SaaS版のリリース情報

新しいロゴへの変更：Contrastのログインページ、ログアウトページ、エラーページ、Contrast Webインターフェイスのバナーのロゴを更新しました。

最初の検出タイムスタンプによるルートカバレッジ追跡の強化：アプリケーションのルートカバレッジタブに最初の検出列を追加しました。Contrastで特定のルートが最初に検出された日時を特定できるようになりました。(PROD-3457)

SARIF出力の改善： Contrast Assess(IAST)とSCAの情報でエクスポートできるSARIFファイルの形式と内容を改善しました。この改善によって、VSCode連携やGitHub Issuesとの互換性が向上しました。(SCA-1953)

Contrastのセキュリティオブザーバビリティの改善：オブザーバビリティ画面のデータ表示とパフォーマンスを改善しました。(ADR-193)

メンテナンス時間後にJiraの接続が中断する問題を修正しました。(PROD-3513)

既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。

Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。

ADRによるインシデント管理：ADRの新機能および改善された機能

オペレータフレームワークの最新化：.NET 8と完全に互換性を持つようエージェントオペレータを更新しました。最新の .NETフレームワークを活用することで、古いテクノロジに関連する潜在的なセキュリティの脆弱性が最小限に抑えられます。(PROD-3333)

複数のユーザエージェントキーによる堅牢なエージェント認証：アプリケーション内の複数のユーザやチームに対するユーザキーのサポートを追加しました。これにより、組織の管理者は、より的確で範囲を限定したキーを作成し、アクセス制御を強化することができます。さらに、キーローテーションのプロセスが改善され、アプリケーションのダウンタイムがなくなります。(PROD-3155)

最初の検出のタイムスタンプによるサーバ監視の強化：Contrast Webインターフェイスのサーバタブに最初の検出列を追加しました。サーバが登録された時間を特定し、異常を迅速に検出できるようにしました。(PROD-3458)

サーバからのSBOM生成・CycloneDX/SPDX形式の更新 SBOMエクスポートでは、CycloneDXの形式をバージョン1.4から1.6に更新し、SPDX 3.0のサポートを追加しました。また、サーバーレベルとアプリケーションレベルでSBOMを生成する機能を追加しました。(PROD-3356)

Contrastオブザーバビリテにおける詳細なセキュリティ制御の報告：(この機能はJava アプリケーションでのみサポート)アプリケーションの動作をより完全に把握するために、処理の種類に新たにセキュリティ制御を追加しました。この変更により、セキュリティ制御によって実行された処理が、観測(observe)モードの他の処理と一貫した形式で報告されるようになりました。各セキュリティ制御の処理には、次の属性が含まれます。

Helmチャートのデプロイの改善：セキュリティとデプロイの一貫性を強化するために、名前空間管理のベストプラクティスに準拠するようHelmチャートを更新しました。既存の指定された名前空間へのデプロイを推奨し、サポートするようになりました。(RFE-222)

脆弱性タブ内のフィルタリングオプションの拡張：<en>でのProtectルール列で脆弱性をフィルタリングする機能を追加しました。これにより、Contrast ADRで監視モードやブロックモードの脆弱性、または対象外の脆弱性をすばやく確認できます。(PROD-3359)

攻撃イベントデータのエクスポート機能：問題のトリアージをサポートするために、 攻撃イベントデータをエクスポートする機能を新たに追加しました。これにより、攻撃イベントデータをダウンロードして、考えられる問題を特定し、必要に応じてデータを共有することができます。(ADR-90)

既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。

Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。

CVEの詳細：CVEの詳細情報の画面を改善して、より使いやすくしました。CVEが組織に与える影響を迅速に把握できるようにしました。「Contrastでの最初の検出」によって、影響を受ける期間に関する洞察が得られます。「組織への影響」には、影響を受けるアプリケーションとサーバが表示されます。 「深刻度」、「CVSSスコア」、「EPSS」などの主要な指標は、リスクの全範囲を理解し、対策の優先順位付けに役立ちます。(PROD-2972)

