SaaS版のリリース情報
このリリース情報は、SaaS版のお客様向けに毎月公開されます。
2025年2月
SaaS版のContrastが、2025年2月20日にリリースされました。特定の製品のリリース情報については、Contrast Scanリリース情報およびインテグレーションのリリース情報をご覧下さい。
新機能と改善点
CVEの詳細:CVEの詳細情報の画面を改善して、より使いやすくしました。CVEが組織に与える影響を迅速に把握できるようにしました。「Contrastでの最初の検出」によって、影響を受ける期間に関する洞察が得られます。「組織への影響」には、影響を受けるアプリケーションとサーバが表示されます。 「深刻度」、「CVSSスコア」、「EPSS」などの主要な指標は、リスクの全範囲を理解し、対策の優先順位付けに役立ちます。(PROD-2972)
強化されたサーバクリーンアップ:アクティブでないサーバに関連付けられた履歴ルートを削除するために、 強化されたサーバクリーンアップの機能を追加しました。これは、主に一時的なサーバを使用し、アプリケーションの特定の時点の検査として、Contrast Assessの結果を個別に管理しているお客様に最適です。継続的なアプリケーション検査を長期間実行するサーバの場合は、 ルートの有効期限ポリシーを設定することが引き続き推奨されるアプローチです。強化されたサーバクリーンアップの機能で、古くなったサーバ、ルート、脆弱性を同時にクリーンアップすることで、Contrast Assessの結果を管理するのに役立ちます。(PROD-3060)
フィンガープリントにより自動生成される任意のセッションメタデータ:Contrastでは、セッションメタデータが定義されていない場合でも、アプリケーションの一意のビルドを追跡して報告するようになりました。これにより、重要な情報を簡単に絞り込むことができ、必要な情報をすばやく見つけることができます。また、手動で設定する必要もありません。(PROD-1745)
この機能をサポートするエージェントの最小バージョンは次のとおりです。
Java 6.11.1
.NET Framework 51.1.9
.NET Core 4.3.9
Python 9.7
Node 5.24
サーバの詳細:サーバのライブラリタブで、ライブラリを選択して詳細を表示すると、アプリケーション一覧に、そのサーバで使用されているアプリケーションが表示されるようになりました。(PROD-3489)
特定のレコード名:IP拒否リストまたは仮想パッチの攻撃イベントが報告されると、一般的なIP拒否リストや仮想パッチラベルの代わりに、個々のIP拒否リストまたは仮想パッチのレコードの特定の名前が表示されるようになりました。(PROD-3547)
ロールのコピー:既存のロールをコピーして設定を変更し、新しいロールとして追加することができるようになりました。ロールのコピーは、同一または類似の設定を持つ複数のロールが必要な場合や、特定のロールをテンプレートとして使用する場合に便利です。なお、これはロールベースのアクセス制御ユーザ向けの機能です。(PROD-3276)
修正された不具合
RBAC: RBAC(ロールベースのアクセス制御)を改善しました。(PROD-3206)
上位5つのエンドポイントとゲートウェイでのパフォーマンスの向上
10以上のバグ修正と改善
非推奨の機能
CodeSec EOL:ContrastのCodeSecは、2025年5月1日にサポート終了(EOL)となります。2025年1月28日もって、新規のユーザはCodeSecにサインアップできなくなっています。既存のCodeSecユーザは、サポート終了日までアクセスできます。
5月1日以降にアクセスが必要なCodeSecユーザの方へ:
既存のContrastのお客様は、引き続きContrastに接続することでCLIを利用できます。アカウントの認証情報を使用して認証が必要な場合があります。認証については、こちらのドキュメントに従って下さい。
Contrastをご利用でないお客様は、Contrastの全機能を体験できるTry Contrastをお試し頂くか、info@contrastsecurity.comにて営業担当者までお問い合わせ下さい。
2025年1月
SaaS版のContrastは、2025年1月21日にリリースされました。
新機能と改善点
MS Teamsインテグレーション:Microsoftがこちらで共有しているように、2025年1月のWebhook URLの廃止後もお客様が引き続きMS Teamsを使用できるようにするために、Power Automateによるインテグレーションのサポートを追加しました。これはリクエストによって有効になります。変更に備えて、 インテグレーションのドキュメントの指示に従うことをお勧めします。完了したら、サポートに連絡してこのインテグレーションを有効にして下さい。なお、MS Teamsのインテグレーションを使用していて、1月31日までにこれらの変更を行わない場合、連携できなくなります。(PROD-3092)
Contrast AssessとADRのマッピング:Contrast AssessおよびAVMの結果をADR(アプリケーションにおける検知と対応)に関連付け、脆弱性に対応するADRルールがあるかを確認できます。 (PROD-2619)
新機能:Wizインテグレーション:Wizインテグレーションの追加により、ContrastからWizのデプロイ環境にアプリケーションに関するランタイムセキュリティ情報を送信できるようになりました。(PROD-2694)
AIによるガイダンス: Contrast AIは、AIガイダンスによって、検出された脆弱性の修正方法に関して、アプリケーションで使用されるフレームワークやライブラリに特化した追加情報を提供します。現在は米国のユーザのみが利用可能で、デフォルトでは無効になっています。これは、「組織の設定」で有効にできます。(PROD-3064)
