Contrast Scanリリース情報

誤検知を減らすために、多数の言語にわたって大幅な改善を行いました。

Naturalソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。

COBOLソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。

Kotlinのサポートバージョンを1.6.0に更新しました。

Java 16および17のファイルのスキャンのサポートを追加しました。

Vue.JSのサポートを改善しました。

ソースコードスキャンエンジンが全てのスキャンで失敗する原因となっていたバグを修正しました。

ローカルスキャンエンジンで--memoryオプションを利用できるようになりました。

推奨事項：ローカルスキャンエンジンのメモリ割り当てを12GB以上にしてください。メモリ割り当てが少ないと、バイナリスキャンエンジンのパフォーマンスと精度に悪影響を与える可能性があります。

ノイズと過検知の可能性を減らすために、C、C++、ObjectiveC言語の.hファイルは暗黙的にスキャンされなくなりました。

これらの言語のスキャン中に、ソースコードが.hファイルを呼び出している場合は、そのファイルはコード解析全体の一部としてスキャンされます。

MD5チェックサム： fa99a209ba3662a198df735fa4c795eb

SHA1チェックサム： 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff

SHA256チェックサム： e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99

多言語スキャンエンジンからのログを改善する--levelコマンドオプションを追加しました。特定のログレベルのログ記録を有効にするには、ERROR、WARN、INFO、DEBUG、TRACEのいずれかの値を使用してください。

このオプションは、すべてのスキャンで使用するのではなく、Contrastのサポート担当から指示された場合にのみ使用してください。

新しいログファイルを作成する前の最大ログサイズを20MBに変更しました。

ソースコードスキャンエンジンで全てのスキャンが失敗する原因となる不具合がありました。操作を再開するには、すべてのお客様がローカルエンジンをバージョン1.1.2にアップグレードする必要があります。

以前のバージョンはすべてサポート終了となります。

Contrastのバージョン管理ポリシーを理解するには、 Contrast Scanローカルエンジンのサポートバージョンをご確認ください。今後のすべてのリリースに適用されるポリシーについて説明しています。

MD5チェックサム： 7be87ce1ab990c45e91c7060e5300ce2

SHA1チェックサム： e55d9fa9323dc93bc29d4f68e927763c6e5fb12b

SHA256チェックサム： ef8c84c1ad4549ab4e22a638dbf5d5d4d5700f6209ddcabfe66a20639880e0be

Contrast Scanローカルエンジンで、スキャン毎に一意の出力フォルダが作成されるようになりました。フォルダ名の場所は、.contrast-scan/<CURRENT_TIMESTAMP>です。<CURRENT_TIMESTAMP>は、スキャンが実行された日時です。

結果の重複を避けるため、C/C++言語の設定を更新しました。

以前のバージョンのContrast Scanローカル エンジンでは、.hファイルと.cファイルをC++とCのルールを使用して解析していました。この動作により、重複する脆弱性が報告されていました。最新バージョンのスキャンエンジンでは、重複する脆弱性は報告されなくなりました。以前にこの問題が発生した場合は、新しいバージョンのスキャンエンジンを実行すると、重複する脆弱性のステータスが修復済に変更されます。

MD5チェックサム： 4ad02dbb651afd65aa34540b74070460

SHA1チェックサム： 31fe66afb757422aab0cb9f59fc4f1d858146bce

SHA256チェックサム： 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7

Javaバイナリスキャナに、com.azure、org.apache、com.nimbusdsの除外を追加しました。

Contrast Scanローカルエンジンに、--severityパラメータを追加し、ビルドの失敗ステータスを取得できるようにしました。指定する値は、ビルド失敗のステータスコードを返す最小の深刻度で、パイプラインでビルドをゲートするために使用できます。

例えば、--severity highを指定すると、この深刻度(high)以上の検出結果があった場合に、ビルド失敗のステータスコードが返されます。

Contrast ScanローカルエンジンにGitHubアクションを使用する場合の複数ブランチのスキャンをサポートするようになりました。

再利用可能なスクリプトで、Contrast Scanローカルエンジンをダウンロードできるようになりました。

スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。

MD5チェックサム： 4ad02dbb651afd65aa34540b74070460

SHA1チェックサム： 31fe66afb757422aab0cb9f59fc4f1d858146bce

SHA256チェックサム： 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7

CLIオプションに--timeoutを追加し、多言語ソースコードのスキャンエンジンが指定されたソースコードをスキャンする最長時間を制御できるようにしました。

このオプションの値には、時間を分単位で指定します。このオプションは、各言語に適用されます。例えば、リポジトリに4つの言語がある場合に、このオプションの値を120分に設定すると、スキャンに最大8時間(120分 x 4言語)かかる可能性があります。

