SaaS版のリリース情報

誤検知を減らすために、多数の言語にわたって大幅な改善を行いました。

Naturalソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。

COBOLソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。

Kotlinのサポートバージョンを1.6.0に更新しました。

Java 16および17のファイルのスキャンのサポートを追加しました。

Vue.JSのサポートを改善しました。

ソースコードスキャンエンジンが全てのスキャンで失敗する原因となっていたバグを修正しました。

新たな脆弱性が発生した場合にのみブランチのスキャンを失敗させる、新しいオプションを追加しました。

スキャンローカルエンジンの動作とパフォーマンスを改善するための複数の修正を行いました。

MD5チェックサム： fa99a209ba3662a198df735fa4c795eb

SHA1チェックサム： 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff

SHA256チェックサム： e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99

以下のルールを追加しました。

コードベース全体でLog4jライブラリを更新しました。

スキャンされたコードとファイルの合計行数を特定してアップロードする機能を追加しました。

特定の状況下でのPHPスキャンによるスタックオーバーフローエラーを修正しました。

エンジンが一部のC#拡張メソッドを適切に解析できない問題を修正しました。

スキャンローカルエンジンに新たに--metadataオプションを追加しました。スキャンプロジェクトの作成時にメタデータを指定できるようになりました。

Semgrepオープンソースエンジンを使用したRustとTerraformのオプションサポートを追加しました。

これらの言語のコードをスキャンし、その結果をContrastのWebインターフェイスに送信するには、Semgrepエンジンをダウンロードする必要があります。Contrast Scanローカルエンジンでこれらの言語のいずれかが検出されると、該当するファイルがSemgrepに送信されます。そして、Semgrepエンジンによって作成されたSARIFファイルと、Contrast Scanローカルエンジンによって作成されたSARIFファイルが統合されます。

この機能についての詳細は、Semgrepエンジンによる言語のスキャンを参照下さい。

ローカルスキャンエンジンで--memoryオプションを利用できるようになりました。

推奨事項：ローカルスキャンエンジンのメモリ割り当てを12GB以上にしてください。メモリ割り当てが少ないと、バイナリスキャンエンジンのパフォーマンスと精度に悪影響を与える可能性があります。

ノイズと過検知の可能性を減らすために、C、C++、ObjectiveC言語の.hファイルは暗黙的にスキャンされなくなりました。

これらの言語のスキャン中に、ソースコードが.hファイルを呼び出している場合は、そのファイルはコード解析全体の一部としてスキャンされます。

MD5チェックサム： fa99a209ba3662a198df735fa4c795eb

SHA1チェックサム： 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff

SHA256チェックサム： e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99

多言語スキャンエンジンからのログを改善する--levelコマンドオプションを追加しました。特定のログレベルのログ記録を有効にするには、ERROR、WARN、INFO、DEBUG、TRACEのいずれかの値を使用してください。

このオプションは、すべてのスキャンで使用するのではなく、Contrastのサポート担当から指示された場合にのみ使用してください。

新しいログファイルを作成する前の最大ログサイズを20MBに変更しました。

ソースコードスキャンエンジンで全てのスキャンが失敗する原因となる不具合がありました。操作を再開するには、すべてのお客様がローカルエンジンをバージョン1.1.2にアップグレードする必要があります。

以前のバージョンはすべてサポート終了となります。

Contrastのバージョン管理ポリシーを理解するには、 Contrast Scanローカルエンジンのサポートバージョンをご確認ください。今後のすべてのリリースに適用されるポリシーについて説明しています。

MD5チェックサム： 7be87ce1ab990c45e91c7060e5300ce2

SHA1チェックサム： e55d9fa9323dc93bc29d4f68e927763c6e5fb12b

SHA256チェックサム： ef8c84c1ad4549ab4e22a638dbf5d5d4d5700f6209ddcabfe66a20639880e0be

Contrast Scanローカルエンジンで、スキャン毎に一意の出力フォルダが作成されるようになりました。フォルダ名の場所は、.contrast-scan/<CURRENT_TIMESTAMP>です。<CURRENT_TIMESTAMP>は、スキャンが実行された日時です。

結果の重複を避けるため、C/C++言語の設定を更新しました。

以前のバージョンのContrast Scanローカル エンジンでは、.hファイルと.cファイルをC++とCのルールを使用して解析していました。この動作により、重複する脆弱性が報告されていました。最新バージョンのスキャンエンジンでは、重複する脆弱性は報告されなくなりました。以前にこの問題が発生した場合は、新しいバージョンのスキャンエンジンを実行すると、重複する脆弱性のステータスが修復済に変更されます。

