SaaS版のリリース情報

CVE details: The improved CVE details screen now has key enhancements and helps you quickly understand the impact of CVEs on your organization. First Seen in Contrast provides insights into your exposure window, while the Organizational Impact highlights which applications and servers are affected. Key metrics like Severity, CVSS score, and EPSS help you understand the full scope of risk and prioritize remediation efforts. (PROD-2972)

Enhanced server cleanup: Contrast now offers enhanced server cleanup to remove historical routes associated with inactive servers. This is ideal for customers with ephemeral servers, in which each test run of a Contrast-instrumented application is used to represent a unique, point-in-time scan. For continuous instrumentation and long-running servers, route expiration remains the recommended approach. Enhanced server cleanup helps manage Assess results by simultaneously cleaning up outdated servers, routes, and vulnerabilities. (PROD-3060)

Automatically set arbitrary session metadata via Fingerprinting: Contrast will track and report unique builds of your application, even when session metadata has not been defined. This makes it easy for you to refine your view of important information so you can find what you need quickly while also eliminating manual configuration steps. (PROD-1745)

The minimum agent versions that support this feature are:

Server details: When a user opens the Server > Libraries tab and selects a library to view its details, they will now see the server-specific applications on the application list. (PROD-3489)

Specific record names: When attack events are reported for IP denylists or virtual patches, the specific name of the individual IP denylist or virtual patch record will be displayed instead of the generic IP denylist or Virtual Patch labels. (PROD-3547)

RBAC: Items for improved RBAC (Role-based access control). (PROD-3206)

Existing Contrast customers will continue to have access to the CLI by connecting to their instance. Customers will need to authenticate using their user credentials and can follow this documentation to do so.

Non-Contrast customers are encouraged to Try Contrast to explore our complete portfolio or contact a sales representative at info@contrastsecurity.com.

MS Teamsインテグレーション：Microsoftがこちらで共有しているように、2025年1月のWebhook URLの廃止後もお客様が引き続きMS Teamsを使用できるようにするために、Power Automateによるインテグレーションのサポートを追加しました。これはリクエストによって有効になります。変更に備えて、 インテグレーションのドキュメントの指示に従うことをお勧めします。完了したら、サポートに連絡してこのインテグレーションを有効にして下さい。なお、MS Teamsのインテグレーションを使用していて、1月31日までにこれらの変更を行わない場合、連携できなくなります。(PROD-3092)

Contrast AssessとADRのマッピング：Contrast AssessおよびAVMの結果をADR(アプリケーションにおける検知と対応)に関連付け、脆弱性に対応するADRルールがあるかを確認できます。 (PROD-2619)

新機能：Wizインテグレーション：Wizインテグレーションの追加により、ContrastからWizのデプロイ環境にアプリケーションに関するランタイムセキュリティ情報を送信できるようになりました。(PROD-2694)

AIによるガイダンス： Contrast AIは、AIガイダンスによって、検出された脆弱性の修正方法に関して、アプリケーションで使用されるフレームワークやライブラリに特化した追加情報を提供します。現在は米国のユーザのみが利用可能で、デフォルトでは無効になっています。これは、「組織の設定」で有効にできます。(PROD-3064)

Jiraのインテグレーション：Jiraインテグレーションの機能を強化しました。

RBAC：RBAC(ロールベースのアクセス制御)管理者は、ユーザの一覧およびプロパティからユーザを無効にできるようになりました。これにより、ユーザとユーザのエンドポイントは非アクティブになりますが、ユーザの記録は非アクティブステータスのままContrastに保持されます。(PROD-3194)

Contrast Assessの脆弱性の報告：監査ログの記録に、集計された脆弱性ダッシュボードからのレポートのダウンロードの詳細が含まれるようになりました。このレポートの利用をご希望の場合は、担当のアカウントマネージャーまでご連絡下さい。(PROD-3198)。

CLIのリソースグループコマンド：新しいリソースグループコマンド(Contrast CLIのAudit機能)によって、SCAプロジェクトを生成時に必要なリソースグループを指定できるようになりました。(PROD-3352)

ライブラリビューにおけるアプリケーション：「サーバ」セクションの「ライブラリ」タブを参照すると、アプリケーションの一覧にサーバ上のアプリケーションが明確に表示されるようになりました。(PROD-3489)

2025年1月31日、Microsoft TeamsのOffice365コネクタサービス内のWebhookベースのコネクタは、さらなるサービス強化更新の実装に伴い、新しいURLに移行します。この移行は、ContrastのMS Teamsインテグレーションに影響します。そのため、1月のリリースの一環として、この変更に対応するようMS Teamsインテグレーションを更新しています。MS Teamsインテグレーションをご利用のお客様は、こちらのガイドを参考に、変更に備えて頂くようお願いします。今後の変更の詳細については、Microsoft Teams(プレビュー)のページをご覧下さい。

Contrast Scanの脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。(PROD-3103)

新機能：新しいデータサービスに基づく攻撃イベントのビューにより、パフォーマンスの向上、より優れた安定性、データ保持期間の延長、およびユーザエクスペリエンス全体の改善を実現しました。(PROD-2300、PROD-2308、PROD-2330、PROD-2654、PROD-2935)

新機能：監査ログの表示を更新・改善しました。(PROD-2094、PROD-3158、PROD-3083、PROD-3074、PROD-3075)

既存の全ての組織を対象にロールベースのアクセス制御(RBAC)を「プレビュー」モードでリリースしました。(PROD-3098、PROD-3211、PROD-3204)

新しい組織は、「運用」モードでRBACを使用することになります。

エージェンウィザードを更新し、エージェントの導入プロセスを改善・簡素化しました。(PROD-3079、PROD-3080、PROD-3081、 PROD-3089)