この機能は、ローカルスキャンエンジンに対してのみ使用できます。

ファイルとフォルダを除外する機能を追加しました。

この機能を使用するには、スキャンするソースコードのルートフォルダに.contrast-scan.jsonという名前のファイルを追加します。ファイルとフォルダの除外にて、この機能の使用方法について説明しています。

この機能は、ローカルスキャンエンジンでのみ利用可能で、多言語ソースコードのスキャンでのみサポートされます。

JSONファイルのファイル形式は次のとおりです。

// File name  ".contrast-scan.json"
{
  "excludes": [
    "**/MavenWrapperDownloader.java",
    "**/*.js"
  ]
}

多言語ソースコードのスキャンで、送信されたコード内で対象テクノロジを検出できない場合、スキャンを自動的に失敗するようにしました。

競合状態を引き起こし、パフォーマンスが低下する可能性があるバグを修正しました。

SARIFファイルへの出力で誤った日付形式が生成される不具合を修正しました。この誤った日付形式によって、GitHubでSARIF出力を使用する際にエラーが発生していました。

Githubユーザ向けにリポジトリのスキャンのサポートを追加しました。

Contrast Scanのバージョン1.0.8から、Githubリポジトリでのメインブランチのスキャンをサポートする新しいGithubアクションに対応するようになりました。この機能によって、指定した脆弱性の深刻度以上が存在する場合に、ビルドを失敗させることができます。詳しくは、GitHubリポジトリでContrast Scanを使用をご覧ください。

多言語スキャンエンジンの最小メモリ要件を8GBに増やし、タイムアウト設定を60分に増やしました。これは、Javaバイナリスキャナを使用する.JARと.WARファイルのスキャン時の最小メモリ要件である12GBを置き換えるものではありません。ローカルスキャンエンジンのすべてのユーザは、スキャンの実行時に12GBのメモリを使用できるようにすることを引き続きお勧めします。

ローカルスキャンエンジンでのスキャン時に、一部の言語が多言語スキャンエンジンで正しく識別されない問題に対処しました。多言語ソースコードのスキャンエンジンで識別される全ての言語が正しく特定され、スキャンされるようになりました。

多言語ソースコードに対応したスキャンエンジンで使用されるメモリを2Gに増やし、より大きなコードベースをサポートできるようにしました。ローカルスキャンエンジンを使用する場合の最小メモリ要件は、12GBのままです。

CLIに--memoryパラメータを追加しました。これにより、多言語ソースコードに対応したスキャンエンジンの割り当てメモリをオーバーライドできます。

ローカルスキャンエンジンの起動時に使用されたパラメータをキャプチャするためのログを追加しました。このログ記録によって、ローカルスキャンエンジンを呼び出したコマンド全体(例えば、-r、-pなど)がキャプチャされ、トラブルシューティング時に使用できます。

.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。

コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。

VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。

ロールベースのアクセス制御の認証の問題を修正しました。空のリソースグループにプロジェクトを割り当てようとした場合や、ユーザが複数のリソースグループにアクセスできるにも関わらずリソースグループを指定しなかった場合に、403エラーがトリガーされる可能性がありました。

ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成時にContrast CLIの-r <リソースグループ名>オプションが必須になりました。

Contrast Scanローカルエンジンは、25以上の言語のソースコードのスキャンに対応するようになりました。対応する言語の一覧は、Contrast Scanのサポート対象言語を参照して下さい。

ローカルエンジンは、適切なJVMを実行しているWindows環境でネイティブに実行できるようになりました。

スキャンするアーティファクトのパスにスペースを使用すると、致命的なスキャンエラーが発生する問題を修正しました。

ローカルスキャンエンジンから不要なログを削除し、Javaバイナリファイル(JARファイルまたはWARファイル)のスキャン時の全ディスク領域の使用率を削減しました。

Alpine Linuxで実行するとローカルスキャンエンジンが失敗する問題を修正しました。

ローカルスキャナで、複数のJARファイル内に見つかった全ての脆弱性が報告されていなかったバグを修正しました。ZIPファイル内で最後にスキャンされたJARファイルのみが報告されていました。

MD5チェックサム：f57f9174d0643832f9e38b95998fe280

SHAチェックサム： 8b2f5680111c5a4e5999a3449ee871bb822d27f6

プロジェクトを始めてスキャンする時に、ローカルスキャンエンジンのパラメータとして、リソースグループを指定できる機能が追加されました。

この機能を利用するには、組織でロールベースのアクセス制御が有効になっており、新しいプロジェクトを作成するための十分な権限(Manage Projectロール以上)が必要です。

