SaaS版のリリース情報
このリリース情報は、SaaS版のお客様向けに毎月公開されます。
2025年8月
SaaS版のContrastで2025年7月にリリースされた機能と修正された不具合について、以下に記します。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
August 19, 2025
New and improved
New Environments filters in NorthstarNorthstar:
To improve incident triage, you can now filter the Incidents list by Environment. This new filter, located in the Filters panel, lets you easily focus on incidents by Production, QA, or Development. (NS-522)
To manage and prioritize Issues, you can now filter the Issues list by Environment. This new filter, located in the Filters panel, lets you easily focus on issues by Production, QA, or Development. (NS-523)
New Evidence tab in NorthstarNorthstar. With the new evidence tab, view the data flow and parameter details for an application that led Contrast to create an issue. (NS-94)
Contrast AI SmartFix enhancements. SmartFix now offers automated code fixes and pull requests for Critical and High vulnerabilities detected by Contrast Assess to streamline remediation for Python, .NET, and Node.js applications. (AIML-10, AIML-11, AIML-12)
Assess: Server environment enhancement. Easily identify a server's environment directly from the Notes tab of a vulnerability. The Reported Servers section now includes the environment for each server, helping you quickly understand where a vulnerability was detected. (AS-20)
Show related roles with a resource group summary. The summary list for a specific user access group contains a list of associated roles. To view this list, select and edit a user access group. (PROD-3620)
2025年8月4日
新機能と改善点
Java agent. The Java agent now supports Spring Boot 3.2 - 3.5 and Java 24. (JAVA-9139, JAVA-9138)
SaaS版のContrastで2025年7月にリリースされた機能と修正された不具合について、以下に記します。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
2025年7月31日
新機能と改善点
脆弱性に対するロールベースのアクセス制御の新しいアクション: ロールベースのアクセス制御(RBAC)に、脆弱性のステータス変更、脆弱性の深刻度の変更、脆弱性の削除のための新しいアクションが追加されました。これらのアクションにより、脆弱性を変更できるユーザをより詳細に管理できます。(AS-3)
「アプリケーションの編集」アクションでは、脆弱性の変更や脆弱性の削除といった操作が行えなくなりました。RBACの既存の組み込みロールには、これらの脆弱性に特化した新しいアクションが含まれるようになっています。
注記
Contrastではなく、インテグレーションしている外部ツール(JiraやGitHubなど)側で脆弱性に加える変更は、引き続き有効です。これらの変更はContrast上でも反映されます。
既存のお客様:これまで「アプリケーションの編集」アクションが含まれている組み込みロールやカスタムロールに対しては、今回新設した脆弱性関連のアクションがそれらのロールに自動的に追加されています。必要に応じて、カスタムロールを編集し、脆弱性専用のアクションを削除できます。
エージェントオペレータ:エージェントオペレータは、ボリュームにマウントされたシークレットをサポートするようになりました。ボリュームマウントされたシークレットを使用するようにエージェントオペレータを設定すると、エージェント接続ごとに新しいシークレットが作成されます。(AO-71)
エージェントオペレータは引き続き環境変数ベースのシークレットをサポートしますが、シークレットの挿入にはボリュームをデフォルトとして使用することを推奨します。
2025年7月15日
新機能と改善点
Contrast AI SmartFixを発表:Contrast AI SmartFixにより、開発者は脆弱性の修正に費やす時間と労力を大幅に削減し、機能の開発により集中できるようになります。Contrast独自のランタイムコンテキスト(完全なデータフロー、スタックトレース、HTTPリクエストなど)とAIを活用することで、Contrast Assessで検出された重大かつ高リスクの脆弱性に対しする修正をSmartFixが自動生成します。SmartFixは、お客様の組織で承認され、自己管理されているLLMと連携してコードを解析します。そして、提案された修正を含むプルリクエストをGitHub内に作成します。このプルリクエストには、オプションでソリューションを検証するためのセキュリティに関する単体テストも含まれます。(TS-39059)
フレックスエージェントを発表:フレックスエージェントを使用すると、特定の言語を指定しなくても、1つのパッケージから複数のエージェントをインストールして設定できます。新いエージェントを導入するには、「新規登録」より多言語インストールのウィザードを使用するのが最も簡単な方法です。また、Contrastフレックスエージェントを使用して、導入済みのエージェントをアップグレードすることもできます。フレックスエージェントのリリースノートはこちらをご覧下さい。(CFA-215)
ロール管理の改善:ユーザアクセスグループに表示されるロールを改善しました。これにより、ユーザアクセスグループ内で割り当てられている特定のロールの確認が簡単になります。(PROD-3303)
SaaS版のContrastが、2025年6月17日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
ContrastのNorthstarリリースを発表:Contrastの新しいユーザエクスペリエンスは、開発、セキュリティ、運用の各部門を統合する業界初のプラットフォームで、ワークフローを強化できます。これは、迅速な脅威検知に不可欠であり、開発から本番環境まで、攻撃や重大な脆弱性のリアルタイムの状況、そしてそれらの相互関係を把握することができます。
このプラットフォームの中核となるのが、「Contrastグラフ」で、これにより最も高度な機能が実現されます。このグラフは、組織のアプリケーションとAPI環境のリアルタイムのデジタルツインを作成します。そして、実際の攻撃経路を関連付け、実行時の挙動を相関させ、脆弱性、脅威、資産間のつながりを明らかにします。このような詳細で動的なコンテキストにより、従来のツールにつきものの推測作業がなくなります。正確かつ自動化された優先順位付けと修正が可能になるため、各部門は実際のリスクに集中し、自信を持って対応できるようになります。
これには、次の新機能が含まれます:
Contrast Northstarは現在、SaaS版のお客様のみが利用可能で、英語でのみの提供となっています。
Contrast Northstarでの課題の権限はアクセス制御で管理されます。これにより、Northstarでの課題に対してきめ細かいアクセス制御が可能になり、組織でインシデントを表示・管理するといった具体的な権限をできるようになります。新しい課題の管理アクションはカスタムロールで利用でき、ユーザは閲覧権限のあるアプリケーションの課題のみにアクセスできるよう設定できます。(PROD-3402)
Contrast Northstarにおける全てのアプリケーションへのアクセスを最適化しました。 本リリースでは、特にContrast Northstar内で、全てのアプリケーションにアクセスできるユーザのデータ取得を最適化しました。以前は、完全なアクセス権があるユーザであっても、システムで個々のアプリケーションIDで処理・フィルタリングが行われていたため、不必要な検索が発生していました。今回、完全なアクセス権があるユーザはシステムでインテリジェントに認識されるようになり、Contrast Northstarの課題やアプリケーションリストのデータの取得が効率化され、パフォーマンスが大幅に向上しました。(PROD-3630)
デプロイメントハブを発表:デプロイメントハブは、導入初日からすぐにプラットフォームを稼働させるための管理コンソールです。部門間でタスクを割り当てて管理し、デプロイメントハブ内から動画やドキュメントを参照しながら、進捗状況を管理できます。ステップバイステップのガイダンスにより、複雑な環境でも迅速かつ確実な設定が可能です。(PROD-3062)
