン：14、16、18 LTS

新機能と改善点：

Contrast Security Node.js Protect-only Agent.See npm: @contrast/protect-agent

January - December 2022

Node.jsエージェントのリリース情報 2022年

Node.js 4.29.1

リリース日： 2022年12月21日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Fix issues with system-diagnostics reporting under Windows env. (NODE-2780)
Config utility reads the wrong remote value for syslog settings. (NODE-2781)

Node.js 4.29.0

リリース日： 2022年12月19日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

CVE-2022-24999 - qs vulnerable to Prototype Pollution.
Added support for the Microsoft SQL Server database.

Node.js 4.28.1

リリース日： 2022年12月9日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

New Contrast Service version - v2.28.23 is now bundled with the v4 agent.

修正された不具合：

Defensive code in system diagnostics when finding package.json. (SUP-4357)
Added defensive code around checking the express router handler's length. (SUP-4314)
System info gets output when running config-diagnostics - this was incorrect behavior.

CVE patch:

CVE-2022-24999 (devDependency). version 4.x agent

Node.js 4.28.0

リリース日： 2022年12月2日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Provide npx command to read system info and output results. (NODE-2629)

Node.js 4.27.2

リリース日： 2022年11月25日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Made _contrast_toString a non-enumerable property of Function.prototype to resolve compatibility issues with @sap/cds. (NODE-2752)

Node.js 4.27.1

リリース日： 2022年11月21日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

Removed Fastify2 from NodeTestBenches.

修正された不具合：

Fixed contrast-diagnostics script that did not support running when not adjacent to the agent installation location. (NODE-2748)

Node.js 4.27.0

リリース日： 2022年11月9日

現在サポートしている言語バージョン：12、14、16、18 LTS

新機能と改善点：

New troubleshooting functionality to write to a file the effective configuration seen by the agent. (NODE-2632)

Node.js 4.26.0

リリース日： 2022年10月27日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Memory-leak surfaced for apps running with the agent for over 12 hours. (NODE-2715)

CVE remediation:

CVE-2022-3517 upgrade dependencies with minimatch so use v3.0.5 or greater. (NODE-2717)

Node.js 4.25.5

リリース日： 2022年10月19日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Memory leak introduced in 4.25.0. (NODE-2698)

Node.js 4.25.4

リリース日： 2022年10月13日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

"TypeError: undefined is not a function" when spawning a child process with Assess. (NODE-2694)

Node.js 4.25.3

リリース日： 2022年10月11日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Memory leak being caused by Assess CallContext stacktraces. (NODE-2681)
npm not found and library not reported when the Node.js runtime is installed in the Program Files directory on Windows OS. (NODE-2691)

Node.js 4.25.2

リリース日： 2022年10月7日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

NPM commands used in the agent for library reporting/listing will now work on Windows machines. (NODE-2676)

Node.js 4.25.1

リリース日： 2022年9月30日

現在サポートしている言語バージョン：12、14、16、18 LTS

修正された不具合：

Fixed an issue where the agent was not starting the Contrast Service when running on Windows OS. (NODE-2677)

Node.js 4.25.0

リリース日： 2022年9月27日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Updated v4 and v5 agents to be compatible with Node 18.
The originalUrl property is now tagged in Express.

修正された不具合：

Corrected issue where req.path was not tracked and not considered untrusted data. (NODE-2637)

Node.js 4.24.2

リリース日： 2022年9月7日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

CVE-no-CVE-ID - Bump moment-timezone from 0.5.34 to 0.5.37.

修正された不具合：

Node agent only instruments MongoDB API methods that are susceptible to expansion or injections. (NODE-2040)

Node.js 4.24.1

リリース日： 2022年8月31日

現在サポートしている言語バージョン：12、14、16LTS

Bug fix:

For agent v16.17 and above, we now explicitly signal a short circuit in our load hook for ESM support (NODE-2620).

Node.js 4.24.0

リリース日： 2022年8月26日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added instrumentation for the DynamoDB.scan() command and the FilterExpression key AWS v2.
Added support for MongoDB NoSQL Injection highlighting in Contrast UI when multiple arguments are present.

