Node.jsエージェントのリリースノート

Contrast AssessがExpress 5にプレビュー機能として対応。(NODE-3644、NODE-3645、NODE-3646)

本番環境におけるContrast Assess機能で、サンプリングされていないリクエストが、ソースコンテキスト不足として報告されていた問題を修正しました。(NODE-3659)

観測されたルートの機能としてContrast Assessのサンプリングを調査しました。 (NODE-3597)

MongoDB 6ドライバの集計関数のサポートを改善しました。(NODE-3614)

bunyanロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3427)

ライブラリ報告のためのnpm lsの使用を置き換えました。(NODE-3599)

ライブラリ報告のためのnpmを置き換え、 Distrolessをサポートするようにしました。(NODE-3619)

log4jsロギングモジュールに対して、プログラムによるデッドゾーンを追加しました。(NODE-3636)

Expressの最大バージョンに対するインストゥルメンテーションを追加しました。(NODE-3641)

すべてのエントリポイントにperfを追加しました。(NODE-3602)

エージェントは、新しいスタートアップエンドポイントv1.0を使用するようになりました。(NODE-3390)

ルートカバレッジにTRACEレベルのログを追加しました。(NODE-3566)

cookie-signatureを含めるように安全なハッシュライブラリを更新しました。(NODE-3558)

.swcrcファイルにjsc.targetが指定されている場合にリライタがエラーを返す問題を修正しました。(NODE-3640)

Node.js LTS 22のサポートを追加しました。

Mongooseのクエリパラメータの無害化と検証を追加しました。(NODE-3565)

core.messagesのイベント数を増やしました。(NODE-3627)

npmのAuditエージェントのreadmeファイルを更新し、正確なものにしました。(NODE-3548)

監査機能と不要な依存関係を修正しました。(NODE-3601)

Node.jsエージェントは、Contrastの通信にCONTRAST__API__TOKENの使用をサポートするようになりました。CONTRAST__API__URL、CONTRAST__API__API_KEY、CONTRAST__API__SERVICE_KEY、CONTRAST__API__USER_NAMEの代わりに使用できます。(NODE-3522)

Contrast Assessのスタックトレースの設定オプションに新しい列挙値(SINK)を追加しました。(NODE-3591)

このリリースでは、Node 22 LTSをプレビュー版としてサポートします。

この機能は、まだ正式にはサポートされていません。

crypto.createCipherのサポートを追加しました。(NODE-3533)

FS_METHODS にfs.globとfs.globSyncを追加しました。(NODE-3541)

Fastifyのルートカバレッジのリファクタリングを行い、dep-hooksのESM版におけるバグの影響を受けないようにしました。(NODE-3563)

rewrite-is-deadzoned.jsを修正しました。(NODE-3572)

CSP(Content-Security-Policy)ルールを最新の要件に合わせて更新しました。(NODE-3582)

semver v7.6において、バージョン範囲の比較が正しく行われず、予期せぬ結果を引き起こす可能性があった問題を修正しました。(NODE-3585)

@fastify/static@7で報告されたパストラバーサルの過検知を修正しました。(NODE-3549)

Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。(NODE-3567)

Node.js v5にデッドゾーンサポートのフェーズ1を実装しました。(NODE-3360)

デッドゾーンは、エージェントが特定のモジュールや関数のインストゥルメンテーションをスキップできるようにするメカニズムです。

node -rプリロードフラグが適切に使用されていない場合に、ログを出力するようにしました。(NODE-3481)

プリフライトリクエストのメッセージにおける重複の問題を修正しました。(NODE-3476)

疎通されていないルートをエージェントが報告していなかった問題を修正しました。(NODE-3548)

テレメトリの報告に関する問題を修正しました。(NODE-3554)

bcryptモジュールにプログラムによるデッドゾーンを使用するようにエージェントを更新しました。(NODE-3424)

本リリースで、Contrastエージェントをnpmに公開する際の新しいプロセスが導入されました。新しいプロセスでは、アーティファクトには<next>タグを付けてnpmにリリースされます。<next>タグを採用することで、npm install @contrast/agent@nextというコマンドを明示的に使用しない限り、次(next)のバージョンのエージェントが自動的にインストールされることがなくなります。

次のバージョンのリリースノートが公開された直後に、バージョンのタグは<latest>に切り替えられます。この新しいプロセスにより、新機能のプレビューやテストが可能になり、まもなく<latest>としてタグ付けされるリリースノートを確認することもできます。

エージェントは、クラウドリソースID(AWS、Azure、GCP)を抽出して、Contrastに報告するようになりました。(NODE-2932)

この機能は、クラウドプロバイダー上で実行時にリソースIDを収集し、そのIDをログとContrast Webインターフェイスに報告します。

ログに発生していたExpress.response.pushエラーを修正しました。(NODE-3532)