R2DBCコネクタを使用するJava アプリケーションのセキュリティリスク:本リリースではJava エージェントの機能を強化し、Spring-data、H2、MariaDB、PostgreSQL、MySQL、Oracle、MS SQL Server(R2DBCコネクタ経由)を使用するJavaアプリケーションにおけるSQLインジェクションの脆弱性やその他のセキュリティリスクを検出・報告できようになりました。以前は、この構成をサポートしておらず、検知漏れが発生していました。今回の改善により、報告された問題に対処し、全体的な保護を向上させることで、ユーザはアプリケーションのセキュリティを確保することができます。(RFE-342、JAVA-8984)
CNAフォールバックによるCVEスコアリングの強化:NVD(脆弱性情報データベース)スコアが利用できない場合に、CNA(CVE番号採番機関)スコアを使用するフォールバックメカニズムを導入することにより、CVEスコアリングを向上させました。ユーザは、脆弱性の深刻度情報をタイムリーに得られ、情報に基づいた対応の決定を確実に行うことができるようになります。NVDスコアが利用可能になり次第、一貫性を保つために自動的にCNA値は上書きされます。(PROD-3469、RFE-329)
最低限のルートカバレッジポリシーの設定:ユーザはルートカバレッジの割合に関するポリシーを設定し、最低限のカバレッジポリシーが適用されるアプリケーションを設定できるようになりました。ルートカバレッジがしきい値を下回ると、Contrastから開発者向けのバグチケットが作成され、ユーザがルートカバレッジを改善できるようになります。(AS-6)
ルート カバレッジのダウンロード機能の改善:本リリースでは、ルート カバレッジのダウンロード処理を非同期にすることで、処理を改善しました。以前は、大規模なダウンロードを行うと、メモリの問題により504エラー(Gateway Timeout)が発生する可能性がありました。今回のリリースにより、大規模なアプリケーションであっても中断されることなくルートカバレッジを効率的にダウンロードできるようになりました。明確なフィードバックと進行状況の追跡により、よりスムーズなエクスペリエンスを実現します。(AS-4)
プレビュー
Contrast AI SmartFix:SmartFixにより、開発者は脆弱性の修正に費やす時間と労力を大幅に削減し、機能の開発により集中できるようになります。Contrast独自のランタイムコンテキスト(完全なデータフロー、スタックトレース、HTTPリクエストなど)とAIを活用することで、Contrast Assessで検出された重大かつ高リスクの脆弱性に対する修正をSmartFixが自動生成します。SmartFixは、お客様の組織で承認され、自己管理されているLLMと連携してコードを解析します。そして、提案された修正を含むプルリクエストをGitHub内に作成します。このプルリクエストには、オプションでソリューションを検証するためのセキュリティに関する単体テストも含まれます。
Contrast AI SmartFixは6月の限定リリース機能であり、一般提供されるまではリクエストがあればご利用頂けます。
修正された不具合
SARIF出力とGitHub Advanced Security:本リリースでは、SARIFファイル生成の問題に対処し、基になるデータが不完全な場合でも、GitHub Advanced Security(GHAS)へのアップロードが正常に行われるようになりました。以前は、情報が不足していると、アップロードプロセス中にエラーが発生していました。今回のリリースによって、より堅牢なSARIFファイルが生成され、GHASとの互換性と使い勝手が向上しました。(SCA-1867)
ライブラリタブの権限:「ライブラリ」タブの静的ライブラリのフィルタでユーザ権限が正しく適用されていなかった問題を修正しました。以前は、ユーザが割り当てられたアクセス権に関係なく、全ての静的SCAプロジェクトが誤って表示されてしまうことがありました。この修正により、静的ライブラリのフィルタに権限が適切に適用され、ユーザは許可されたプロジェクトのみを閲覧できるようになりました。(SCA-1994)
SaaS版のContrastが、2025年5月20日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
.NETプロジェクトに対するCLI:.NETプロジェクトに対して検査を実行する際に、
--legacyフラグの指定が不要になりました。これにより、検査結果はアプリケーションタブではなくプロジェクトタブに表示されるようになります。(RFE-247)アプリケーションの負荷調整アルゴリズムの向上:Contrastでコードを戦略的に解析する方法を調整できるようにするために、負荷調整アルゴリズムを強化しました。これらの設定は、サーバの設定でAssessが有効になっている場合に使用できます。この設定を使用して、アプリケーションの負荷レベルを選択できます。サーバに設定されている環境に応じて、アプリケーションの負荷の割合とパフォーマンスへの影響のバランスをとることができます。(AS-8)
日付範囲オプションの改善:ATTR(修復までの平均復時間)グラフで使用可能な日付範囲オプションをいくつか追加しました。(AS-7)
修正された不具合
データのマスキングが、概要、詳細、リクエストタブの全ての部分で正しく行われるように不具合を修正しました。以前は、これらの一部でのみマスクされ、別のタブに切り替えるとマスクされていない値が表示される不具合がありました。(PHP-1207)
非推奨の機能
CodeSec EOL:ContrastのCodeSecは、2025年5月1日にサポート終了(EOL)となります。2025年1月28日もって、新規のユーザはCodeSecにサインアップできなくなっています。既存のCodeSecユーザは、サポート終了日までアクセスできます。
5月1日以降にアクセスが必要なCodeSecユーザの方へ:
既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。
Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。
SaaS版のContrastが、2025年4月15日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
新しいロゴへの変更:Contrastのログインページ、ログアウトページ、エラーページ、Contrast Webインターフェイスのバナーのロゴを更新しました。
最初の検出タイムスタンプによるルートカバレッジ追跡の強化:アプリケーションのルートカバレッジタブに最初の検出列を追加しました。Contrastで特定のルートが最初に検出された日時を特定できるようになりました。(PROD-3457)
SARIF出力の改善: Contrast Assess(IAST)とSCAの情報でエクスポートできるSARIFファイルの形式と内容を改善しました。この改善によって、VSCode連携やGitHub Issuesとの互換性が向上しました。(SCA-1953)
Contrastのセキュリティオブザーバビリティの改善:オブザーバビリティ画面のデータ表示とパフォーマンスを改善しました。(ADR-193)
修正された不具合
メンテナンス時間後にJiraの接続が中断する問題を修正しました。(PROD-3513)
非推奨の機能
CodeSec EOL:ContrastのCodeSecは、2025年5月1日にサポート終了(EOL)となります。2025年1月28日もって、新規のユーザはCodeSecにサインアップできなくなっています。既存のCodeSecユーザは、サポート終了日までアクセスできます。
5月1日以降にアクセスが必要なCodeSecユーザの方へ:
既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。
Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。
SaaS版のContrastが、2025年3月18日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
ADRによるインシデント管理:ADRの新機能および改善された機能
攻撃イベントをMITRE ATT&CK戦術にマッピング:この機能強化によって、防御側は攻撃者の活動に対する可視性が向上します。EDRやWAFなどのセキュリティスタックの他の要素からのマッピングと組み合わせることで、精度が向上し、長期にわたる多段階攻撃キャンペーン中のセキュリティ情報をより詳細に把握できます。これらのマッピングは、脅威検知のギャップを特定し、将来のユースケース開発に役立つ検知カバレッジのヒートマップを作成することもできます。Contrastの攻撃イベントタブを表示し、フィルタを使用して目的の攻撃イベントを選択すると、マッピングされたMITRE戦術が表示されます。この機能は、ADRのSaaS版で利用可能です。(ADR-5)
カテゴリ分けされた深刻度の定義によるイベントの優先順位付けの改善:攻撃イベントの深刻度を更新し、トリアージと対応作業に優先順位を決定できるようにしました。この機能強化により、重要なイベントに迅速に対処し、セキュリティワークフローが効率化されます。この機能は、ADRのSaaS版で利用可能です。(ADR-4)
オペレータフレームワークの最新化:.NET 8と完全に互換性を持つようエージェントオペレータを更新しました。最新の .NETフレームワークを活用することで、古いテクノロジに関連する潜在的なセキュリティの脆弱性が最小限に抑えられます。(PROD-3333)
複数のユーザエージェントキーによる堅牢なエージェント認証:アプリケーション内の複数のユーザやチームに対するユーザキーのサポートを追加しました。これにより、組織の管理者は、より的確で範囲を限定したキーを作成し、アクセス制御を強化することができます。さらに、キーローテーションのプロセスが改善され、アプリケーションのダウンタイムがなくなります。(PROD-3155)
最初の検出のタイムスタンプによるサーバ監視の強化:Contrast Webインターフェイスのサーバタブに最初の検出列を追加しました。サーバが登録された時間を特定し、異常を迅速に検出できるようにしました。(PROD-3458)
サーバからのSBOM生成・CycloneDX/SPDX形式の更新 SBOMエクスポートでは、CycloneDXの形式をバージョン1.4から1.6に更新し、SPDX 3.0のサポートを追加しました。また、サーバーレベルとアプリケーションレベルでSBOMを生成する機能を追加しました。(PROD-3356)
Contrastオブザーバビリテにおける詳細なセキュリティ制御の報告:(この機能はJava アプリケーションでのみサポート)アプリケーションの動作をより完全に把握するために、処理の種類に新たにセキュリティ制御を追加しました。この変更により、セキュリティ制御によって実行された処理が、観測(observe)モードの他の処理と一貫した形式で報告されるようになりました。各セキュリティ制御の処理には、次の属性が含まれます。