Node.js 4.23.1

リリース日： 2022年8月17日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Improved express instrumentation by having the body-parser library and all its parsing methods directly patched/instrumented.
Added support for the mongodb v4.x driver for the agent in Protect mode.

修正された不具合：

The JSON.stringify() propagator handles when the argument (or subset of argument) is a deserialization membrane. (NODE-2598)
Autocomplete missing rule data is serialized properly into protobuf message. (NODE-2589)

Node.js 4.23.0

リリース日： 2022年8月8日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

CVE-2022-2564 - Bump Mongoose version to 6.4.6.

Bug fix:

The JSON.stringify() propagator handles when the argument (or subset of argument) is a deserialization membrane. (NODE-2598)

Node.js 4.22.1

リリース日： 2022年8月1日

現在サポートしている言語バージョン：12、14、16LTS

Bug fix:

Aws-sdk version 2 for DynamoDB does not respect abstract attribute types. (NODE-2532)

Node.js 4.21.1

リリース日： 2022年7月25日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

When processing large strings in docker and using node crypto module to encrypt data, the calls distringuish.getProperties were causing segmentation fault issues. (NODE-2564)

Node.js 4.21.0

リリース日： 2022年7月18日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added support for isEmail and isDate validators in ValidatorJS.

修正された不具合：

Joi validation not recognized if the schema specified in "options" for a hapi route. (NODE-2544)

Node.js 4.20.2

リリース日： 2022年7月12日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2022-31129 for inefficient regular expression complexity in moment.
Add hardening to prevent app crash if NPM is not installed.

Node.js 4.20.1

リリース日： 2022年7月4日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

When a MongoDB update method has multiple attack vectors, the Node.js Agent accurately reports NoSQL Injections that were previously false negatives.

Node.js 4.19.7

リリース日： 2022年6月28日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2020-7596 by removing the codecov dependency from node-agent (DEV Dependency).

Node.js 4.19.6

リリース日： 2022年6月25日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added improved logging when an unsupported version of npm is installed in the app being instrumented.

修正された不具合：

Decrease highlighting to just tainted string when reported sink argument is a query object. (SUP-3889)

Node.js 4.19.5

リリース日： 2022年6月13日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added improved logging when an unsupported version of npm is installed in the app being instrumented.

修正された不具合：

When Protect mode is enabled, multipart/form-data throws exception when headers are removed. (SUP-3817)

Node.js 4.19.4

リリース日： 2022年6月3日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2021-43138 by updating ejs to a safe version in node-agent, this was a DEV Dependency and was not a true vulnerability. (NODE - 2352)

Node.js 4.19.3

リリース日： 2022年6月1日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Removed winston-syslog from the agent's bundled dependencies, this was being flagged as having a CVE.

修正された不具合：

Fixed false-negative of Server-Side Request Forgery (SSRF) for request npm package. (SUP-3829)

Node.js 4.19.2

リリース日： 2022年5月27日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

Incorrect highlighting displayed for Node.js vulnerabilities under Overview in the Contrast web interface. (SUP-3717, 2927)

Node.js 4.19.1

リリース日： 2022年5月19日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

When running an application with pm2 on cluster mode and the CONTRAST_CONFIG_PATH provided as an environment variable, the agent reads the CONTRAST_CONFIG_PATH value from contrast_security.yaml instead of the environment variable.

Node.js 4.19.0

リリース日： 2022年5月17日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Implemented support for the ref() function when Joi validation is unknown because of untracked target
The hooks for mongodb-core are “replicated” to hook mongodb from version 3.3.0 and later

Node.js 4.18.0

リリース日： 2022年5月12日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added support for PM2 running in both fork and cluster modes.
New config option assess.enable_lazy_tracking for Contrast Node.js 4.X. The default is true and must be set to false to use Fastify http/2.

Node.js 4.17.1

リリース日： 2022年4月29日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

Rewriter not wrapping file contents in "module wrap" IIFE. (SUP-3732)
The lib/util/trace-util getRequest always returns undefined if sampling is disabled. (NODE-2351)

Node.js 4.17.0

リリース日： 2022年4月21日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Custom fastify-static allowedPath path-traversal validator.
Remediated CVE-2021-43138 (Prototype Pollution in async Winston bump).