Jiraのインテグレーション:Jiraインテグレーションの機能を強化しました。
アクティビティタブのコメントを同期して、 アクティビティタブとJiraの課題間でコメントをリンクする機能を追加しました。 Jira管理者は、 コメントに関するアクションを使用してJiraにWebhookを登録して設定する必要があります。(PROD-3118)
期限切れの認証情報を削除する機能を追加しました。(PROD-3119)
Jiraに送信される機密情報をマスクする機能を選択できるようになりました。チケットの作成時に課題のタイトルと追加のフィールドの機密情報を削除します。(PROD-3120)
Jiraチケットに脆弱性に関連するセッションメタデータを表示する機能を追加しました。(PROD-3369)
RBAC:RBAC(ロールベースのアクセス制御)管理者は、ユーザの一覧およびプロパティからユーザを無効にできるようになりました。これにより、ユーザとユーザのエンドポイントは非アクティブになりますが、ユーザの記録は非アクティブステータスのままContrastに保持されます。(PROD-3194)
Contrast Assessの脆弱性の報告:監査ログの記録に、集計された脆弱性ダッシュボードからのレポートのダウンロードの詳細が含まれるようになりました。このレポートの利用をご希望の場合は、担当のアカウントマネージャーまでご連絡下さい。(PROD-3198)。
CLIのリソースグループコマンド:新しいリソースグループコマンド(Contrast CLIのAudit機能)によって、SCAプロジェクトを生成時に必要なリソースグループを指定できるようになりました。(PROD-3352)
ライブラリビューにおけるアプリケーション:「サーバ」セクションの「ライブラリ」タブを参照すると、アプリケーションの一覧にサーバ上のアプリケーションが明確に表示されるようになりました。(PROD-3489)
2024年 12月
SaaS版のContrastは、2024年12月10日にリリースされました。
ContrastのMS Teamsインテグレーションに関する事前通知
2025年1月31日、Microsoft TeamsのOffice365コネクタサービス内のWebhookベースのコネクタは、さらなるサービス強化更新の実装に伴い、新しいURLに移行します。この移行は、ContrastのMS Teamsインテグレーションに影響します。そのため、1月のリリースの一環として、この変更に対応するようMS Teamsインテグレーションを更新しています。MS Teamsインテグレーションをご利用のお客様は、こちらのガイドを参考に、変更に備えて頂くようお願いします。今後の変更の詳細については、Microsoft Teams(プレビュー)のページをご覧下さい。
新機能と改善点
Contrast Scanの脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。(PROD-3103)
2024年11月
SaaS版のContrastは、2024年11月12日にリリースされました。
新機能と改善点
新機能:新しいデータサービスに基づく攻撃イベントのビューにより、パフォーマンスの向上、より優れた安定性、データ保持期間の延長、およびユーザエクスペリエンス全体の改善を実現しました。(PROD-2300、PROD-2308、PROD-2330、PROD-2654、PROD-2935)
新機能:監査ログの表示を更新・改善しました。(PROD-2094、PROD-3158、PROD-3083、PROD-3074、PROD-3075)
既存の全ての組織を対象にロールベースのアクセス制御(RBAC)を「プレビュー」モードでリリースしました。(PROD-3098、PROD-3211、PROD-3204)
新しい組織は、「運用」モードでRBACを使用することになります。
2024年10月
SaaS版のContrastは、2024年10月8日にリリースされました。
新機能と改善点
エージェンウィザードを更新し、エージェントの導入プロセスを改善・簡素化しました。(PROD-3079、PROD-3080、PROD-3081、 PROD-3089)
最小限のライブラリのアップグレードを推奨する情報を追加しました。この推奨は、可能な限り脆弱性が含まれていない、現在使用中のライブラリに最も近いバージョンを特定します。(PROD-3072)
Contrast Scanローカルエンジンでカスタムルールの例外を作成するためのドキュメントを追加しました。(PROD-2824)
Contrast Scanの脆弱性の深刻度を変更できる機能を追加しました。(PROD-2951)
Contrast Scanの脆弱性をCWEでフィルタできる機能を追加しました。(PROD-3046)
Contrast Scanの脆弱性を修正するためのSecure Code Warriorの推奨事項を追加しました。(PROD-2577)
プレビュー機能: 組織内のユーザのロールベースのアクセス制御の権限を表示する機能を追加しました。(PROD-2573)
この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。
プレビュー機能: ユーザが自分のロールベースのアクセス制御の権限を表示する機能を追加しました(PROD-2572)
この機能は、組織でロールベースのアクセス制御が有効になっている場合にのみ使用できます。アクセス制御をにユーザとグループを使用している場合、この機能は使用できません。
2024年9月
SaaS版のContrastは、2024年9月10日にリリースされました。
新機能と改善点
新機能:APIおよびCLIを使用して、Contrast AssessまたはSCAの脆弱性のSARIFファイルを生成する機能を追加しました。(PROD-3084)