種類
API
正規表現(種類が正規表現の場合)
対象ルール(「全てのルール」または選択したルールのカンマ区切りリスト)
名前(利用可能な場合)
(PROD-2372)
Helmチャートのデプロイの改善:セキュリティとデプロイの一貫性を強化するために、名前空間管理のベストプラクティスに準拠するようHelmチャートを更新しました。既存の指定された名前空間へのデプロイを推奨し、サポートするようになりました。(RFE-222)
脆弱性タブ内のフィルタリングオプションの拡張:<en>でのProtectルール列で脆弱性をフィルタリングする機能を追加しました。これにより、Contrast ADRで監視モードやブロックモードの脆弱性、または対象外の脆弱性をすばやく確認できます。(PROD-3359)
攻撃イベントデータのエクスポート機能:問題のトリアージをサポートするために、 攻撃イベントデータをエクスポートする機能を新たに追加しました。これにより、攻撃イベントデータをダウンロードして、考えられる問題を特定し、必要に応じてデータを共有することができます。(ADR-90)
非推奨の機能
CodeSec EOL:ContrastのCodeSecは、2025年5月1日にサポート終了(EOL)となります。2025年1月28日もって、新規のユーザはCodeSecにサインアップできなくなっています。既存のCodeSecユーザは、サポート終了日までアクセスできます。
5月1日以降にアクセスが必要なCodeSecユーザの方へ:
既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。
Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。
SaaS版のContrastが、2025年2月20日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
CVEの詳細:CVEの詳細情報の画面を改善して、より使いやすくしました。CVEが組織に与える影響を迅速に把握できるようにしました。「Contrastでの最初の検出」によって、影響を受ける期間に関する洞察が得られます。「組織への影響」には、影響を受けるアプリケーションとサーバが表示されます。 「深刻度」、「CVSSスコア」、「EPSS」などの主要な指標は、リスクの全範囲を理解し、対策の優先順位付けに役立ちます。(PROD-2972)
強化されたサーバクリーンアップ:アクティブでないサーバに関連付けられた履歴ルートを削除するために、 強化されたサーバクリーンアップの機能を追加しました。これは、主に一時的なサーバを使用し、アプリケーションの特定の時点の検査として、Contrast Assessの結果を個別に管理しているお客様に最適です。継続的なアプリケーション検査を長期間実行するサーバの場合は、 ルートの有効期限ポリシーを設定することが引き続き推奨されるアプローチです。強化されたサーバクリーンアップの機能で、古くなったサーバ、ルート、脆弱性を同時にクリーンアップすることで、Contrast Assessの結果を管理するのに役立ちます。(PROD-3060)
フィンガープリントにより自動生成される任意のセッションメタデータ:Contrastでは、セッションメタデータが定義されていない場合でも、アプリケーションの一意のビルドを追跡して報告するようになりました。これにより、重要な情報を簡単に絞り込むことができ、必要な情報をすばやく見つけることができます。また、手動で設定する必要もありません。(PROD-1745)
この機能をサポートするエージェントの最小バージョンは次のとおりです。
Java 6.11.1
.NET Framework 51.1.9
.NET Core 4.3.9
Python 9.7
Node 5.24
サーバの詳細:サーバのライブラリタブで、ライブラリを選択して詳細を表示すると、アプリケーション一覧に、そのサーバで使用されているアプリケーションが表示されるようになりました。(PROD-3489)
特定のレコード名:IP拒否リストまたは仮想パッチの攻撃イベントが報告されると、一般的なIP拒否リストや仮想パッチラベルの代わりに、個々のIP拒否リストまたは仮想パッチのレコードの特定の名前が表示されるようになりました。(PROD-3547)
ロールのコピー:既存のロールをコピーして設定を変更し、新しいロールとして追加することができるようになりました。ロールのコピーは、同一または類似の設定を持つ複数のロールが必要な場合や、特定のロールをテンプレートとして使用する場合に便利です。なお、これはロールベースのアクセス制御ユーザ向けの機能です。(PROD-3276)
修正された不具合
RBAC: RBAC(ロールベースのアクセス制御)を改善しました。(PROD-3206)
上位5つのエンドポイントとゲートウェイでのパフォーマンスの向上
10以上のバグ修正と改善
非推奨の機能
CodeSec EOL:ContrastのCodeSecは、2025年5月1日にサポート終了(EOL)となります。2025年1月28日もって、新規のユーザはCodeSecにサインアップできなくなっています。既存のCodeSecユーザは、サポート終了日までアクセスできます。
5月1日以降にアクセスが必要なCodeSecユーザの方へ:
既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。
Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。
SaaS版のContrastは、2025年1月21日にリリースされました。
新機能と改善点
MS Teamsインテグレーション:Microsoftがこちらで共有しているように、2025年1月のWebhook URLの廃止後もお客様が引き続きMS Teamsを使用できるようにするために、Power Automateによるインテグレーションのサポートを追加しました。これはリクエストによって有効になります。変更に備えて、 インテグレーションのドキュメントの指示に従うことをお勧めします。完了したら、サポートに連絡してこのインテグレーションを有効にして下さい。なお、MS Teamsのインテグレーションを使用していて、1月31日までにこれらの変更を行わない場合、連携できなくなります。(PROD-3092)
Contrast AssessとADRのマッピング:Contrast AssessおよびAVMの結果をADR(アプリケーションにおける検知と対応)に関連付け、脆弱性に対応するADRルールがあるかを確認できます。 (PROD-2619)
新機能:Wizインテグレーション:Wizインテグレーションの追加により、ContrastからWizのデプロイ環境にアプリケーションに関するランタイムセキュリティ情報を送信できるようになりました。(PROD-2694)
AIによるガイダンス: Contrast AIは、AIガイダンスによって、検出された脆弱性の修正方法に関して、アプリケーションで使用されるフレームワークやライブラリに特化した追加情報を提供します。現在は米国のユーザのみが利用可能で、デフォルトでは無効になっています。これは、「組織の設定」で有効にできます。(PROD-3064)
Jiraのインテグレーション:Jiraインテグレーションの機能を強化しました。
アクティビティタブのコメントを同期して、 アクティビティタブとJiraの課題間でコメントをリンクする機能を追加しました。 Jira管理者は、 コメントに関するアクションを使用してJiraにWebhookを登録して設定する必要があります。(PROD-3118)
期限切れの認証情報を削除する機能を追加しました。(PROD-3119)
Jiraに送信される機密情報をマスクする機能を選択できるようになりました。チケットの作成時に課題のタイトルと追加のフィールドの機密情報を削除します。(PROD-3120)
Jiraチケットに脆弱性に関連するセッションメタデータを表示する機能を追加しました。(PROD-3369)
RBAC:RBAC(ロールベースのアクセス制御)管理者は、ユーザの一覧およびプロパティからユーザを無効にできるようになりました。これにより、ユーザとユーザのエンドポイントは非アクティブになりますが、ユーザの記録は非アクティブステータスのままContrastに保持されます。(PROD-3194)
Contrast Assessの脆弱性の報告:監査ログの記録に、集計された脆弱性ダッシュボードからのレポートのダウンロードの詳細が含まれるようになりました。このレポートの利用をご希望の場合は、担当のアカウントマネージャーまでご連絡下さい。(PROD-3198)。
CLIのリソースグループコマンド:新しいリソースグループコマンド(Contrast CLIのAudit機能)によって、SCAプロジェクトを生成時に必要なリソースグループを指定できるようになりました。(PROD-3352)
ライブラリビューにおけるアプリケーション:「サーバ」セクションの「ライブラリ」タブを参照すると、アプリケーションの一覧にサーバ上のアプリケーションが明確に表示されるようになりました。(PROD-3489)
アーカイブ
SaaS版のContrastは、2024年12月10日にリリースされました。
ContrastのMS Teamsインテグレーションに関する事前通知
2025年1月31日、Microsoft TeamsのOffice365コネクタサービス内のWebhookベースのコネクタは、さらなるサービス強化更新の実装に伴い、新しいURLに移行します。この移行は、ContrastのMS Teamsインテグレーションに影響します。そのため、1月のリリースの一環として、この変更に対応するようMS Teamsインテグレーションを更新しています。MS Teamsインテグレーションをご利用のお客様は、こちらのガイドを参考に、変更に備えて頂くようお願いします。今後の変更の詳細については、Microsoft Teams(プレビュー)のページをご覧下さい。
新機能と改善点
Contrast Scanの脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。(PROD-3103)
SaaS版のContrastは、2024年11月12日にリリースされました。
新機能と改善点