修正された不具合：

__import methods can cause an error when the imported module is not yet resolved. (NODE-2341)
ESM loader hooks still operate when agent is disabled. (NODE-2340)

Node.js 4.16.2

リリース日： 2022年4月14日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2021-43138 (update async dev dependency to a safe version in node-agent).

Node.js 4.16.1

リリース日： 2022年4月11日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2022-24785 (update moment dependency to a safe version in node-agent, remediating path traversal vulnerability).

Node.js 4.16.0

リリース日： 2022年4月8日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added support for DyanmoDB PartiQL (Assess only).

修正された不具合：

Fixed deadlinks in NPM agent readme. (Node-2297)

Node.js 4.15.1

リリース日： 2022年3月31日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 4.15.0

リリース日： 2022年3月29日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Contrast Service updated to 2.28.19.This resolves CVE-2021-38561.
Remediated CVE-2021-44906 (for minimalist npm library).
Added support for validator.matches() as a custom validator.
Upgraded to agent-lib 2.2.4.

Node.js 4.14.0

リリース日： 2022年3月23日

現在サポートしている言語バージョン：12、14、16LTS

重要

As part of a recent bug fix a setting name has changed.If you are using agent.trust_custom_validator, please update to assess.trust_custom_validator.

新機能と改善点：

Added support for MySQL2 library 2.0.0 and later.

修正された不具合：

False negative occurs when SQL query template contains untrusted data. (SUP-3568)

Node.js 3.11.22

リリース日： 2022年3月29日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。npmから入手できるNode.jsエージェントの最新バージョンの4.xにアップグレードできます。

新機能と改善点：

Remediated CVE-2021-44906 (for minimalist npm library).

Node.js 3.11.21

リリース日： 2022年3月25日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

新機能と改善点：

Contrast Service updated to 2.28.17.
Remediated CVE-2021-44906 (for minimalist npm library).

Node.js 4.13.1

リリース日： 2022年3月17日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

Path traversal false negative. (SUP-3558)
Agent tries to rewrite ESM files twice. (NODE-2217)

Node.js 4.13.0

リリース日： 2022年3月14日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Remediated CVE-2022-0536 (follow-redirects to a safe version in node-agent)
Remediated CVE-2022-0686 (url-parse to a safe version in node-agent)
Added warning message to CLI-rewriter logging (or stdout)
Added support for hardcoded-key and hardcoded-password vulnerabilities when using CLI-rewriter feature.
Support for ESM syntax (import statements) for Node.js 14 and 16 LTS
New Protect native input analysis processing with:
- YAML: agent.node.native_input_analysis: true
- Environment variable: CONTRAST__AGENT__NODE__NATIVE_INPUT_ANALYSIS=TRUE

Node.js 4.12.2

リリース日： 2022年3月14日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

Agent is ocassionally throwing error: TypeError: Cannot read property 'getAllParents' of null. (SUP-3611)

Node.js 4.12.1

リリース日： 2022年3月10日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

Rewrite cache path is built incorrectly when mode isn't explicitly set in config. (NODE-2180)
Proxy authentication information showing in logs. (SPEED-1056)

Node.js 4.12.0

リリース日： 2022年2月25日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 4.11.0

リリース日： 2022年2月22日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 4.10.6

リリース日： 2022年2月17日

現在サポートしている言語バージョン：12、14、16LTS

重要

You can no longer download the Node.js agent from Contrast.You should use these instructions to download and install the agent from npm.

修正された不具合：

ReThinkDB results in SQLi false negative due to failed instrumentation during propagation. (NODE-2150)

Node.js 4.10.5

リリース日： 2022年2月15日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

False negative causing Server Side Request Forgery. (NODE-2130)

Node.js 4.10.4

リリース日： 2022年2月15日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

When parsing the body on the Sails framework, the agent occasionally hangs indefinitely on post requests. (NODE-2125)

Node.js 4.10.3

リリース日： 2022年2月7日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Upgraded Contrast service 2.28.12 is bundled with this agent version.
Added support for custom Assess data validation using Mongoose or Joi.
Added support for MongoDB key object expansion Protect rule.