強化されたサーバクリーンアップ：アクティブでないサーバに関連付けられた履歴ルートを削除するために、 強化されたサーバクリーンアップの機能を追加しました。これは、主に一時的なサーバを使用し、アプリケーションの特定の時点の検査として、Contrast Assessの結果を個別に管理しているお客様に最適です。継続的なアプリケーション検査を長期間実行するサーバの場合は、 ルートの有効期限ポリシーを設定することが引き続き推奨されるアプローチです。強化されたサーバクリーンアップの機能で、古くなったサーバ、ルート、脆弱性を同時にクリーンアップすることで、Contrast Assessの結果を管理するのに役立ちます。(PROD-3060)

フィンガープリントにより自動生成される任意のセッションメタデータ：Contrastでは、セッションメタデータが定義されていない場合でも、アプリケーションの一意のビルドを追跡して報告するようになりました。これにより、重要な情報を簡単に絞り込むことができ、必要な情報をすばやく見つけることができます。また、手動で設定する必要もありません。(PROD-1745)

この機能をサポートするエージェントの最小バージョンは次のとおりです。

サーバの詳細：サーバのライブラリタブで、ライブラリを選択して詳細を表示すると、アプリケーション一覧に、そのサーバで使用されているアプリケーションが表示されるようになりました。(PROD-3489)

特定のレコード名：IP拒否リストまたは仮想パッチの攻撃イベントが報告されると、一般的なIP拒否リストや仮想パッチラベルの代わりに、個々のIP拒否リストまたは仮想パッチのレコードの特定の名前が表示されるようになりました。(PROD-3547)

ロールのコピー：既存のロールをコピーして設定を変更し、新しいロールとして追加することができるようになりました。ロールのコピーは、同一または類似の設定を持つ複数のロールが必要な場合や、特定のロールをテンプレートとして使用する場合に便利です。なお、これはロールベースのアクセス制御ユーザ向けの機能です。(PROD-3276)

RBAC： RBAC(ロールベースのアクセス制御)を改善しました。(PROD-3206)

既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。

Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。

MS Teamsインテグレーション：Microsoftがこちらで共有しているように、2025年1月のWebhook URLの廃止後もお客様が引き続きMS Teamsを使用できるようにするために、Power Automateによるインテグレーションのサポートを追加しました。これはリクエストによって有効になります。変更に備えて、 インテグレーションのドキュメントの指示に従うことをお勧めします。完了したら、サポートに連絡してこのインテグレーションを有効にして下さい。なお、MS Teamsのインテグレーションを使用していて、1月31日までにこれらの変更を行わない場合、連携できなくなります。(PROD-3092)

Contrast AssessとADRのマッピング：Contrast AssessおよびAVMの結果をADR(アプリケーションにおける検知と対応)に関連付け、脆弱性に対応するADRルールがあるかを確認できます。 (PROD-2619)

新機能：Wizインテグレーション：Wizインテグレーションの追加により、ContrastからWizのデプロイ環境にアプリケーションに関するランタイムセキュリティ情報を送信できるようになりました。(PROD-2694)

AIによるガイダンス： Contrast AIは、AIガイダンスによって、検出された脆弱性の修正方法に関して、アプリケーションで使用されるフレームワークやライブラリに特化した追加情報を提供します。現在は米国のユーザのみが利用可能で、デフォルトでは無効になっています。これは、「組織の設定」で有効にできます。(PROD-3064)

Jiraのインテグレーション：Jiraインテグレーションの機能を強化しました。

RBAC：RBAC(ロールベースのアクセス制御)管理者は、ユーザの一覧およびプロパティからユーザを無効にできるようになりました。これにより、ユーザとユーザのエンドポイントは非アクティブになりますが、ユーザの記録は非アクティブステータスのままContrastに保持されます。(PROD-3194)