新機能:新しいデータサービスに基づく攻撃イベントのビューにより、パフォーマンスの向上、より優れた安定性、データ保持期間の延長、およびユーザエクスペリエンス全体の改善を実現しました。(PROD-2300、PROD-2308、PROD-2330、PROD-2654、PROD-2935)
新機能:監査ログの表示を更新・改善しました。(PROD-2094、PROD-3158、PROD-3083、PROD-3074、PROD-3075)
既存の全ての組織を対象にロールベースのアクセス制御(RBAC)を「プレビュー」モードでリリースしました。(PROD-3098、PROD-3211、PROD-3204)
新しい組織は、「運用」モードでRBACを使用することになります。
SaaS版のContrastは、2024年10月8日にリリースされました。
新機能と改善点
エージェンウィザードを更新し、エージェントの導入プロセスを改善・簡素化しました。(PROD-3079、PROD-3080、PROD-3081、 PROD-3089)
最小限のライブラリのアップグレードを推奨する情報を追加しました。この推奨は、可能な限り脆弱性が含まれていない、現在使用中のライブラリに最も近いバージョンを特定します。(PROD-3072)
Contrast Scanローカルエンジンでカスタムルールの例外を作成するためのドキュメントを追加しました。(PROD-2824)
Contrast Scanの脆弱性の深刻度を変更できる機能を追加しました。(PROD-2951)
Contrast Scanの脆弱性をCWEでフィルタできる機能を追加しました。(PROD-3046)
Contrast Scanの脆弱性を修正するためのSecure Code Warriorの推奨事項を追加しました。(PROD-2577)
プレビュー機能: 組織内のユーザのロールベースのアクセス制御の権限を表示する機能を追加しました。(PROD-2573)
この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。
プレビュー機能: ユーザが自分のロールベースのアクセス制御の権限を表示する機能を追加しました(PROD-2572)
この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。
SaaS版のContrastは、2024年8月13日にリリースされました。
新機能と改善点
エージェントウィザード(新規登録からアクセス)のワークフローを改善し、Contrastにアプリケーションを登録するタスクを簡素化しました。(PROD-2812)
エージェントウィザードにContrastエージェント設定エディタへのリンクを追加しました。(PROD-2773)
プレビュー機能:攻撃イベントのデータの表示と管理を容易にする新しい 攻撃イベントページ。(PROD-2300)
この機能を利用するには、Contrastの担当者までお問い合わせください。
新機能:新しい監査APIで、監査ログのイベントを照会する機能を追加しました。(PROD-2887)
この新しいAPIを使用すると、監査ログで、SAST(Contrast Scan)、Contrast Assess、およびロールベースのアクセス制御(RBAC)のイベントを照会できます。SASTとRBACの新しいイベントには、以下のものがあります。
SAST :
プロジェクトの作成/削除
スキャンの実行
脆弱性ステータスの変更
RBAC:
ユーザの作成/更新/削除
リソースグループの作成/更新/削除
ロールの作成/更新/削除(組込みロールの更新を含む)
ユーザアクセスグループの作成/更新/削除
プレビュー機能:オープン中およびクローズ済の脆弱性の集計データ、脆弱性の修復のための平均時間の傾向などを示すレポートダッシュボード。このダッシュボードにアクセスするには、 ユーザメニュー>レポートダッシュボードに移動します。(PROD-3097)
ロールベースのアクセス制御 (プレビュー機能):カスタムロールの追加時に、選択したアクションに一致するリソースグループを選択するのに役立つ通知メッセージを追加しました。(PROD-2878)
選択したアクションとリソースが一致しない場合に通知が表示されます。
SaaS版のContrastは、2024年7月16日にリリースされました。
新機能と改善点
新機能!セキュリティオブザーバビリティ: この新機能で、実行時のアプリケーションのセキュリティアーキテクチャと動作がモデル化されます。この情報を使用して、脅威モデリング、ペネトレーションテストのサポート、脆弱性と攻撃に関するコンテキスト情報に関して、アプリケーションの基盤となる動きをよりよく理解することができます。
現在、この機能はJavaアプリケーションのみをサポートしています。
新機能!Contrast AssessとContrast SCAの検出結果を含むSARIFファイルの生成
新しいCLIコマンドの
sarifを使用すると、特定のアプリケーションに対して、Contrast AssessとContrast SCAの検出結果を含むSARIFファイルを作成できるようになりました。(PROD-2809)Contrast Scanの脆弱性ステータスの一括編集:Contrast Scanの複数の脆弱性のステータスを同時に変更できるようになりました。(PROD-2760)
Contrast Scanの前回のスキャンによるフィルタ:指定した期間に基づいてスキャンの表示をフィルタリングできるようになりました。(PROD-3045)
SaaS版のContrastは、2024年6月14日にリリースされました。
新機能と改善点
PHPエージェントのContrast Protect:PHPエージェントが、Contrast Protectのルールと機能をサポートするようになりました。コマンドインジェクション、SQLインジェクション、パストラバーサル、反射型クロスサイトスクリプティング、ボットのブロック、IPのブロック、機密データのマスキングに対応しています。 (PROD-1636)
脆弱性タブの機能拡張:「スキャンプロジェクト」の「脆弱性」タブで、脆弱性がある特定の言語が言語列に表示されるようになりました。列の言語によって検出結果をフィルタリングすることもできます。(PROD-2796、PROD-2798)
CSVレポートの改良:Contrast ScanのCSVレポートの生成で、フィルタの選択に基づいて特定の条件のみを含めることができるようになりました。(PROD-2933)
認証:組織でシングルサインオン(SSO)が有効になっていない場合は、多要素認証(MFA)の利用を強く推奨します。そのため、MFAの有効化を推奨するメッセージを表示するようにしました。(PROD-1881)
Maven Wrapper:Contrast CLIで、Maven Wrapperをサポートするようになりました。(PROD-3021)
エンドポイントパフォーマンスの向上:
/Contrast/api/ng/?/libraries/filterエンドポイントのパフォーマンスを改善しました。(SCA-1671)
SaaS版のContrastは、2024年5月14日にリリースされました。
新機能と改善点
互換性チェックの機能を追加しました。アプリケーションにエージェントを組み込んだ後に、ルートを決定するフレームワークがサポート対象であるかどうかがContrastでチェックされるようになりました。ルート探索中に検出されたフレームワークの詳細が、Contrastダッシュボードに表示されます。この機能は、現在、Javaエージェントと.NETエージェントの最新バージョンでサポートされています。(PROD-2447)
Javaエージェントに、gRPCのサポートを追加しました。(PROD-2546)
Javaエージェントに、Glassfish 5と6およびPayara 5と6のサポートを追加しました。(PROD-2792)
.NETエージェントに、gRPCのサポートを追加しました。(PROD-2289)
Release date: August 4, 2025
New and improved:
Update VSCode IDE. The VS Code IDE extension has been enhanced to include comprehensive Software Composition Analysis (SCA) capabilities. This new feature allows developers and security teams to efficiently identify and manage security vulnerabilities and licensing issues in open-source libraries directly within their development environment. Now you can get a holistic view of your application's security posture, including detailed insights, advanced filtering, and policy monitoring for all your dependencies. (PROD-3631)
Preview:
Support for VMware for Tanzu v6. This is scheduled for release on August 22, 2025. The Tanzu update enhances security, platform compatibility, and network functionality by upgrading core components to support TAS 6.0, migrating to a modern Ubuntu OS (Jammy Jellyfish 22), and integrating new service proxy capabilities. (PROD-3601)
Release date: July 31, 2025
New and improved:
Contrast Security ADR integration with Sumo Logic®. This integration allows the Contrast Security ADR platform to send attack events to your Sumo Logic. With the dedicated app, you can now parse, normalize, and correlate these events in Sumo Logic Cloud SIEM.