修正された不具合：

During CLI transpilation, the Node agent no longer logs data if there is no network connectivity or connection to Contrast. (NODE-2083)

Node.js 4.10.2

リリース日： 2022年2月1日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

When working with large JSON objects, users experience significant Assess performance regressions introduced in Node.js agent 4.9.1. (NODE-2086)

Node.js 4.10.1

リリース日： 2022年1月31日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Contrast Service version 2.28.9 is now bundled with the Node.js agent.

修正された不具合：

When the local YAML configuration and environment variables are set, the Contrast service does not prioritize configuration values as indicated in the order of precedence. (NODE-2084)

Node.js 4.10.0

リリース日： 2022年1月28日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合

When rewrite caching is enabled, the stack trace no longer repeats and writes the correct filename. (NODE-2065)

Node.js 4.9.1

リリース日： 2022年1月19日

現在サポートしている言語バージョン：12、14、16LTS

New features and improvements:

Contrast Node.js agent version 4.9.0 was non-installable due to a build dependency that requires package-lock.json file.Version 4.9.1 is patched not to require that dependency.

Node.js 4.9.0

注記

This version has been deprecated, please use 4.9.1 or later.

リリース日： 2022年1月19日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 4.8.0

リリース日： 2022年1月6日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 3.11.27

リリース日： 2022年6月28日

現在サポートしている言語バージョン：10、12、14 LTS

重要

This is the last release of 3.x.x of the Node.js agent - the version 3 branch has reached end-of-life status.

新機能と改善点：

Remediated CVE-2020-7596 by removing codecov dependency from the node-agent (DEV Dependency).

Node.js 3.11.26

リリース日： 2022年5月18日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

Node.js 3.11.25

リリース日： 2022年4月21日

現在サポートしている言語バージョン：10、12、14 LTS

重要

新機能と改善点：

Remediated CVE-2021-43138 (Prototype Pollution in async Winston bump).

Node.js 3.11.24

リリース日： 2022年4月14日

現在サポートしている言語バージョン：10、12、14 LTS

重要

新機能と改善点：

Remediated CVE-2021-43138 (update async dev dependency to a safe version in node-agent).

Node.js 3.11.23

リリース日： 2022年4月12日

現在サポートしている言語バージョン：10、12、14 LTS

重要

新機能と改善点：

Remediated CVE-2022-24785 (update moment dependency to a safe version in node-agent, remediating path traversal vulnerability).

Node.js 3.11.22

リリース日： 2022年3月29日

現在サポートしている言語バージョン：10、12、14 LTS

重要

新機能と改善点：

Remediated CVE-2021-44906 (for minimalist npm library).

Node.js 3.11.21

リリース日： 2022年3月25日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

新機能と改善点：

Contrast Service updated to 2.28.17.
Remediated CVE-2021-44906 (for minimalist npm library).

Node.js 3.11.20

リリース日： 2022年2月25日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

Node.js 3.11.19

リリース日： 2022年2月7日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

新機能と改善点：

Upgraded Contrast service 2.28.12 is bundled with this agent version.

Node.js 3.11.18

リリース日： 2022 年1月31日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

New features and improvements:

Contrast service version 2.28.9 is now packaged with the Node.js agent.

修正された不具合：

When the local YAML configuration and environment variables are set, the Node.js agent does not prioritize configuration values as indicated in the order of precedence. (NODE-2084)

Node.js 3.11.17

リリース日： 2022年1月19日

現在サポートしている言語バージョン：10、12、14 LTS

重要

Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。

New features and improvements:

Contrast service version 2.28.4 packaged with the Node.js agent

January - December 2021

Node.jsエージェントのリリース情報 2021年

Node.js 4.7.1

リリース日： 2021年12月23日

現在サポートしている言語バージョン：12、14、16LTS

Node.js 3.11.15

リリース日： 2021年12月3日

現在サポートしている言語バージョン： 12、14

重要

As of Node 3.11.15, the agent will be bundled with Contrast Service version 2.28.0

新機能と改善点：

Added Joi support for ref() where reference target is an object.