2,000件以上のスキャン結果を含むContrast ScanのCSVレポートをダウンロードする機能を追加しました。(PROD-3005)
ダウンロードする結果の各ページを選択するオプションがあります。
2024年8月
SaaS版のContrastは、2024年8月13日にリリースされました。
新機能と改善点
エージェントウィザード(新規登録からアクセス)のワークフローを改善し、Contrastにアプリケーションを登録するタスクを簡素化しました。(PROD-2812)
エージェントウィザードにContrastエージェント設定エディタへのリンクを追加しました。(PROD-2773)
プレビュー機能:攻撃イベントのデータの表示と管理を容易にする新しい 攻撃イベントページ。(PROD-2300)
この機能を利用するには、Contrastの担当者までお問い合わせください。
新機能:新しい監査APIで、監査ログのイベントを照会する機能を追加しました。(PROD-2887)
この新しいAPIを使用すると、監査ログで、SAST(Contrast Scan)、Contrast Assess、およびロールベースのアクセス制御(RBAC)のイベントを照会できます。SASTとRBACの新しいイベントには、以下のものがあります。
SAST :
プロジェクトの作成/削除
スキャンの実行
脆弱性ステータスの変更
RBAC:
ユーザの作成/更新/削除
リソースグループの作成/更新/削除
ロールの作成/更新/削除(組込みロールの更新を含む)
ユーザアクセスグループの作成/更新/削除
プレビュー機能:オープン中およびクローズ済の脆弱性の集計データ、脆弱性の修復のための平均時間の傾向などを示すレポートダッシュボード。このダッシュボードにアクセスするには、 ユーザメニュー>レポートダッシュボードに移動します。(PROD-3097)
ロールベースのアクセス制御 (プレビュー機能):カスタムロールの追加時に、選択したアクションに一致するリソースグループを選択するのに役立つ通知メッセージを追加しました。(PROD-2878)
選択したアクションとリソースが一致しない場合に通知が表示されます。
2024年7月
SaaS版のContrastは、2024年7月16日にリリースされました。
新機能と改善点
新機能!セキュリティオブザーバビリティ: この新機能で、実行時のアプリケーションのセキュリティアーキテクチャと動作がモデル化されます。この情報を使用して、脅威モデリング、ペネトレーションテストのサポート、脆弱性と攻撃に関するコンテキスト情報に関して、アプリケーションの基盤となる動きをよりよく理解することができます。
現在、この機能はJavaアプリケーションのみをサポートしています。
新機能!Contrast AssessとContrast SCAの検出結果を含むSARIFファイルの生成
新しいCLIコマンドの
sarif
を使用すると、特定のアプリケーションに対して、Contrast AssessとContrast SCAの検出結果を含むSARIFファイルを作成できるようになりました。(PROD-2809)Contrast Scanの脆弱性ステータスの一括編集:Contrast Scanの複数の脆弱性のステータスを同時に変更できるようになりました。(PROD-2760)
Contrast Scanの前回のスキャンによるフィルタ:指定した期間に基づいてスキャンの表示をフィルタリングできるようになりました。(PROD-3045)
2024年6月
SaaS版のContrastは、2024年6月14日にリリースされました。
新機能と改善点
PHPエージェントのContrast Protect:PHPエージェントが、Contrast Protectのルールと機能をサポートするようになりました。コマンドインジェクション、SQLインジェクション、パストラバーサル、反射型クロスサイトスクリプティング、ボットのブロック、IPのブロック、機密データのマスキングに対応しています。 (PROD-1636)
脆弱性タブの機能拡張:「スキャンプロジェクト」の「脆弱性」タブで、脆弱性がある特定の言語が言語列に表示されるようになりました。列の言語によって検出結果をフィルタリングすることもできます。(PROD-2796、PROD-2798)
CSVレポートの改良:Contrast ScanのCSVレポートの生成で、フィルタの選択に基づいて特定の条件のみを含めることができるようになりました。(PROD-2933)
認証:組織でシングルサインオン(SSO)が有効になっていない場合は、多要素認証(MFA)の利用を強く推奨します。そのため、MFAの有効化を推奨するメッセージを表示するようにしました。(PROD-1881)
Maven Wrapper:Contrast CLIで、Maven Wrapperをサポートするようになりました。(PROD-3021)
エンドポイントパフォーマンスの向上:
/Contrast/api/ng/?/libraries/filter
エンドポイントのパフォーマンスを改善しました。(SCA-1671)
2024年5月
SaaS版のContrastは、2024年5月14日にリリースされました。
新機能と改善点
互換性チェックの機能を追加しました。アプリケーションにエージェントを組み込んだ後に、ルートを決定するフレームワークがサポート対象であるかどうかがContrastでチェックされるようになりました。ルート探索中に検出されたフレームワークの詳細が、Contrastダッシュボードに表示されます。この機能は、現在、Javaエージェントと.NETエージェントの最新バージョンでサポートされています。(PROD-2447)
Javaエージェントに、gRPCのサポートを追加しました。(PROD-2546)
Javaエージェントに、Glassfish 5と6およびPayara 5と6のサポートを追加しました。(PROD-2792)
.NETエージェントに、gRPCのサポートを追加しました。(PROD-2289)