リリース日: 2025年7月15日
新機能と改善点:
ADRユニバーサルフォワーダー:セキュリティワークフローを効率化する機能です。Contrastの検出結果をHTTP(s)経由でのデータ取り込みに対応したあらゆるソリューションに転送できるようにしました。新しい設定画面より、イベントやインシデントのデータを、選択したSIEM、ログ分析ツール、セキュリティデータレイクなど、その他のセキュリティ運用プラットフォームに直接送信できます。(PROD-3531)
リリース日: 2025年6月17日
新機能と改善点:
Contrast Visual Studio Code IDEプラグインを更新し、Contrast Scanをサポートするようにしました。この更新により、IDEで SAST(静的アプリケーションセキュリティテスト)および IAST(インタラクティブアプリケーションセキュリティテスト)の脆弱性情報を取得できます。(PROD-3102)
Azure Boardsとのインテグレーションで、チケットのタイトルにアプリケーション名の接頭辞をオプションで追加できるようになりました。設定画面に新たに追加されたこのチェックボックスにより、特にAzure DevOps内で多数のアプリケーションを管理する場合に、脆弱性チケットがどのアプリケーションのものであるかを一目で簡単に識別できるようになります。(INT-1277)
Azure Boardsとのインテグレーションで、Contrastによって作成されたADOチケット内でカスタムフィールドが自動入力されるようになりました。カスタムフィールドのプリセット値が設定されるようになったため、チケットの自動作成時と手動送信時の両方で手動入力が不要になり、ワークフローが効率化されます。(INT-1278)
Splunkへの新しいインシデントオブジェクトのリアルタイムストリーミングを機能を追加し、既存のイベントデータを補完するようにしました。Splunkのマーケットプレイスに公開された新しいアプリケーションによって、このインシデントデータをCIM(情報共通化標準)にパースすることで、他のイベントと併せてインシデントをトリアージし、アプリケーションインフラの包括的なリスク分析を可能にしますす。(PROD-3521)
Contrast IntelliJプラグインは、IntelliJ IDEAのバージョン2025.1まで、およびその他の幅広いJetBrains製IDEと完全に互換性を持つようになりました。この更新により、APIの非推奨に関する全ての問題が解決され、最新の開発環境で機能が円滑に動作することが保証されます。(INT-1270)
リリース日:2025年5月20日
新機能と改善点:
Gradleプラグイン3.0.0
プラグインを
Gradleプラグインポータルにリリースしました。GradleプラグインにContrast Assessのサポートを追加:verifyゴールは、統合テスト中にContrast Assessで検出される脆弱性により、プロジェクトのセキュリティポリシーに違反していないことを検証します(違反が検知された場合はビルドは失敗します)。
(JAVA-8252)
Contrast Java SDK 3.4.3
Serverモデルにタグを追加しました。(JAVA-9200)
修正された不具合:修正された不具合:
Mavenプラグイン2.13.3
ターゲットフォルダがクリーンアップされたか存在しない場合に、Mavenプラグインがエージェントのダウンロードに失敗する問題を修正しました。
(JAVA-8975)
リリース日: 2025年4月15日
新機能と改善点:
Azure Pipelinesの拡張機能に改訂を行い、改善しました。 (PROD-3504)
Azure Boardsとのインテグレーションを更新しました。チケット内の機密情報を除外するオプション、双方向インテグレーションオプション、認証情報の管理、Contrastのセッションメタデータの送信機能を追加しました。(PROD-3144、PROD-3143、PROD-3114、PROD-3370)
Maven 3.9.9およびGradleプラグインをサポートするようにJava エージェントを更新しました。(PROD-2855)
Jiraチケットで送信される修正方法の情報にContrast AIガイダンスへのリンクを追加しました。(PROD-3431)
Azure Boardsチケットで送信される修正方法の情報にContrast AIガイダンスへのリンクを追加しました。(PROD-3576)
修正された不具合:
メンテナンス時間後にJiraの接続が中断する問題を修正しました。(PROD-3513)
リリース日: 2025年3月18日
新機能と改善点:
Contrast ADRは、Splunkとの新しいAPIベースのインテグレーションにより、アプリケーションポートフォリオ全体にわたって、攻撃と脆弱性悪用に関してタイムリーで実用的な情報を提供できるようになりました。(PROD-3269)
リリース日:2025年2月20日
新機能と改善点:
プレビュー: SASTをサポートするようVisual Studio Code IDEプラグイン を更新しました。(PROD-3112)
IntelliJ IDEプラグインのSASTおよびランタイムのサポートを更新しました。(PROD-2753)
リリース日:2025年1月21日
新機能と改善点:
新機能:Wizインテグレーションの追加により、ContrastからWizのデプロイ環境にアプリケーションに関するランタイムセキュリティ情報を送信できるようになりました。(PROD-2694)
Microsoftがこちらで共有しているように、2025年1月のWebhook URLの廃止後もお客様が引き続きMS Teamsを使用できるようにするために、Power Automateによるインテグレーションのサポートを追加しました。これはリクエストによって有効になります。変更に備えて、 インテグレーションのドキュメントの指示に従うことをお勧めします。完了したら、サポートに連絡してこのインテグレーションを有効にして下さい。なお、MS Teamsのインテグレーションを使用していて、1月31日までにこれらの変更を行わない場合、連携できなくなります。(PROD-3092)
アクティビティタブコメントを同期して、 アクティビティタブとJiraの課題間でコメントをリンクする機能を追加しました。 Jira管理者は、 コメントに関するアクションを使用してJiraにWebhookを登録して設定する必要があります。(PROD-3118)
期限切れの認証情報を削除する機能を追加しました。(PROD-3119)
Jira に送信される機密情報をマスクする機能を選択できるようになりました。チケットの作成時に課題のタイトルと追加のフィールドの機密情報を削除します。(PROD-3120)
MS Teamsインテグレーションに日本語のサポートを追加しました。(PROD-3261)
Jiraチケットに脆弱性に関連するセッションメタデータを表示する機能を追加しました。(PROD-3369)
修正された不具合:
Contrastの脆弱性データとJiraチケット間で双方向のステータス更新が機能しなくなる不具合を修正しました。(PROD-3117)
リリース日: 2024年12月10日
ContrastのMS Teamsインテグレーションに関する事前通知
2025年1月31日、Microsoft TeamsのOffice365コネクタサービス内のWebhookベースのコネクタは、さらなるサービス強化更新の実装に伴い、新しいURLに移行します。この移行は、ContrastのMS Teamsインテグレーションに影響します。そのため、1月のリリースの一環として、この変更に対応するようMS Teamsインテグレーションを更新しています。MS Teamsインテグレーションをご利用のお客様は、こちらのガイドを参考に、変更に備えて頂くようお願いします。今後の変更の詳細については、Microsoft Teams(プレビュー)のページをご覧下さい。
リリース日: 2024年8月29日
これらの更新は、Contrast ScanローカルエンジンおよびContrastのSaaS版で使用できるソースコードスキャンエンジンに適用されます。
新機能と改善点:
誤検知を減らすために、多数の言語にわたって大幅な改善を行いました。
Naturalソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。
COBOLソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。
Kotlinのサポートバージョンを1.6.0に更新しました。
Java 16および17のファイルのスキャンのサポートを追加しました。
Vue.JSのサポートを改善しました。
修正された不具合:
ソースコードスキャンエンジンが全てのスキャンで失敗する原因となっていたバグを修正しました。
リリース日: 2025年4月15日
新機能と改善点:
新たな脆弱性が発生した場合にのみブランチのスキャンを失敗させる、新しいオプションを追加しました。
チェックサム:
MD5チェックサム: fa99a209ba3662a198df735fa4c795eb
SHA1チェックサム: 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff
SHA256チェックサム: e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(SastXX.shaまたはMD5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2025年6月19日
新機能と改善点:
[en] Added support for Ruby.
The Scan local engine now uses the latest version of Spring Boot.
修正された不具合:
Fixed a bug where the specified resource group wasn't added to a request to create a branch. This behavior could cause an error about multiple resource groups being found.
チェックサム:
MD5チェックサム: fa99a209ba3662a198df735fa4c795eb
SHA1チェックサム: 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff
SHA256チェックサム: e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(SastXX.shaまたはMD5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2025年5月20日
新機能と改善点:
[en] Added support for scanning Ruby applications.