@contrast/distringuishのREADMEドキュメントを改善しました。(NODE-3517)

報告されるルートのテキストを、より一貫性のある慣用的な表現に変更しました。影響を受けるフレームワークは、Koa、 Hapi、Fastify、Restifyです。

この変更によって、孤立したルートが発生する可能性がありますが、手動で削除するかルートの有効期限機能を使用して削除してください。セッションメタデータやセッションIDを使用している場合、この変更による影響はありません。Expressフレームワークを使用しているお客様は、このリリースの影響を受けません。

アプリケーションがAWSまたはAzure Cloudで実行されている場合、リソース識別子がログに報告されるようになりました。

Contrastに送信されるライブラリの使用状況のリクエストは、HTTPの負荷を軽減するためにバッチ処理されるようになりました。デフォルトのバッチサイズは、100です。 (NODE-3509)

インポートバインディング名がリライタの組み込み変数名と一致する場合にエラーが発生する問題を修正しました。(NODE-3486)

bson 1.1.6にて、bsonデッドゾーンのrequire-hookでエラーが発生していた問題を修正しました。(NODE-3479)

Contrast AssessでHTTP/2モジュールに対する反射型クロスサイトスクリプティング(Reflected XSS)を実装しました。

レスポンスを検査するルールをHTTP/2のspdyライブラリに対して実装しました。

Windowsのnode-require-hookを修正しました。

HTTP2のレスポンススキャンで、検出できない例外が発生していました。(NODE-3468)

リクエストがブロックされると、メトリックスモジュールが実行されずに、リクエストが設定時間を超えたことを警告するタイムアウトが発生していました。(NODE-3475)

リライタのキャッシュからロードされたMJSファイルが、相対パスファイルの読み込みを中断する場合がありました。(NODE-3485)

pgのarch-componentのインストゥルメンテーションから、イベントリスナーを減らしました。(NODE-3489)

暗号解析(crypto-analysis)における、アルゴリズムのチェック時に大文字と小文が区別されていませんでした。(NODE-3495)

パスにスペースがあるとnpm検出に失敗していました。(NODE-3497)

Axiosパッケージのバージョンを上げ、CVE-2024-39338に対応しました。

パスにスペースがあるとnpm検出に失敗していました。(NODE-3497)

Contrastサービスと通信するためにエージェントが使用するライブラリ、@grpc/grpc-jsに関連する新しいCVEに対処しました。(NODE-3487)

Contrast ProtectでHTTP/2モジュールに対する反射型クロスサイトスクリプティング(Reflected XSS)を実装しました。

Restify 8、9、10、11のサポートを追加しました(Contrast AssessおよびContrast Protect)。

モジュールインストール時のエラーは必要に応じて発生させるようにし、_errors[]に設定しないようにしました。

バリデーションを正しく機能させるために、必要なモジュールに検証ロジックを実装しました。

更新されたCEF(共通イベント形式)ガイドの仕様に合わせて、セキュリティログのエスケープを更新しました。

ルート探索時のフレームワークの報告(ルートカバレッジでの互換性チェック)を実装しました。

URLSearchParams.toString()を修正しました。(NODE-3332)

ソースマップのチェーンを追加しました。(NODE-3442)

バージョン5でのNode.js 14のサポートを非推奨としました。

既存の@contrast/common関数を、よりパフォーマンスが高い、自己文書型の関数に置き換えました。

Contrastサーバで、存在しないエンドポイントを作成して脆弱性を関連付けていました。(NODE-3457)

レポータのエラー時にAPIキーがマスクされていませんでした。(NODE-3458)

イベント作成時にinspectを使用すると発生していた問題を修正しました。(NODE-3451)

反射型クロスサイトスクリプティング(reflected-xss)の各シンクでisSafeContentTypeをチェックするようにしました。(NODE-3452)

Expressのルート観測のバグを修正しました。(NODE-3453)

Expressのルートカバレッジで、配列で定義されたミドルウェアが正確に処理されるようになりました。

エージェントが常にContrastサーバに報告するように、有効なエージェント設定の有効化フラグを削除しました。

-cコマンドラインオプションを使用して設定ファイルの場所を指定しているのが検出された場合に警告を出すようにしました。CLIオプションによるエージェントの設定は、v5のエージェントでは廃止になりました。

Restifyのルート探索と観測を実装しました。

プログラムによるデッドゾーンの最初のサポートとして、制限された関数内でエージェントの組込みをオフにできるようにしました。

受信メッセージのヘッダが正しく処理されていませんでした。(NODE-3396)

Expressのルートカバレッジで、 app.use()とrouter.use()で定義されたルートが検出されていませんでした。(NODE-3402)

TypeError: undefined is not a function at StacktraceFactory.makeFrameが発生していました。 (NODE-3420)