Contrast Assessの脆弱性の報告：監査ログの記録に、集計された脆弱性ダッシュボードからのレポートのダウンロードの詳細が含まれるようになりました。このレポートの利用をご希望の場合は、担当のアカウントマネージャーまでご連絡下さい。(PROD-3198)。

CLIのリソースグループコマンド：新しいリソースグループコマンド(Contrast CLIのAudit機能)によって、SCAプロジェクトを生成時に必要なリソースグループを指定できるようになりました。(PROD-3352)

ライブラリビューにおけるアプリケーション：「サーバ」セクションの「ライブラリ」タブを参照すると、アプリケーションの一覧にサーバ上のアプリケーションが明確に表示されるようになりました。(PROD-3489)

2025年1月31日、Microsoft TeamsのOffice365コネクタサービス内のWebhookベースのコネクタは、さらなるサービス強化更新の実装に伴い、新しいURLに移行します。この移行は、ContrastのMS Teamsインテグレーションに影響します。そのため、1月のリリースの一環として、この変更に対応するようMS Teamsインテグレーションを更新しています。MS Teamsインテグレーションをご利用のお客様は、こちらのガイドを参考に、変更に備えて頂くようお願いします。今後の変更の詳細については、Microsoft Teams(プレビュー)のページをご覧下さい。

Contrast Scanの脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。(PROD-3103)

新機能：新しいデータサービスに基づく攻撃イベントのビューにより、パフォーマンスの向上、より優れた安定性、データ保持期間の延長、およびユーザエクスペリエンス全体の改善を実現しました。(PROD-2300、PROD-2308、PROD-2330、PROD-2654、PROD-2935)

新機能：監査ログの表示を更新・改善しました。(PROD-2094、PROD-3158、PROD-3083、PROD-3074、PROD-3075)

既存の全ての組織を対象にロールベースのアクセス制御(RBAC)を「プレビュー」モードでリリースしました。(PROD-3098、PROD-3211、PROD-3204)

新しい組織は、「運用」モードでRBACを使用することになります。

エージェンウィザードを更新し、エージェントの導入プロセスを改善・簡素化しました。(PROD-3079、PROD-3080、PROD-3081、 PROD-3089)

最小限のライブラリのアップグレードを推奨する情報を追加しました。この推奨は、可能な限り脆弱性が含まれていない、現在使用中のライブラリに最も近いバージョンを特定します。(PROD-3072)

Contrast Scanローカルエンジンでカスタムルールの例外を作成するためのドキュメントを追加しました。(PROD-2824)

Contrast Scanの脆弱性の深刻度を変更できる機能を追加しました。(PROD-2951)

Contrast Scanの脆弱性をCWEでフィルタできる機能を追加しました。(PROD-3046)

Contrast Scanの脆弱性を修正するためのSecure Code Warriorの推奨事項を追加しました。(PROD-2577)

プレビュー機能： 組織内のユーザのロールベースのアクセス制御の権限を表示する機能を追加しました。(PROD-2573)

この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。

プレビュー機能： ユーザが自分のロールベースのアクセス制御の権限を表示する機能を追加しました(PROD-2572)

この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。

新機能：APIおよびCLIを使用して、Contrast AssessまたはSCAの脆弱性のSARIFファイルを生成する機能を追加しました。(PROD-3084)

2,000件以上のスキャン結果を含むContrast ScanのCSVレポートをダウンロードする機能を追加しました。(PROD-3005)

ダウンロードする結果の各ページを選択するオプションがあります。

エージェントウィザード(新規登録からアクセス)のワークフローを改善し、Contrastにアプリケーションを登録するタスクを簡素化しました。(PROD-2812)

エージェントウィザードにContrastエージェント設定エディタへのリンクを追加しました。(PROD-2773)

プレビュー機能：攻撃イベントのデータの表示と管理を容易にする新しい 攻撃イベントページ。(PROD-2300)