Node.js 4.7.0

リリース日： 2021年12月3日

現在サポートしている言語バージョン：12、14、16LTS

重要

As of Node 4.7.0, the agent will be bundled with Contrast Service version 2.28.0

新機能と改善点：

The stacktrace limit default was set to 10 (previously it was set to 25).
Added Joi support for ref() where reference target is an object.
Added support for Dust.js template engine.

修正された不具合：

Implicit tagging of numeric input causes false negatives. (Node-2005)
Refactored logic around sanitizers that causes wrong tags.

Node.js 4.6.0

リリース日： 2021年11月18日

現在サポートしている言語バージョン：12、14、16LTS

修正された不具合：

When an application has been rewritten with Babel and the @babel/runtime helpers have been injected, the application fails to start. (Node-1956)

Node.js 4.5.2

リリース日： 2021年11月10日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Added AWS-SDK version 3 DynamoDB to the flow map.
Improved tracking of vulnerabilities through path functions.

Node.js 4.5.1

リリース日： 2021年11月2日

現在サポートしている言語バージョン：12、14、16LTS

重要

As of Node 4.5.1, the agent will be bundled with Contrast Service version 2.27.3

修正された不具合：

Bluebird is causing vulnerabilities to be attributed to the incorrect route. (NODE-1892)

Node.js 4.5.0

リリース日： 2021年10月21日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Support for Mustache template engine version 4.x. (version 3 and version 4 of agent)
Specify module supported versions explicitly as a WARN in logs.

修正された不具合：

Fixes to the path.normalize Assess functionality. (NODE-1830)

Node.js 4.4.1

リリース日： 2021年10月13日

現在サポートしている言語バージョン：12、14、16LTS

新機能と改善点：

Node 16 LTS support.
New configuration flag for “turbo” protect performance.

修正された不具合：

When there are NoSQL vuln on GET requests from two routes, the vulnerability is not reported. (NODE-1900)
"Propagator micro-optimizations" causes performance issue. (NODE-1913)

Node.js 4.3.0

リリース日： 2021年9月29日

現在サポートしている言語バージョン：12、14 LTS

新機能と改善点：

CVE-2021-3795 upgrade semver-regex to latest (v3.1.3) in node-require-hook
CVE-2021-3795 upgrade semver-regex to latest (v3.1.3) in node-fn-inspect
CVE-2021-3807 bump ansi-regex dependency in node-agent repo (from 2.1.1 to 6.0.1)
CVE-2020-26301 bump ssh2 to latest version (v1.4.0) in the node-agent repo (v3 and v4)

修正された不具合：

XXE Assess causes false negatives with the DVNA application. (NODE-1810)

Node.js 4.2.0

リリース日： 2021年9月23日

現在サポートしている言語バージョン：12、14 LTS

既知の問題：

There may be some message loss between the agent and the Contrast service if you are NOT using the optional gRPC protocol.This version will be deprecated once a fix is provided in the 4.2.1 release.

新機能と改善点：

Significant Assess performance improvements for use cases where there is a large JSON body in the inbound request.
Improved reporting/UX to Contrast where there is a vulnerability identified in large JSON body in the inbound request.
The MongoDB 4.X driver is now supported along with versions 3.5.0 and later.
CVE-2021-3749 - node-agent - bump 'axios' from 0.21.1 to 0.21.2
CVE-2021-37713 bump tar dependency in 'distringuish' repo from 4.4.15 to 4.4.19
CVE-2021-37713 bump tar dependency in 'node-fn-inspect' repo from 4.4.15 to 4.4.19

Node.js 4.1.0

リリース日： 2021年8月28日

現在サポートしている言語バージョン：12、14 LTS

注記

As of Node.js 4.1.0, we no longer support Contrast Node.js agent versions 2.X.

新機能と改善点：

CVE-2021-3664 - node-agent - Bump url-parse from 1.5.1 to 1.5.3.
CVE-2021-23343 - node-agent - Bump path-parse from 1.0.6 to 1.0.7.
SNYK-JS-TAR-1536758 - node-agent - Bump tar from 6.1.4 to 6.1.10.
CVE-2021-32803 - contrast-protobuf-api - Bump tar from 4.4.13 to 4.4.15 (or 4.4.19).