リソースグループ名は、-rパラメータで指定します。

MD5チェックサム： 0fa38c5c9e46e3b2c6bdb2d2ed3baa20

SHAチェックサム： 76fe00f7d70d45176904a2b62a9d1083f0731a03

複数JARのスキャンに対応

このリリースでは、複数のJARファイルを1つのアーティファクトとしてスキャンできる機能が追加されました。複数のJARファイルをZIPファイルに追加し、1つのアーティファクトとしてスキャンすることができます。

複数JARのZIPファイルをスキャンするには、最上位レベルでJARファイルをZIPファイルにパッケージし、通常通りContrast Scanローカルエンジンを使用してスキャンします。例：

multiple-jar-artifact.zip 
-> artifact1.jar 
-> artifact2.jar 
-> artifact3.jar

スキャンが完了すると、Contrast Webインターフェイスでは、「スキャン」タブの下に1つのプロジェクトとして表示されます。

2,000件を超える脆弱性を含むCSVファイルをダウンロードする際に、2,000件までの脆弱性を含む結果のページを個別に選択できるようにしました。例えば、レポートに5,400件の脆弱性が含まれている場合、ダウンロード時に、1ページ、2ページ、または3ページを選択できます。各ページを個別にダウンロードし、後で組み合わせることができます。

複数のページを選択することはサポートしていません。

コンプライアンス対応レポートに含まれる脆弱性の数を100件から3,000件に増やしました。

一般的な脆弱性レポートに含まれる脆弱性の数を3,000件に増やしました。

脆弱性タブに、脆弱性のCWEを表示する新しい列を追加しました。この列には、表示を絞り込むために使用できるフィルタがあります。

「プロジェクトの閲覧、編集、削除」アクション(ロールベースのアクセス制御)、または組織のAdminロール(組織のユーザおよびグループによるアクセス制御)を持つユーザが、検出された脆弱性の深刻度を変更できる機能を追加しました。

脆弱性の深刻度を変更するには、現在の深刻度を選択し、ドロップダウンからオプションを選択します(例えば、「高」を選択したら、「重大」や「中」に変更します）。

同じ種類の脆弱性が複数存在する場合は、選択した脆弱性の深刻度のみを変更するか、一致する全ての脆弱性の深刻度を変更するかを選択できます。その後のスキャンでは、この深刻度の変更は上書きされません。

各脆弱性に、Secure Code Warriorのガイドラインのタブを追加しました。このタブには、特定の脆弱性に関連するCWEを使用して、Secure Code Warriorのガイドラインとトレーニング動画の情報が提供されます。この情報の目的は、脆弱性に関する追加のコンテキストと、その解決方法を提供することです。

可能な限り、ガイドラインは脆弱性のあるコードの言語に対応したものになっています。CWEがその言語をサポートしていない場合、タブには一般的なガイドラインが表示されます。特定のCWEに関するガイドラインや情報が存在しない場合、タブは利用できません。

脆弱性のステータスを問題無しに変更しても、その後のスキャンで脆弱性が検出されなかった場合に修復済に変更されることがありました。この問題を修正しましたので、問題無しのステータスが変わることはありません。

脆弱性を再度検査するには、ステータスを確認済または疑わしいに変更してください。

単一の脆弱性のステータスを変更し、その変更を同じ種類の全ての脆弱性に適用できるようになりました。

スキャンプロジェクトのタグを作成する機能を追加しました。

スキャンプロジェクトにタグを追加で、この機能の使い方法について説明しています。

新機能：一般的な脆弱性レポート(CSVレポートに基づくPDFレポート)の提供

このレポートには、深刻度とステータスに基づき、プロジェクトにおけるオープン中の脆弱性のうち、最初の3,000件が含まれます。

同じ種類のすべての脆弱性のステータスを同時に変更する機能を追加しました。

一度に多数の脆弱性(1,000件以上)のステータスを更新する場合、この変更が完了するまでに数分かかることがあります。この処理が完了すると、Contrast Webインターフェイスにメッセージが表示されます。

前回のスキャンの日付を使用して、スキャンプロジェクトをフィルタリングおよびソートする機能を追加しました。

スキャンの脆弱性ステータスの一括編集で説明しているように、複数の脆弱性のステータスを同時に更新する機能を追加しました。

VB.NETおよびABAPの脆弱性に関して、修正方法が正しく表示されない場合があった問題を修正しました。

検出された脆弱性に関連付けられた言語を表示する機能を追加しました。

「言語」列に新しくコンテンツを表示するには、プロジェクトで新しいスキャンを実行してください。以前に行ったスキャンに対しては、Contrast Webインターフェイスで言語の情報は表示されません。