修正された不具合:
スキャンローカルエンジンの動作とパフォーマンスを改善するための複数の修正を行いました。
チェックサム:
MD5チェックサム: 15cc75a7d22f289f3ff4dbe31c865b2074b00ed57ff0b3546d07e1f8bd0849a6
SHA1チェックサム: 1b2e7a7759274d24a16cd12392d79826ff6d3238
SHA256チェックサム:
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(SastXX.shaまたはMD5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2025年4月15日
新機能と改善点:
新たな脆弱性が発生した場合にのみブランチのスキャンを失敗させる、新しいオプションを追加しました。
修正された不具合:
スキャンローカルエンジンの動作とパフォーマンスを改善するための複数の修正を行いました。
チェックサム:
MD5チェックサム: fa99a209ba3662a198df735fa4c795eb
SHA1チェックサム: 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff
SHA256チェックサム: e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(SastXX.shaまたはMD5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2025年3月18日
新機能と改善点:
以下のルールを追加しました。
ASP.NET Core | オープンソースの.NET向けWebフレームワークアプリケーションのSqlCommand(SQLインジェクション)で使用される特殊要素の不適切な無害化
JavaScriptのリモートコード実行の不適切な無害化
コードベース全体でLog4jライブラリを更新しました。
スキャンされたコードとファイルの合計行数を特定してアップロードする機能を追加しました。
修正された不具合:
特定の状況下でのPHPスキャンによるスタックオーバーフローエラーを修正しました。
エンジンが一部のC#拡張メソッドを適切に解析できない問題を修正しました。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年11月26日
新機能と改善点:
スキャンローカルエンジンに新たに
--metadataオプションを追加しました。スキャンプロジェクトの作成時にメタデータを指定できるようになりました。Semgrepオープンソースエンジンを使用したRustとTerraformのオプションサポートを追加しました。
これらの言語のコードをスキャンし、その結果をContrastのWebインターフェイスに送信するには、Semgrepエンジンをダウンロードする必要があります。Contrast Scanローカルエンジンでこれらの言語のいずれかが検出されると、該当するファイルがSemgrepに送信されます。そして、Semgrepエンジンによって作成されたSARIFファイルと、Contrast Scanローカルエンジンによって作成されたSARIFファイルが統合されます。
この機能についての詳細は、Semgrepエンジンによる言語のスキャンを参照下さい。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年10月8日
新機能と改善点:
ローカルスキャンエンジンで
--memoryオプションを利用できるようになりました。推奨事項:ローカルスキャンエンジンのメモリ割り当てを12GB以上にしてください。メモリ割り当てが少ないと、バイナリスキャンエンジンのパフォーマンスと精度に悪影響を与える可能性があります。
ノイズと過検知の可能性を減らすために、C、C++、ObjectiveC言語の
.hファイルは暗黙的にスキャンされなくなりました。これらの言語のスキャン中に、ソースコードが
.hファイルを呼び出している場合は、そのファイルはコード解析全体の一部としてスキャンされます。
チェックサム:
MD5チェックサム: fa99a209ba3662a198df735fa4c795eb
SHA1チェックサム: 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff
SHA256チェックサム: e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(SastXX.shaまたはMD5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年8月29日
新機能と改善点:
多言語スキャンエンジンからのログを改善する
--levelコマンドオプションを追加しました。特定のログレベルのログ記録を有効にするには、ERROR、WARN、INFO、DEBUG、TRACEのいずれかの値を使用してください。このオプションは、すべてのスキャンで使用するのではなく、Contrastのサポート担当から指示された場合にのみ使用してください。
新しいログファイルを作成する前の最大ログサイズを20MBに変更しました。
修正された不具合:
ソースコードスキャンエンジンで全てのスキャンが失敗する原因となる不具合がありました。操作を再開するには、すべてのお客様がローカルエンジンをバージョン1.1.2にアップグレードする必要があります。
以前のバージョンはすべてサポート終了となります。
Contrastのバージョン管理ポリシーを理解するには、 Contrast Scanローカルエンジンのサポートバージョンをご確認ください。今後のすべてのリリースに適用されるポリシーについて説明しています。
チェックサム:
MD5チェックサム: 7be87ce1ab990c45e91c7060e5300ce2
SHA1チェックサム: e55d9fa9323dc93bc29d4f68e927763c6e5fb12b
SHA256チェックサム: ef8c84c1ad4549ab4e22a638dbf5d5d4d5700f6209ddcabfe66a20639880e0be
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年6月14日
新機能と改善点:
Contrast Scanローカルエンジンで、スキャン毎に一意の出力フォルダが作成されるようになりました。フォルダ名の場所は、
.contrast-scan/<CURRENT_TIMESTAMP>です。<CURRENT_TIMESTAMP>は、スキャンが実行された日時です。
修正された不具合:
結果の重複を避けるため、C/C++言語の設定を更新しました。
以前のバージョンのContrast Scanローカル エンジンでは、
.hファイルと.cファイルをC++とCのルールを使用して解析していました。この動作により、重複する脆弱性が報告されていました。最新バージョンのスキャンエンジンでは、重複する脆弱性は報告されなくなりました。以前にこの問題が発生した場合は、新しいバージョンのスキャンエンジンを実行すると、重複する脆弱性のステータスが修復済に変更されます。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.1になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年4月30日
新機能と改善点:
Javaバイナリスキャナに、
com.azure、org.apache、com.nimbusdsの除外を追加しました。Contrast Scanローカルエンジンに、
--severityパラメータを追加し、ビルドの失敗ステータスを取得できるようにしました。指定する値は、ビルド失敗のステータスコードを返す最小の深刻度で、パイプラインでビルドをゲートするために使用できます。例えば、
--severity highを指定すると、この深刻度(high)以上の検出結果があった場合に、ビルド失敗のステータスコードが返されます。Contrast ScanローカルエンジンにGitHubアクションを使用する場合の複数ブランチのスキャンをサポートするようになりました。
再利用可能なスクリプトで、Contrast Scanローカルエンジンをダウンロードできるようになりました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.0になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.0.10の場合、X.X.XXを1.0.10に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日:2024年3月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンの利用をリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
CLIオプションに
--timeoutを追加し、多言語ソースコードのスキャンエンジンが指定されたソースコードをスキャンする最長時間を制御できるようにしました。このオプションの値には、時間を分単位で指定します。このオプションは、各言語に適用されます。例えば、リポジトリに4つの言語がある場合に、このオプションの値を120分に設定すると、スキャンに最大8時間(120分 x 4言語)かかる可能性があります。
この機能は、ローカルスキャンエンジンに対してのみ使用できます。
ファイルとフォルダを除外する機能を追加しました。
この機能を使用するには、スキャンするソースコードのルートフォルダに
.contrast-scan.jsonという名前のファイルを追加します。ファイルとフォルダの除外にて、この機能の使用方法について説明しています。この機能は、ローカルスキャンエンジンでのみ利用可能で、多言語ソースコードのスキャンでのみサポートされます。
JSONファイルのファイル形式は次のとおりです。
// File name ".contrast-scan.json" { "excludes": [ "**/MavenWrapperDownloader.java", "**/*.js" ] }多言語ソースコードのスキャンで、送信されたコード内で対象テクノロジを検出できない場合、スキャンを自動的に失敗するようにしました。
修正された不具合:
競合状態を引き起こし、パフォーマンスが低下する可能性があるバグを修正しました。
SARIFファイルへの出力で誤った日付形式が生成される不具合を修正しました。この誤った日付形式によって、GitHubでSARIF出力を使用する際にエラーが発生していました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.9となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年2月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
Githubユーザ向けにリポジトリのスキャンのサポートを追加しました。
Contrast Scanのバージョン1.0.8から、Githubリポジトリでのメインブランチのスキャンをサポートする新しいGithubアクションに対応するようになりました。この機能によって、指定した脆弱性の深刻度以上が存在する場合に、ビルドを失敗させることができます。詳しくは、GitHubリポジトリでContrast Scanを使用をご覧ください。
多言語スキャンエンジンの最小メモリ要件を8GBに増やし、タイムアウト設定を60分に増やしました。これは、Javaバイナリスキャナを使用する.JARと.WARファイルのスキャン時の最小メモリ要件である12GBを置き換えるものではありません。ローカルスキャンエンジンのすべてのユーザは、スキャンの実行時に12GBのメモリを使用できるようにすることを引き続きお勧めします。
修正された不具合:
ローカルスキャンエンジンでのスキャン時に、一部の言語が多言語スキャンエンジンで正しく識別されない問題に対処しました。多言語ソースコードのスキャンエンジンで識別される全ての言語が正しく特定され、スキャンされるようになりました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.8となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年1月25日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
多言語ソースコードに対応したスキャンエンジンで使用されるメモリを2Gに増やし、より大きなコードベースをサポートできるようにしました。ローカルスキャンエンジンを使用する場合の最小メモリ要件は、12GBのままです。
CLIに
--memoryパラメータを追加しました。これにより、多言語ソースコードに対応したスキャンエンジンの割り当てメモリをオーバーライドできます。ローカルスキャンエンジンの起動時に使用されたパラメータをキャプチャするためのログを追加しました。このログ記録によって、ローカルスキャンエンジンを呼び出したコマンド全体(例えば、
-r、-pなど)がキャプチャされ、トラブルシューティング時に使用できます。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.7となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
修正された不具合:
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年12月14日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
修正された不具合:
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.4となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年11月
注記
Contrast Scanローカルエンジン1.0.3は、現在制限付きのリリースとなっています。そのため、現時点ではチェックサム情報は提供されません。
このバージョンをご利用頂くには、サポートチケットを発行してリクエストしてください。ご不便をおかけして申し訳ございませんが、早急に対応させて頂きます。
新機能と改善点:
2023年11月29日
ロールベースのアクセス制御の認証の問題を修正しました。空のリソースグループにプロジェクトを割り当てようとした場合や、ユーザが複数のリソースグループにアクセスできるにも関わらずリソースグループを指定しなかった場合に、403エラーがトリガーされる可能性がありました。
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成時にContrast CLIの
-r <リソースグループ名>オプションが必須になりました。
2023年11月8日
Contrast Scanローカルエンジンは、25以上の言語のソースコードのスキャンに対応するようになりました。対応する言語の一覧は、Contrast Scanのサポート対象言語を参照して下さい。
ローカルエンジンは、適切なJVMを実行しているWindows環境でネイティブに実行できるようになりました。
スキャンするアーティファクトのパスにスペースを使用すると、致命的なスキャンエラーが発生する問題を修正しました。
ローカルスキャンエンジンから不要なログを削除し、Javaバイナリファイル(JARファイルまたはWARファイル)のスキャン時の全ディスク領域の使用率を削減しました。
Alpine Linuxで実行するとローカルスキャンエンジンが失敗する問題を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.3となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年7月24日
修正された不具合:
ローカルスキャナで、複数のJARファイル内に見つかった全ての脆弱性が報告されていなかったバグを修正しました。ZIPファイル内で最後にスキャンされたJARファイルのみが報告されていました。
MD5チェックサム:f57f9174d0643832f9e38b95998fe280
SHAチェックサム: 8b2f5680111c5a4e5999a3449ee871bb822d27f6
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XXを0.0.60に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年5月22日
新機能と改善点:
プロジェクトを始めてスキャンする時に、ローカルスキャンエンジンのパラメータとして、リソースグループを指定できる機能が追加されました。
この機能を利用するには、組織でロールベースのアクセス制御が有効になっており、新しいプロジェクトを作成するための十分な権限(Manage Projectロール以上)が必要です。
リソースグループ名は、
-rパラメータで指定します。
MD5チェックサム: 0fa38c5c9e46e3b2c6bdb2d2ed3baa20
SHAチェックサム: 76fe00f7d70d45176904a2b62a9d1083f0731a03
注記
チェックサムの生成方法
MD5 : 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XXを0.0.60に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年4月6日
新機能と改善点:
複数JARのスキャンに対応
このリリースでは、複数のJARファイルを1つのアーティファクトとしてスキャンできる機能が追加されました。複数のJARファイルをZIPファイルに追加し、1つのアーティファクトとしてスキャンすることができます。
複数JARのZIPファイルをスキャンするには、最上位レベルでJARファイルをZIPファイルにパッケージし、通常通りContrast Scanローカルエンジンを使用してスキャンします。例:
multiple-jar-artifact.zip -> artifact1.jar -> artifact2.jar -> artifact3.jar
スキャンが完了すると、Contrast Webインターフェイスでは、「スキャン」タブの下に1つのプロジェクトとして表示されます。
修正された不具合:
リリース0.0.57から0.0.59に、スキャンの動作やパフォーマンスに影響しない内部のバグ修正が含まれています。
リリース日: 2025年7月4日
新機能と改善点:
Contrast Scanの検出結果と共にダウンロードするSARIFファイルに、報告された脆弱性に対応するCVE情報が含まれるようになりました。
リリース日: 2025年6月17日
新機能と改善点:
スキャンプロジェクトの脆弱性を表示する際に、OWASP関連のリスクを表示およびフィルタリングできるようになりました。
リリース日: 2025年5月20日
新機能と改善点:
複数のスキャンプロジェクトを同時にアーカイブする機能を追加しました。
Contrast Webインターフェイスで実行するスキャンにファイルやフォルダを除外できる機能を追加しました。
組織レベルでスキャンプロジェクトの動的スコアリングを設定する機能を追加しました。
リリース日: 2025年4月15日
新機能と改善点:
スキャンプロジェクトの一覧に、スキャンプロジェクトを作成した日時を示す「作成日時」列を追加しました。
この機能は、新しいスキャンにのみ適用されます。
スキャンプロジェクトページに、ファイルの除外とポリシーに基づいて対象外となったファイルとルールを表示する新しいタブを追加しました。
このタブは、Contrast Scanローカルエンジンを使用したスキャンでのみ使用できます。
Contrast Webインターフェイスで、スキャン対象のコードアーティファクトをアップロードする際に、アップロードが完了する前にページを離れるとアップロード操作がキャンセルされるという警告メッセージが表示されるようにしました。
Contrast Webインターフェイスで、失敗したスキャンの通知を設定できるようになりました。
リリース日: 2025年3月18日
新機能と改善点:
個別のスキャンでスキャンされたコードの合計行数を表示する機能を追加しました。
個別のスキャンでスキャンされたファイルの総数を表示する機能を追加しました。
スキャンで使用されたローカルスキャナのバージョンを表示する機能を追加しました。
リリース日:2025年2月20日
新機能と改善点:
プロジェクトのデフォルトのソートを調整しました。
デフォルトでは、プロジェクトは自動的に前回のスキャン日で昇順に並び替えられるようになりました(新しいプロジェクトが一番上、古いプロジェクトが一番下)。
スキャンプロジェクトのページの「前回のスキャン」列のフィルターに過去90日間のオプションを追加しました。
ロールベースのアクセス制御が有効になっている組織の場合、スキャンプロジェクトのページに、プロジェクトが関連付けられているリソースグループが表示されるようになりました。
表示されるリソースグループは、ログインしているユーザのロールに基づいています。ユーザのロールに応じて、ユーザごとに異なるリソースグループが表示される場合があります。例えば、一般的なユーザには、管理者権限を持つユーザとは異なるリソースグループが表示される場合があります。
スキャンプロジェクトのページに「ブランチ」タブを追加しました。
このタブは、ローカルエンジンでbranchコマンドを使用してスキャンを実行する場合にのみ表示されます。
リリース日: 2025年1月21日
新機能と改善点:
脆弱性のソースに関する情報を追加しました。
該当する場合、脆弱性の概要には、ソースファイル名と行番号とコードスニペット、およびシンクファイル名と行番号とコードスニペットが表示されます。
スキャンが失敗した理由の情報を追加しました。
「スキャン履歴」で、スキャン失敗のメッセージにカーソルを合わせると、スキャン失敗の理由に関する情報を表示するツールヒントが表示されます。
リリース日: 2024年12月10日
新機能と改善点:
脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。
修正された不具合:
スキャンプロジェクトのタグとしてメタデータの値が表示されない問題を修正しました。
リリース日: 2024年11月26日
新機能と改善点:
スキャンプロジェクトのメタデータをサポートするようになりました。
メタデータはキーと値のペアで構成され、スキャンプロジェクトのページに表示されます。必要なメタデータが指定されていない場合に、スキャンプロジェクトの作成を制限することができます。
現在、この機能は新しいスキャンプロジェクトでのみ利用できます。
わかりやすさを向上させるために、スキャンの脆弱性一覧でソースファイル名と行番号が表示されるようになりました。
修正された不具合:
他のフィルタを選択した場合に、「スキャンプロジェクト」ページの「言語」列で対象言語が正しく反映されないバグを修正しました。
脆弱性の概要にあるコードスニペットが大きすぎるために、スキャンが失敗したかのように表示されるバグを修正しました。
リリース日: 2024年10月8日(2024年10月17日更新)
新機能と改善点:
2,000件を超える脆弱性を含むCSVファイルをダウンロードする際に、2,000件までの脆弱性を含む結果のページを個別に選択できるようにしました。例えば、レポートに5,400件の脆弱性が含まれている場合、ダウンロード時に、1ページ、2ページ、または3ページを選択できます。各ページを個別にダウンロードし、後で組み合わせることができます。
複数のページを選択することはサポートしていません。
コンプライアンス対応レポートに含まれる脆弱性の数を100件から3,000件に増やしました。
一般的な脆弱性レポートに含まれる脆弱性の数を3,000件に増やしました。
脆弱性タブに、脆弱性のCWEを表示する新しい列を追加しました。この列には、表示を絞り込むために使用できるフィルタがあります。