修正された不具合:

Node.js agent failing silently in Protect mode if unsupported Node.js LTS version. (NODE-1757)
When reporting libraries "_requiredBy" or "dependents" field not populated. (NODE-1718)
Sequelize propagators do not add Propagation events to dataflow history, causing possible NoSQL injection false positives. (NODE-1746)

Node.js 4.0.1

リリース日： 2021年7月28日

現在サポートしている言語バージョン：12、14 LTS

Node.js 4.0.0

リリース日： 2021年7月8日

現在サポートしている言語バージョン：12、14 LTS

新機能と改善点：

Significant performance refactoring completed for both Protect and Assess functionality.
CLI rewriter for startup performance improvements.
Set Babel as sole rewriter - removed Esprima.
Updating Contrast Service is mandatory.
Added support for agent.logger.backups and agent.logger.roll_size properties.

修正された不具合：

Agent unable to detect installed libraries on Windows. (NODE-1622)
Bluebird callbacks run in NO_INSTRUMENTATION scope causing accuracy issues. (NODE 1643)
Koa: Router.use reported as Router.undefined. (NODE-1628)
Logger not logging all entries to debug file. (NODE-1654)
HTTP body missing for multipart/form-data POST requests. (NODE-1620)
Agent fails to start with infinite loop when unable to write contrast-service socket file. (NODE-1657)
Screener tests fail because of non-existent rewrite-babel file. (NODE-1682)
Tag ranges off when Array.join is called with empty string. (NODE-1673)
Trim prerelease from reported agent version. (NODE-1693)

Node.js 3.11.14

リリース日： 2021年11月18日

現在サポートしている言語バージョン：12、14LTS

新機能と改善点：

Resolved CVEs against these dev dependencies: CVE-2021-3765, CVE-2021-3807.

Node.js 3.11.13

リリース日： 2021年11月3日

現在サポートしている言語バージョン：12、14LTS

重要

As of Node.js 3.11.13, the agent will be bundled with Contrast Service version 2.27.3.

修正された不具合：

Bluebird causes vulnerabilities to be attributed to the incorrect route.(Node-1892)

Node.js 3.11.12

リリース日： 2021年10月13日

現在サポートしている言語バージョン：12、14 LTS

修正された不具合：

When there are NoSQL vuln on GET requests from two routes, the vulnerability is not reported. (NODE-1900)

Node.js 3.11.11

リリース日： 2021年10月7日

現在サポートしている言語バージョン：12、14 LTS

修正された不具合：

Agent maintenance version 3.x does not ship with prebuilt dependencies for Node 10. (NODE-1905)

Node.js 3.11.10

リリース日： 2021年9月29日

現在サポートしている言語バージョン：12、14 LTS

新機能と改善点：

CVE-2021-3795 upgrade semver-regex to latest (v3.1.3) in node-require-hook
CVE-2021-3795 upgrade semver-regex to latest (v3.1.3) in node-fn-inspect
CVE-2021-3807 bump ansi-regex dependency in node-agent repo (from 2.1.1 to 6.0.1)
CVE-2020-26301 bump ssh2 to latest version (v1.4.0) in the node-agent repo (v3 and v4)

Node.js 3.11.9

リリース日： 2021年8月26日

現在サポートしている言語バージョン：12、14 LTS

新機能と改善点：

CVE-2021-3664 - node-agent - Bump url-parse from 1.5.1 to 1.5.3.
CVE-2021-23343 - node-agent - Bump path-parse from 1.0.6 to 1.0.7.
SNYK-JS-TAR-1536758 - node-agent - Bump tar from 6.1.4 to 6.1.10.
CVE-2021-32803 - contrast-protobuf-api - Bump tar from 4.4.13 to 4.4.15 (or 4.4.19).