この機能を利用するには、Contrastの担当者までお問い合わせください。

新機能：新しい監査APIで、監査ログのイベントを照会する機能を追加しました。(PROD-2887)

この新しいAPIを使用すると、監査ログで、SAST(Contrast Scan)、Contrast Assess、およびロールベースのアクセス制御(RBAC)のイベントを照会できます。SASTとRBACの新しいイベントには、以下のものがあります。

プレビュー機能：オープン中およびクローズ済の脆弱性の集計データ、脆弱性の修復のための平均時間の傾向などを示すレポートダッシュボード。このダッシュボードにアクセスするには、 ユーザメニュー>レポートダッシュボードに移動します。(PROD-3097)

ロールベースのアクセス制御 (プレビュー機能)：カスタムロールの追加時に、選択したアクションに一致するリソースグループを選択するのに役立つ通知メッセージを追加しました。(PROD-2878)

選択したアクションとリソースが一致しない場合に通知が表示されます。

新機能！セキュリティオブザーバビリティ： この新機能で、実行時のアプリケーションのセキュリティアーキテクチャと動作がモデル化されます。この情報を使用して、脅威モデリング、ペネトレーションテストのサポート、脆弱性と攻撃に関するコンテキスト情報に関して、アプリケーションの基盤となる動きをよりよく理解することができます。

現在、この機能はJavaアプリケーションのみをサポートしています。

新機能！Contrast AssessとContrast SCAの検出結果を含むSARIFファイルの生成

新しいCLIコマンドのsarifを使用すると、特定のアプリケーションに対して、Contrast AssessとContrast SCAの検出結果を含むSARIFファイルを作成できるようになりました。(PROD-2809)

Contrast Scanの脆弱性ステータスの一括編集：Contrast Scanの複数の脆弱性のステータスを同時に変更できるようになりました。(PROD-2760)

Contrast Scanの前回のスキャンによるフィルタ：指定した期間に基づいてスキャンの表示をフィルタリングできるようになりました。(PROD-3045)

PHPエージェントのContrast Protect：PHPエージェントが、Contrast Protectのルールと機能をサポートするようになりました。コマンドインジェクション、SQLインジェクション、パストラバーサル、反射型クロスサイトスクリプティング、ボットのブロック、IPのブロック、機密データのマスキングに対応しています。 (PROD-1636)

脆弱性タブの機能拡張：「スキャンプロジェクト」の「脆弱性」タブで、脆弱性がある特定の言語が言語列に表示されるようになりました。列の言語によって検出結果をフィルタリングすることもできます。(PROD-2796、PROD-2798)

CSVレポートの改良：Contrast ScanのCSVレポートの生成で、フィルタの選択に基づいて特定の条件のみを含めることができるようになりました。(PROD-2933)

認証：組織でシングルサインオン(SSO)が有効になっていない場合は、多要素認証(MFA)の利用を強く推奨します。そのため、MFAの有効化を推奨するメッセージを表示するようにしました。(PROD-1881)

Maven Wrapper：Contrast CLIで、Maven Wrapperをサポートするようになりました。(PROD-3021)

エンドポイントパフォーマンスの向上：/Contrast/api/ng/?/libraries/filterエンドポイントのパフォーマンスを改善しました。(SCA-1671)

互換性チェックの機能を追加しました。アプリケーションにエージェントを組み込んだ後に、ルートを決定するフレームワークがサポート対象であるかどうかがContrastでチェックされるようになりました。ルート探索中に検出されたフレームワークの詳細が、Contrastダッシュボードに表示されます。この機能は、現在、Javaエージェントと.NETエージェントの最新バージョンでサポートされています。(PROD-2447)

Javaエージェントに、gRPCのサポートを追加しました。(PROD-2546)

Javaエージェントに、Glassfish 5と6およびPayara 5と6のサポートを追加しました。(PROD-2792)

.NETエージェントに、gRPCのサポートを追加しました。(PROD-2289)