最小限のライブラリのアップグレードを推奨する情報を追加しました。この推奨は、可能な限り脆弱性が含まれていない、現在使用中のライブラリに最も近いバージョンを特定します。(PROD-3072)

Contrast Scanローカルエンジンでカスタムルールの例外を作成するためのドキュメントを追加しました。(PROD-2824)

Contrast Scanの脆弱性の深刻度を変更できる機能を追加しました。(PROD-2951)

Contrast Scanの脆弱性をCWEでフィルタできる機能を追加しました。(PROD-3046)

Contrast Scanの脆弱性を修正するためのSecure Code Warriorの推奨事項を追加しました。(PROD-2577)

プレビュー機能： 組織内のユーザのロールベースのアクセス制御の権限を表示する機能を追加しました。(PROD-2573)

この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。

プレビュー機能： ユーザが自分のロールベースのアクセス制御の権限を表示する機能を追加しました(PROD-2572)

この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。

新機能：APIおよびCLIを使用して、Contrast AssessまたはSCAの脆弱性のSARIFファイルを生成する機能を追加しました。(PROD-3084)

2,000件以上のスキャン結果を含むContrast ScanのCSVレポートをダウンロードする機能を追加しました。(PROD-3005)

ダウンロードする結果の各ページを選択するオプションがあります。

エージェントウィザード(新規登録からアクセス)のワークフローを改善し、Contrastにアプリケーションを登録するタスクを簡素化しました。(PROD-2812)

エージェントウィザードにContrastエージェント設定エディタへのリンクを追加しました。(PROD-2773)

プレビュー機能：攻撃イベントのデータの表示と管理を容易にする新しい 攻撃イベントページ。(PROD-2300)

この機能を利用するには、Contrastの担当者までお問い合わせください。

新機能：新しい監査APIで、監査ログのイベントを照会する機能を追加しました。(PROD-2887)

この新しいAPIを使用すると、監査ログで、SAST(Contrast Scan)、Contrast Assess、およびロールベースのアクセス制御(RBAC)のイベントを照会できます。SASTとRBACの新しいイベントには、以下のものがあります。

プレビュー機能：オープン中およびクローズ済の脆弱性の集計データ、脆弱性の修復のための平均時間の傾向などを示すレポートダッシュボード。このダッシュボードにアクセスするには、 ユーザメニュー>レポートダッシュボードに移動します。(PROD-3097)

ロールベースのアクセス制御 (プレビュー機能)：カスタムロールの追加時に、選択したアクションに一致するリソースグループを選択するのに役立つ通知メッセージを追加しました。(PROD-2878)

選択したアクションとリソースが一致しない場合に通知が表示されます。

新機能！セキュリティオブザーバビリティ： この新機能で、実行時のアプリケーションのセキュリティアーキテクチャと動作がモデル化されます。この情報を使用して、脅威モデリング、ペネトレーションテストのサポート、脆弱性と攻撃に関するコンテキスト情報に関して、アプリケーションの基盤となる動きをよりよく理解することができます。

現在、この機能はJavaアプリケーションのみをサポートしています。

新機能！Contrast AssessとContrast SCAの検出結果を含むSARIFファイルの生成

新しいCLIコマンドのsarifを使用すると、特定のアプリケーションに対して、Contrast AssessとContrast SCAの検出結果を含むSARIFファイルを作成できるようになりました。(PROD-2809)

Contrast Scanの脆弱性ステータスの一括編集：Contrast Scanの複数の脆弱性のステータスを同時に変更できるようになりました。(PROD-2760)

Contrast Scanの前回のスキャンによるフィルタ：指定した期間に基づいてスキャンの表示をフィルタリングできるようになりました。(PROD-3045)

PHPエージェントのContrast Protect：PHPエージェントが、Contrast Protectのルールと機能をサポートするようになりました。コマンドインジェクション、SQLインジェクション、パストラバーサル、反射型クロスサイトスクリプティング、ボットのブロック、IPのブロック、機密データのマスキングに対応しています。 (PROD-1636)

脆弱性タブの機能拡張：「スキャンプロジェクト」の「脆弱性」タブで、脆弱性がある特定の言語が言語列に表示されるようになりました。列の言語によって検出結果をフィルタリングすることもできます。(PROD-2796、PROD-2798)

CSVレポートの改良：Contrast ScanのCSVレポートの生成で、フィルタの選択に基づいて特定の条件のみを含めることができるようになりました。(PROD-2933)

認証：組織でシングルサインオン(SSO)が有効になっていない場合は、多要素認証(MFA)の利用を強く推奨します。そのため、MFAの有効化を推奨するメッセージを表示するようにしました。(PROD-1881)

Maven Wrapper：Contrast CLIで、Maven Wrapperをサポートするようになりました。(PROD-3021)

エンドポイントパフォーマンスの向上：/Contrast/api/ng/?/libraries/filterエンドポイントのパフォーマンスを改善しました。(SCA-1671)

互換性チェックの機能を追加しました。アプリケーションにエージェントを組み込んだ後に、ルートを決定するフレームワークがサポート対象であるかどうかがContrastでチェックされるようになりました。ルート探索中に検出されたフレームワークの詳細が、Contrastダッシュボードに表示されます。この機能は、現在、Javaエージェントと.NETエージェントの最新バージョンでサポートされています。(PROD-2447)

Javaエージェントに、gRPCのサポートを追加しました。(PROD-2546)

Javaエージェントに、Glassfish 5と6およびPayara 5と6のサポートを追加しました。(PROD-2792)

.NETエージェントに、gRPCのサポートを追加しました。(PROD-2289)