修正された不具合:

Node.js agent failing silently in Protect mode if unsupported Node.js LTS version. (NODE-1757)
Sequelize propagators do not add Propagation events to dataflow history, causing possible NoSQL injection false positives. (NODE-1746)
When reporting libraries, "_requiredBy" or "dependents" fields not populated. (NODE-1718)

Node.js 3.11.8

リリース日： 2021年8月13日

現在サポートしている言語バージョン：12、14 LTS

修正された不具合:

Resolves a breaking change regression and reenables the agent to run on Node.js 10 LTS, even though that Node.js LTS version has reached its end-of-life (EOL). (NODE-1748)
The agent can successfully instrument any application using Bluebird. (NODE-1742)
Resolved an issue where the agent was not correctly tracking data through several Sequelize functions. (NODE-1746)

Node.js 3.11.7

リリース日： 2021年7月29日

現在サポートしている言語バージョン：12、14 LTS

Node.js 3.11.6

リリース日： 2021年7月8日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Agent fails to start with infinite loop when unable to write contrast-service socket file. (NODE-1657)
Improved the agent's deadzoning ability to correctly skip instrumentation of dependent modules of deadzoned modules. (NODE-1449)

Node.js 3.11.5

注記

This version has been deprecated, please use 3.11.6 or later.

リリース日： 2021年7月6日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Addressed bug that prevented logging some entries into debug file. (NODE-1654)
HTTP body missing for multipart/form-data POST requests. (NODE-1620)

Node.js 3.11.4

注記

This version has been deprecated, please use 3.11.6 or later.

リリース日： 2021年6月25日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Router.use reported as Router.undefined in Koa. (NODE-1628)

Node.js 3.11.3

注記

This version has been deprecated, please use 3.11.6 or later.

リリース日： 2021年6月25日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Agent unable to detect installed libraries on Windows. (NODE-1622)
Bluebird callbacks run in NO_INSTRUMENTATION scope causing accuracy issues. (NODE-1643)

Node.js 3.11.2

注記

This version has been deprecated, please use 3.11.6 or later.

リリース日： 2021年6月11日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Logger methods called before initialization. (NODE-1625)
Mongodb collection methods not triggering post hooks. (NODE-1603)

Node.js 3.11.1

注記

This version has been deprecated, please use 3.11.6 or later.

リリース日： 2021年6月8日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

When user is using express-session middleware, res.end does not report cross-site scripting (XSS). (SUP-2796)
AsyncStorage loses context in mysql query operations. (SUP-2861)
Fixed an issue where the customer app crashes but does not throw an exception to the Docker container and write to stdout/stderr. (NODE-1511)

Node.js 3.11.0

リリース日： 2021年5月27日

現在サポートしている言語バージョン： 10、12、14 LTS

修正された不具合：

When user is using express-session middleware, res.end does not report cross-site scripting (XSS). (SUP-2796)
AsyncStorage loses context in mysql query operations. (SUP-2861)

Node.js 3.10.3

リリース日： 2021年5月21日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

To resolve a ReDoS CVE (CVE-2021-23362) we need to update the hosted-git-info library included as a dependency.

Node.js 3.10.2

リリース日： 2021年5月17日

現在サポートしている言語バージョン：10、12、14 LTS

Node.js 3.10.1

リリース日： 2021年4月28日

現在サポートしている言語バージョン：10、12、14 LTS

新機能と改善点：

Runtime performance improvements by improving JSON stringify tracking capabilities.
Added support for the Joi validator library, version 17+.

Node.js 3.9.4

リリース日： 2021年4月19日

現在サポートしている言語バージョン：10、12、14 LTS

Node.js 3.9.3

リリース日： 2021年4月13日

現在サポートしている言語バージョン：10、12、14 LTS

新機能と改善点：

Runtime performance improvement by disabling membrane wrapping for certain functions.

Node.js 3.9.2

リリース日： 2021年4月2日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

RangeError thrown on startup when traversing a router mounted on itself in Express. (SUP-2723)

Node.js 3.9.1

リリース日： 2021年3月31日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

False positive Hardcoded Key finding reported. (SUP-2636)
If the Service is enabled, the application.path isn’t reported correctly. (SUP-2669)

Node.js 3.9.0

リリース日： 2021年3月26日

現在サポートしている言語バージョン：10、12、14 LTS

新機能と改善点：

Added support for the Validator library, which can be used to sanitize and validate common vulnerability categories.
Improved logging when an incorrect package.json is used.