言語を正しく識別するためには、Contrast Scanローカルエンジンのバージョン1.1.1を使用する必要があります。以前のバージョンのローカルエンジンを使用すると、Contrast Webインターフェイスに言語として複合が表示されます。これが表示され、Contrast Scanローカルエンジンを使用している場合は、バージョン1.1.1にアップグレードしてください。

検出された脆弱性に関連付けられた言語で、表示をフィルタリングする機能を追加しました。

修正方法の情報がWebインターフェイスに正しく表示されていなかった問題を修正しました。

C++の脆弱性とC#の脆弱性が、2回カウントされていた問題を修正しました。

この変更の結果、システムの修正ワークフローによって、C++の場合、重複して検出された脆弱性は「修復済」とマークされることになりました。C#の場合、重複して検出された脆弱性は「オープン」ステータスのままとなります。

Contrast Scanのコンプライアンス対応レポート生成時のパフォーマンスの問題により、レポートの生成は、深刻度とステータスに基づいて100件のオープン中の脆弱性に制限されるようになりました。より大きなレポートは、今後対応する予定です。

Contrastへのファイルアップロードで、500MBを超えるファイルによってメモリ不足(OOM)エラーが発生する可能性があり(特にScan CLIコマンドを使用した場合)、この問題に対応しました。この修正によって、ファイルのアップロードサイズが1GBを超えることはありませんが、Contrast WebインターフェイスへのアップロードとCLIへのアップロード間で一貫した操作性を提供できるようになりました。1GBを超えるリポジトリがある場合は、Contrast Scanのローカルエンジンの使用を検討してください。

各脆弱性のコードスニペットが含まれるようにCSVレポートを拡張しました。

各脆弱性のパスからファイル名と行番号を確認できるようにCSVレポートを変更しました。

ステータスが 修復済および問題無しの脆弱性を除くようにCSVレポートを変更しました。

CSVレポートをプログラムで生成する際に、APIコールにフィルタを指定できる機能を追加しました。

CSVレポートをタイムリーに生成して、パフォーマンスの問題に対処するために、CSVレポートは、深刻度とステータスに基づいて最初の2,000件のオープン中の脆弱性に制限するようにしました。

2,000行の制限を超えるCSVレポートを作成する場合のために、CSVレポート生成時のAPIにページネーションを追加しました。

スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。

競合状態を引き起こし、Contrast Webインターフェイスのパフォーマンスが低下する可能性があるバグを修正しました。

Contrast Webインターフェイスで、プロジェクトの検索時に検索パラメータの一部としてアンダースコア(_)を指定するとエラーになる不具合を修正しました。

スキャンプロジェクトの脆弱性タブに、検出された言語の列を追加しました。この列の値は、脆弱性に関連付けられた言語を示します。

スキャンプロジェクトの脆弱性タブで、検出された言語で表示をフィルタリングする機能を追加しました。

今回のリリースで、SASTに対応したJiraとの自動化連携が可能になりました。

このJira連携を設定すると、脆弱性に関する通知をJiraプロジェクトに自動的にプッシュできます。この連携を設定するには、1つのJiraプロジェクトと1つ以上の深刻度を指定します。詳細については、Jira Cloudを参照してください。

複数のJiraプロジェクトのサポートは、今後のリリースで予定しています。

一部の言語が多言語ソースコードのスキャンエンジンで正しく識別されない問題に対処しました。

2024年1月25日

新機能と改善点：

修正された不具合：

2023年12月14日

2023年11月28日

2023年11月8日

2023年6月30日

2023年6月12日

Javaバイナリスキャナが複数JARのスキャンに対応するようになりました。

SaaS版のJavaバイナリスキャナを使用する場合(Contrast CLIまたはContrast Webインターフェイスを使用)、1つのZIPファイルに複数のJARファイルを含めることができるようになりました。

アップロードできるZIPファイルのサイズの上限は、1GBです。

プロジェクト内の脆弱性に対して行われたステータスの変更に関する情報を表示する、脆弱性のアクティビティタブを追加しました。

このタブを表示するには、選択したスキャンプロジェクトの「脆弱性」タブを選択し、特定の脆弱性を選択します。

プロジェクト内の脆弱性のステータスを変更する際に、コメントを追加できるようになりました。

全てのプロジェクトを管理できるロールのあるユーザに対して、Contrast Webインターフェイスでプロジェクトと関連する全てのデータを削除できる機能を追加しました。