バージョン4にて、コードイベントのリスナーを登録するsetCodeEventListener()にtimer.unref()を追加しました。

バージョン5.xエージェントにおける入力とURLの例外のサポート

Protect用のCLIリライタオプションの提供

Expressのルートがパスの配列で登録されている場合に、ルートカバレッジのエラーが発生していました。(NODE-3380)

バージョン5のエージェントで、アーカイブされたアプリケーションが正しく処理されていませんでした。(NODE-3384)

Fastifyのルートカバレッジが正しく報告されていませんでした。 (NODE-3403)

ログに匿名クラスのエラーが書き込まれていませんでした。 (NODE-3406)

リライタをCLIコマンドとして実行して、コンテナイメージの作成時にソースコードを変換できるようになりました。これにより、起動時のメモリ消費量が抑えられ、アプリケーションの起動速度を上げることができます。

リライタにESMローダーのフックを実装しました。

リライタのデッドゾーンを追加しました。

string.prototype.split()のトラッキングを最適化しました。

Contrastサービスに関連付けられたCVE-2024-24786を解決しました(バージョン2.28.34に更新)。

リライタキャッシュのバグを修正し、バージョン5.4.0を非推奨としました。(NODE-3367)

バージョン5.xのエージェントで初めてアプリケーションコードのリライタキャッシュに対応しました。

AssessとProtectにフレームワークhapi 21のサポートを追加しました。

アプリケーション更新時のライブラリマニフェストの報告を停止するようにしました。

ESMフックをコンポーネント化し、通常の構成/インストールパターンに従うようにしました。

最新のNodeバージョン用にエージェントのREADMEを更新しました。

ライブラリ解析で「Cannot find module 'file:/...'」エラーを修正しました。(NODE-3358)

JSON.parseで、キャプチャしたキー/値のインデックスが不正な場合に例外をスローしていた問題を修正しました。(NODE-3344)

URL解析プロパゲータでparseQueryStringフラグに対応していなかった問題を修正しました。(NODE-3340)

string.replaceで一部の特殊文字の置換が適切に処理されていなかった問題を修正しました。(NODE-3341)

エージェント起動時のドット(.)エントリポイント構文が機能しなくなった問題を修正しました。(NODE-3343)

depsのparent-package-jsonを置き換えました。

一部の設定フィールドに関して、ログ出力時に情報がマスクされていなかった問題を修正しました。(NODE-3339)

NODE_OPTIONSの--loaderに対して、ロガー(logger)のcleanEnvを更新しました。

全てのUIエンドポイントへのHTTP通信で、プロキシ設定を考慮するよう修正しました。(NODE-3338)

res.sendが呼び出された時に反射型クロスサイトスクリプティング(Reflected XSS)が報告されない問題を修正しました。 (NODE-3334)

runner-tapのユーザビリティを修正しました。

サーバ名やアプリケーション名を英語以外の言語で設定するとエラーが発生する問題を修正しました。 (NODE-3333)

重複するESM初期化の負荷を最小限に抑えました。

Axiosクライアントを更新しました。

Juice Shop 16が新エージェントで動作しない問題を修正しました。(NODE-3323)

新しいエージェント(v5)のESMローダー機能の不具合を修正しました。(NODE-3320)

Contrastサービス(SpeedRacer)の削除

エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート 。

Contrast AssessとContrast Protectの同時実行をサポート

再起動なしでProtectルールのモードを切り替えできる機能

なお、モード(Assess、Protect、両方)の切り替えを有効にするには、アプリケーション/エージェントの再起動が必要

Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)

Contrastサーバへの有効な設定の報告

devDependenciesをnpmに公開しない - CVE検出の過検知の減少

pinoを使用した構造化ログ

アプリケーションを再起動せずにContrast Webアプリケーションからエージェントのログレベルを変更する機能

各リクエストに対するDEBUGレベルでのログ要求待ち時間(ns)

重複排除のために正規化されたURIを使用したルート観測/カバレッジ

SWCを使用した起動時のリライタの高速化

SuperTest APIテストフレームワーク(npm: supertest)のサポート

Frisby APIテストフレームワーク(npm: frisby)のサポート

String.prototype.matchAll()のプロパゲータのサポート

ルートを疎通しなくても観測されたルートをアプリケーションの起動時にContrast Webインターフェイスに報告

ESMアプリケーションに対応、以下を使用するエージェントのロード/実行をサポート：

新しい--importディレクティブは、Node.js 18.9.0、20.9.0以降(LTS)で実行されている全てのアプリケーション(ESMとCJSの両方)でサポート

詳細についてはnpmを参照

Axiosを更新しました。

ビルド関連を微調整しました。

npmエラー時のログ記録を改善しました。

ファイル内のコピーライトテキストを新しい年に合わせて更新しました。

Expressのroute-coverageユーティリティで、stackプロパティが不足している場合に例外がスローされていた問題を修正しました。(NODE-3301)