修正された不具合：

Prevent a catch when an async storage object can’t be parsed. (SUP-2685)
Fixed how the agent contextualizes async data when koa-bodyparser is used (SUP-2627)
Fixed cases where Express vulnerabilities aren’t reported to the UI correctly (SUP-2509, SUP-1558)

Node.js 3.8.6

リリース日： 2021年3月18日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

When using a MongoDB SCRAM-SHA-256 authentication configuration, an exception is thrown at server startup. (SUP-2653)

Node.js 3.8.5

リリース日： 2021年3月15日

現在サポートしている言語バージョン：10、12、14 LTS

Node.js 3.8.4

リリース日： 2021 年3月9日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Upgraded lodash from 4.17.20 to 4.17.21 due to two known CVEs found in version 4.17.20 (CVE-2020-28500, CVE-2021-23337).
Upgraded amqplib from 0.6.0 to 0.7.1 due to a known CVE found in version 0.6.0 (CVE-2021-27515).

Node.js 3.8.3

リリース日： 2021 年3月8日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

When a querystring is included in a MongoDB connection string, the agent can’t parse the URL. (SUP-2594)

Node.js 3.8.0

リリース日： 2021 年3月1日

現在サポートしている言語バージョン：10、12、14 LTS

New features and improvements:

Kraken 2.3.0 is now supported.

修正された不具合：

Loading the agent with an ESM loader produces an error. (SUP-2504)
DynamoDB hook for flowmap crashes up without 'endpoint' in config (SUP-2475)

Node.js 3.6.4

リリース日： 2021 年2月26日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

Library usage causes errors on Windows when application loads add-on. (SUP-2536, NODE-1328)
Juice-Shop does not run when Assess in enabled on Windows. (SUP-2521, NODE-1317)

Node.js 3.6.1

リリース日： 2021 年2月11日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

DynamoDB hook for flowmap crashes agent when 'endpoint' is not specified in configuration. (SUP-2475, NODE-1286)
Users running esm.mjs receive an error because it is not being packaged. (SUP-2478, NODE-1288)

Node.js 3.6.0

リリース日： 2021 年1月29日

現在サポートしている言語バージョン：10、12、14 LTS

新機能と改善点：

Loopback 4 is now supported.
Fastify 3 is now supported.

修正された不具合：

False negative path traversal finding in Express. (SUP-2412)
Agent not detecting remote code execution (RCE) with certain input values. (SUP-2433)
Highlighted text in the UI is off by one character. (SUP-2384)

Node.js 3.5.1

リリース日： 2021 年1月28日

現在サポートしている言語バージョン：10、12、14 LTS

修正された不具合：

The application may throw an error if the cache-controls header is an array. (SUP-2416)
Agent incorrectly exiting on SIGPIPE when the Contrast Service is used. (SUP-2421)

Node.jsエージェントのリリースノート

Node.js 5.43.0

Node.js 5.42.0

重要

Node.js 5.41.0

重要

Node.js 5.40.0

重要

Node.js 5.39.1

重要

Node.js 5.39.0

重要

Node.js 5.38.0

重要

Node.js 5.37.0

重要

Node.js 5.36.0

重要

Node.js 5.35.1

重要

Node.js 5.35.0

重要

Node.js 5.34.0

Node.js 5.33.0

Node.js 5.32.0

Node.js 5.31.0

Node.js 5.30.0

Node.js 5.29.0

Node.js 5.28.0

Node.js 5.27.2

Node.js 5.27.1

Node.js 5.27.0

Node.js 5.26.0

注記

Node.js 5.25.0

Node.js 5.24.0

Archive

January - December 2024

Node.jsエージェントのリリース情報 2024年

注記

注記

注記

重要

重要

January - December 2023

Node.jsエージェントのリリース情報 2023年

重要

重要

重要

重要

重要

重要

重要

重要

重要

重要

January - December 2022

Node.jsエージェントのリリース情報 2022年

重要

重要

重要

重要

注記

重要

重要

重要

重要

重要

重要

重要

重要

重要

重要

重要

January - December 2021

Node.jsエージェントのリリース情報 2021年

重要

重要

重要

注記