MD5チェックサム： 4ad02dbb651afd65aa34540b74070460

SHA1チェックサム： 31fe66afb757422aab0cb9f59fc4f1d858146bce

SHA256チェックサム： 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7

Javaバイナリスキャナに、com.azure、org.apache、com.nimbusdsの除外を追加しました。

Contrast Scanローカルエンジンに、--severityパラメータを追加し、ビルドの失敗ステータスを取得できるようにしました。指定する値は、ビルド失敗のステータスコードを返す最小の深刻度で、パイプラインでビルドをゲートするために使用できます。

例えば、--severity highを指定すると、この深刻度(high)以上の検出結果があった場合に、ビルド失敗のステータスコードが返されます。

Contrast ScanローカルエンジンにGitHubアクションを使用する場合の複数ブランチのスキャンをサポートするようになりました。

再利用可能なスクリプトで、Contrast Scanローカルエンジンをダウンロードできるようになりました。

スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。

MD5チェックサム： 4ad02dbb651afd65aa34540b74070460

SHA1チェックサム： 31fe66afb757422aab0cb9f59fc4f1d858146bce

SHA256チェックサム： 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7

CLIオプションに--timeoutを追加し、多言語ソースコードのスキャンエンジンが指定されたソースコードをスキャンする最長時間を制御できるようにしました。

このオプションの値には、時間を分単位で指定します。このオプションは、各言語に適用されます。例えば、リポジトリに4つの言語がある場合に、このオプションの値を120分に設定すると、スキャンに最大8時間(120分 x 4言語)かかる可能性があります。

この機能は、ローカルスキャンエンジンに対してのみ使用できます。

ファイルとフォルダを除外する機能を追加しました。

この機能を使用するには、スキャンするソースコードのルートフォルダに.contrast-scan.jsonという名前のファイルを追加します。ファイルとフォルダの除外にて、この機能の使用方法について説明しています。

この機能は、ローカルスキャンエンジンでのみ利用可能で、多言語ソースコードのスキャンでのみサポートされます。

JSONファイルのファイル形式は次のとおりです。

// File name  ".contrast-scan.json"
{
  "excludes": [
    "**/MavenWrapperDownloader.java",
    "**/*.js"
  ]
}

多言語ソースコードのスキャンで、送信されたコード内で対象テクノロジを検出できない場合、スキャンを自動的に失敗するようにしました。

競合状態を引き起こし、パフォーマンスが低下する可能性があるバグを修正しました。

SARIFファイルへの出力で誤った日付形式が生成される不具合を修正しました。この誤った日付形式によって、GitHubでSARIF出力を使用する際にエラーが発生していました。

Githubユーザ向けにリポジトリのスキャンのサポートを追加しました。

Contrast Scanのバージョン1.0.8から、Githubリポジトリでのメインブランチのスキャンをサポートする新しいGithubアクションに対応するようになりました。この機能によって、指定した脆弱性の深刻度以上が存在する場合に、ビルドを失敗させることができます。詳しくは、GitHubリポジトリでContrast Scanを使用をご覧ください。

多言語スキャンエンジンの最小メモリ要件を8GBに増やし、タイムアウト設定を60分に増やしました。これは、Javaバイナリスキャナを使用する.JARと.WARファイルのスキャン時の最小メモリ要件である12GBを置き換えるものではありません。ローカルスキャンエンジンのすべてのユーザは、スキャンの実行時に12GBのメモリを使用できるようにすることを引き続きお勧めします。

ローカルスキャンエンジンでのスキャン時に、一部の言語が多言語スキャンエンジンで正しく識別されない問題に対処しました。多言語ソースコードのスキャンエンジンで識別される全ての言語が正しく特定され、スキャンされるようになりました。

多言語ソースコードに対応したスキャンエンジンで使用されるメモリを2Gに増やし、より大きなコードベースをサポートできるようにしました。ローカルスキャンエンジンを使用する場合の最小メモリ要件は、12GBのままです。

CLIに--memoryパラメータを追加しました。これにより、多言語ソースコードに対応したスキャンエンジンの割り当てメモリをオーバーライドできます。

ローカルスキャンエンジンの起動時に使用されたパラメータをキャプチャするためのログを追加しました。このログ記録によって、ローカルスキャンエンジンを呼び出したコマンド全体(例えば、-r、-pなど)がキャプチャされ、トラブルシューティング時に使用できます。

.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。

コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。

VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。

ロールベースのアクセス制御の認証の問題を修正しました。空のリソースグループにプロジェクトを割り当てようとした場合や、ユーザが複数のリソースグループにアクセスできるにも関わらずリソースグループを指定しなかった場合に、403エラーがトリガーされる可能性がありました。

ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成時にContrast CLIの-r <リソースグループ名>オプションが必須になりました。

Contrast Scanローカルエンジンは、25以上の言語のソースコードのスキャンに対応するようになりました。対応する言語の一覧は、Contrast Scanのサポート対象言語を参照して下さい。