「プロジェクトの閲覧、編集、削除」アクション(ロールベースのアクセス制御)、または組織のAdminロール(組織のユーザおよびグループによるアクセス制御)を持つユーザが、検出された脆弱性の深刻度を変更できる機能を追加しました。
脆弱性の深刻度を変更するには、現在の深刻度を選択し、ドロップダウンからオプションを選択します(例えば、「高」を選択したら、「重大」や「中」に変更します)。
同じ種類の脆弱性が複数存在する場合は、選択した脆弱性の深刻度のみを変更するか、一致する全ての脆弱性の深刻度を変更するかを選択できます。その後のスキャンでは、この深刻度の変更は上書きされません。
各脆弱性に、Secure Code Warriorのガイドラインのタブを追加しました。このタブには、特定の脆弱性に関連するCWEを使用して、Secure Code Warriorのガイドラインとトレーニング動画の情報が提供されます。この情報の目的は、脆弱性に関する追加のコンテキストと、その解決方法を提供することです。
可能な限り、ガイドラインは脆弱性のあるコードの言語に対応したものになっています。CWEがその言語をサポートしていない場合、タブには一般的なガイドラインが表示されます。特定のCWEに関するガイドラインや情報が存在しない場合、タブは利用できません。
リリース日: 2024年9月10日
新機能と改善点:
脆弱性のステータスを問題無しに変更しても、その後のスキャンで脆弱性が検出されなかった場合に修復済に変更されることがありました。この問題を修正しましたので、問題無しのステータスが変わることはありません。
脆弱性を再度検査するには、ステータスを確認済または疑わしいに変更してください。
単一の脆弱性のステータスを変更し、その変更を同じ種類の全ての脆弱性に適用できるようになりました。
リリース日: 2024年8月29日
新機能と改善点:
スキャンプロジェクトのタグを作成する機能を追加しました。
スキャンプロジェクトにタグを追加で、この機能の使い方法について説明しています。
新機能:一般的な脆弱性レポート(CSVレポートに基づくPDFレポート)の提供
このレポートには、深刻度とステータスに基づき、プロジェクトにおけるオープン中の脆弱性のうち、最初の3,000件が含まれます。
同じ種類のすべての脆弱性のステータスを同時に変更する機能を追加しました。
一度に多数の脆弱性(1,000件以上)のステータスを更新する場合、この変更が完了するまでに数分かかることがあります。この処理が完了すると、Contrast Webインターフェイスにメッセージが表示されます。
前回のスキャンの日付を使用して、スキャンプロジェクトをフィルタリングおよびソートする機能を追加しました。
リリース日: 2024年7月16日
新機能と改善点:
スキャンの脆弱性ステータスの一括編集で説明しているように、複数の脆弱性のステータスを同時に更新する機能を追加しました。
修正された不具合:
VB.NETおよびABAPの脆弱性に関して、修正方法が正しく表示されない場合があった問題を修正しました。
リリース日: 2024年6月11日
新機能と改善点:
検出された脆弱性に関連付けられた言語を表示する機能を追加しました。
「言語」列に新しくコンテンツを表示するには、プロジェクトで新しいスキャンを実行してください。以前に行ったスキャンに対しては、Contrast Webインターフェイスで言語の情報は表示されません。
言語を正しく識別するためには、Contrast Scanローカルエンジンのバージョン1.1.1を使用する必要があります。以前のバージョンのローカルエンジンを使用すると、Contrast Webインターフェイスに言語として複合が表示されます。これが表示され、Contrast Scanローカルエンジンを使用している場合は、バージョン1.1.1にアップグレードしてください。
検出された脆弱性に関連付けられた言語で、表示をフィルタリングする機能を追加しました。
修正された不具合:
修正方法の情報がWebインターフェイスに正しく表示されていなかった問題を修正しました。
C++の脆弱性とC#の脆弱性が、2回カウントされていた問題を修正しました。
この変更の結果、システムの修正ワークフローによって、C++の場合、重複して検出された脆弱性は「修復済」とマークされることになりました。C#の場合、重複して検出された脆弱性は「オープン」ステータスのままとなります。
リリース日: 2024年5月14日
修正された不具合:
Contrast Scanのコンプライアンス対応レポート生成時のパフォーマンスの問題により、レポートの生成は、深刻度とステータスに基づいて100件のオープン中の脆弱性に制限されるようになりました。より大きなレポートは、今後対応する予定です。
Contrastへのファイルアップロードで、500MBを超えるファイルによってメモリ不足(OOM)エラーが発生する可能性があり(特にScan CLIコマンドを使用した場合)、この問題に対応しました。この修正によって、ファイルのアップロードサイズが1GBを超えることはありませんが、Contrast WebインターフェイスへのアップロードとCLIへのアップロード間で一貫した操作性を提供できるようになりました。1GBを超えるリポジトリがある場合は、Contrast Scanのローカルエンジンの使用を検討してください。
リリース日: 2024年4月25日
新機能と改善点:
各脆弱性のコードスニペットが含まれるようにCSVレポートを拡張しました。
各脆弱性のパスからファイル名と行番号を確認できるようにCSVレポートを変更しました。
ステータスが 修復済および問題無しの脆弱性を除くようにCSVレポートを変更しました。
CSVレポートをプログラムで生成する際に、APIコールにフィルタを指定できる機能を追加しました。
CSVレポートをタイムリーに生成して、パフォーマンスの問題に対処するために、CSVレポートは、深刻度とステータスに基づいて最初の2,000件のオープン中の脆弱性に制限するようにしました。
2,000行の制限を超えるCSVレポートを作成する場合のために、CSVレポート生成時のAPIにページネーションを追加しました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
リリース日: 2024年3月
修正された不具合:
競合状態を引き起こし、Contrast Webインターフェイスのパフォーマンスが低下する可能性があるバグを修正しました。
Contrast Webインターフェイスで、プロジェクトの検索時に検索パラメータの一部としてアンダースコア(_)を指定するとエラーになる不具合を修正しました。
リリース日: 2024年1月
新機能と改善点:
2024年1月25日
新機能と改善点:
Contrast Webインターフェイスのスキャンプロジェクトページで、多言語ソースコードのスキャンエンジンで検出された言語が表示されるようになりました。
検出された言語に基づいてスキャンプロジェクトを検索する機能を追加しました。
修正された不具合:
多言語ソースコードに対応したスキャンエンジンが呼び出された際に、スキャンの失敗を示唆していたCLIのバグを修正しました。
スキャンの完了後に、検出された脆弱性の一覧がCLIの出力に表示されないCLIのバグを修正しました。
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
リリース日: 2023年12月
新機能と改善点:
2023年12月14日
新機能:「スキャンプロジェクト」ページおよびスキャンプロジェクトページの「脆弱性」タブから、スキャンプロジェクトのコンプライアンス対応レポートを作成できるようになりました。
ユーザが脆弱性のステータスを修正完了に変更できる機能を削除しました。このステータスは、後続のスキャンでソースコードに脆弱性がまだ存在するかどうかに基づいて、スキャンエンジンによって判定されます。
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
リリース日: 2023年11月
新機能と改善点:
2023年11月28日
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成にリソースグループの指定が必要になりました。スキャンプロジェクトの作成画面には、プロジェクトを作成しているユーザに割り当てられているリソースグループの一覧を表示するドロップダウンがあります。ユーザのロールに割り当てられたリソースグループが1つの場合は、このリソースグループがデフォルトの選択になります。
また、ユーザにはプロジェクトの作成アクションが含まれたロールが必要です。
スキャンプロジェクトの作成にて、この新しい要件について説明しています。
2023年11月8日
新機能: Contrast Scanで2種類のスキャンを提供するようになりました。Javaファイル用のJavaバイナリスキャンと、その他の多くの言語やテクノロジ用のソースコードスキャンです。
ソースコードスキャンを選択した場合、スキャンしたいソースコードが含まれるZIPファイルをアップロードします。
新機能: Contrast Scanのサポート対象言語とテクノロジに記載されているように、ソースコードスキャンによってスキャンのサポート対象が拡張され、25以上の言語とテクノロジが追加されました。このソースコードスキャンを使用するには、新しいプロジェクトを作成する際に、ソースコードのオプションを選択して下さい。
SaaS版ご利用の場合: Contrast Scanでは、ソースコードスキャンの多言語検出に対応するようになりました。ZIPファイルをアップロードすると、ZIPファイル内に存在する言語がスキャンエンジンによって判別されて、各ファイルがスキャンされます。結果は、Contrastで1つのスキャンプロジェクトで表示されます。
スキャンプロジェクトの作成時に言語を選択する必要がなくなりました。Contrast Scan側で、アップロードするコードアーティファクトの種類を判別できるようになりました。複数のJARやソースコードを含むZIPファイルだけでなく、単一のJARやWARファイルも引き続きサポートされます。
ダウンロードできるCSVファイルに2つのフィールドを追加しました。
Language(言語):脆弱性の言語を示します。
Comment(コメント):脆弱性に対する最後のコメントを表します。
既存のプロジェクトに対して新たにスキャンを実行すると、これらのフィールドがCSVファイルに入ります。
リリース日:2023年6月
新機能と改善点
2023年6月30日
脆弱性の現在のステータスを変更することなく、脆弱性のステータスにコメントできる機能を追加しました。特定の脆弱性の「アクティビティ」タブで、コメントを追加できます。
2023年6月12日
スキャンページとスキャンの詳細ページの上部にプロジェクト作成者の名前を表示することで、誰がプロジェクトを作成したかを確認できるようになりました。
プロジェクトの特定のスキャンを誰が実行したかを確認できるようになりました。
スキャンページの「スキャン履歴」で、特定のスキャンを実行した人の名前が表示されるよう、名前の列を新規に追加しました。スキャンの詳細ページにもスキャンを実行した人が表示されます。
注記
上記の機能は、いずれも新規プロジェクトおよび新規スキャンに適用されます。既存のプロジェクトやスキャンには、これらの新情報は表示されません。
リリース日: 2023年5月
新機能と改善点:
Javaバイナリスキャナが複数JARのスキャンに対応するようになりました。
SaaS版のJavaバイナリスキャナを使用する場合(Contrast CLIまたはContrast Webインターフェイスを使用)、1つのZIPファイルに複数のJARファイルを含めることができるようになりました。
アップロードできるZIPファイルのサイズの上限は、1GBです。
リリース日: 2023年4月
新機能と改善点:
プロジェクト内の脆弱性に対して行われたステータスの変更に関する情報を表示する、脆弱性のアクティビティタブを追加しました。
このタブを表示するには、選択したスキャンプロジェクトの「脆弱性」タブを選択し、特定の脆弱性を選択します。
プロジェクト内の脆弱性のステータスを変更する際に、コメントを追加できるようになりました。
全てのプロジェクトを管理できるロールのあるユーザに対して、Contrast Webインターフェイスでプロジェクトと関連する全てのデータを削除できる機能を追加しました。