ローカルエンジンは、適切なJVMを実行しているWindows環境でネイティブに実行できるようになりました。

スキャンするアーティファクトのパスにスペースを使用すると、致命的なスキャンエラーが発生する問題を修正しました。

ローカルスキャンエンジンから不要なログを削除し、Javaバイナリファイル(JARファイルまたはWARファイル)のスキャン時の全ディスク領域の使用率を削減しました。

Alpine Linuxで実行するとローカルスキャンエンジンが失敗する問題を修正しました。

ローカルスキャナで、複数のJARファイル内に見つかった全ての脆弱性が報告されていなかったバグを修正しました。ZIPファイル内で最後にスキャンされたJARファイルのみが報告されていました。

MD5チェックサム：f57f9174d0643832f9e38b95998fe280

SHAチェックサム： 8b2f5680111c5a4e5999a3449ee871bb822d27f6

プロジェクトを始めてスキャンする時に、ローカルスキャンエンジンのパラメータとして、リソースグループを指定できる機能が追加されました。

この機能を利用するには、組織でロールベースのアクセス制御が有効になっており、新しいプロジェクトを作成するための十分な権限(Manage Projectロール以上)が必要です。

リソースグループ名は、-rパラメータで指定します。

MD5チェックサム： 0fa38c5c9e46e3b2c6bdb2d2ed3baa20

SHAチェックサム： 76fe00f7d70d45176904a2b62a9d1083f0731a03

複数JARのスキャンに対応

このリリースでは、複数のJARファイルを1つのアーティファクトとしてスキャンできる機能が追加されました。複数のJARファイルをZIPファイルに追加し、1つのアーティファクトとしてスキャンすることができます。

複数JARのZIPファイルをスキャンするには、最上位レベルでJARファイルをZIPファイルにパッケージし、通常通りContrast Scanローカルエンジンを使用してスキャンします。例：

multiple-jar-artifact.zip 
-> artifact1.jar 
-> artifact2.jar 
-> artifact3.jar

スキャンが完了すると、Contrast Webインターフェイスでは、「スキャン」タブの下に1つのプロジェクトとして表示されます。

スキャンプロジェクトの脆弱性を表示する際に、OWASP関連のリスクを表示およびフィルタリングできるようになりました。

複数のスキャンプロジェクトを同時にアーカイブする機能を追加しました。

Contrast Webインターフェイスで実行するスキャンにファイルやフォルダを除外できる機能を追加しました。

組織レベルでスキャンプロジェクトの動的スコアリングを設定する機能を追加しました。

スキャンプロジェクトの一覧に、スキャンプロジェクトを作成した日時を示す「作成日時」列を追加しました。

この機能は、新しいスキャンにのみ適用されます。

スキャンプロジェクトページに、ファイルの除外とポリシーに基づいて対象外となったファイルとルールを表示する新しいタブを追加しました。

このタブは、Contrast Scanローカルエンジンを使用したスキャンでのみ使用できます。

Contrast Webインターフェイスで、スキャン対象のコードアーティファクトをアップロードする際に、アップロードが完了する前にページを離れるとアップロード操作がキャンセルされるという警告メッセージが表示されるようにしました。

Contrast Webインターフェイスで、失敗したスキャンの通知を設定できるようになりました。

個別のスキャンでスキャンされたコードの合計行数を表示する機能を追加しました。

個別のスキャンでスキャンされたファイルの総数を表示する機能を追加しました。

スキャンで使用されたローカルスキャナのバージョンを表示する機能を追加しました。

プロジェクトのデフォルトのソートを調整しました。

デフォルトでは、プロジェクトは自動的に前回のスキャン日で昇順に並び替えられるようになりました(新しいプロジェクトが一番上、古いプロジェクトが一番下）。

スキャンプロジェクトのページの「前回のスキャン」列のフィルターに過去90日間のオプションを追加しました。

ロールベースのアクセス制御が有効になっている組織の場合、スキャンプロジェクトのページに、プロジェクトが関連付けられているリソースグループが表示されるようになりました。

表示されるリソースグループは、ログインしているユーザのロールに基づいています。ユーザのロールに応じて、ユーザごとに異なるリソースグループが表示される場合があります。例えば、一般的なユーザには、管理者権限を持つユーザとは異なるリソースグループが表示される場合があります。

スキャンプロジェクトのページに「ブランチ」タブを追加しました。

このタブは、ローカルエンジンでbranchコマンドを使用してスキャンを実行する場合にのみ表示されます。

脆弱性のソースに関する情報を追加しました。

該当する場合、脆弱性の概要には、ソースファイル名と行番号とコードスニペット、およびシンクファイル名と行番号とコードスニペットが表示されます。

スキャンが失敗した理由の情報を追加しました。

「スキャン履歴」で、スキャン失敗のメッセージにカーソルを合わせると、スキャン失敗の理由に関する情報を表示するツールヒントが表示されます。