Contrast Scanリリース情報
リリース日: 2024年8月29日
これらの更新は、Contrast ScanローカルエンジンおよびContrastのSaaS版で使用できるソースコードスキャンエンジンに適用されます。
新機能と改善点:
誤検知を減らすために、多数の言語にわたって大幅な改善を行いました。
Naturalソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。
COBOLソースコードの解析を改善し、過検知を減らし、スキャンのパフォーマンスを向上させました。
Kotlinのサポートバージョンを1.6.0に更新しました。
Java 16および17のファイルのスキャンのサポートを追加しました。
Vue.JSのサポートを改善しました。
修正された不具合:
ソースコードスキャンエンジンが全てのスキャンで失敗する原因となっていたバグを修正しました。
リリース日: 2024年11月26日
新機能と改善点:
スキャンローカルエンジンに新たに
--metadata
オプションを追加しました。スキャンプロジェクトの作成時にメタデータを指定できるようになりました。Semgrepオープンソースエンジンを使用したRustとTerraformのオプションサポートを追加しました。
これらの言語のコードをスキャンし、その結果をContrastのWebインターフェイスに送信するには、Semgrepエンジンをダウンロードする必要があります。Contrast Scanローカルエンジンでこれらの言語のいずれかが検出されると、該当するファイルがSemgrepに送信されます。そして、Semgrepエンジンによって作成されたSARIFファイルと、Contrast Scanローカルエンジンによって作成されたSARIFファイルが統合されます。
この機能についての詳細は、Semgrepエンジンによる言語のスキャンを参照下さい。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年10月8日
新機能と改善点:
ローカルスキャンエンジンで
--memory
オプションを利用できるようになりました。推奨事項:ローカルスキャンエンジンのメモリ割り当てを12GB以上にしてください。メモリ割り当てが少ないと、バイナリスキャンエンジンのパフォーマンスと精度に悪影響を与える可能性があります。
ノイズと過検知の可能性を減らすために、C、C++、ObjectiveC言語の
.h
ファイルは暗黙的にスキャンされなくなりました。これらの言語のスキャン中に、ソースコードが
.h
ファイルを呼び出している場合は、そのファイルはコード解析全体の一部としてスキャンされます。
チェックサム:
MD5チェックサム: fa99a209ba3662a198df735fa4c795eb
SHA1チェックサム: 1c78f9570e20c18b01c4b609904f4bdf9cfe8eff
SHA256チェックサム: e4316485cba75bf032cfcd4537d1c9281bf8813bac03d84004e55b5bf415ec99
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所を、ダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XX
を1.1.0
に置き換え、出力(SastXX.shaまたはMD5)には、10
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年8月29日
新機能と改善点:
多言語スキャンエンジンからのログを改善する
--level
コマンドオプションを追加しました。特定のログレベルのログ記録を有効にするには、ERROR、WARN、INFO、DEBUG、TRACEのいずれかの値を使用してください。このオプションは、すべてのスキャンで使用するのではなく、Contrastのサポート担当から指示された場合にのみ使用してください。
新しいログファイルを作成する前の最大ログサイズを20MBに変更しました。
修正された不具合:
ソースコードスキャンエンジンで全てのスキャンが失敗する原因となる不具合がありました。操作を再開するには、すべてのお客様がローカルエンジンをバージョン1.1.2にアップグレードする必要があります。
以前のバージョンはすべてサポート終了となります。
Contrastのバージョン管理ポリシーを理解するには、 Contrast Scanローカルエンジンのサポートバージョンをご確認ください。今後のすべてのリリースに適用されるポリシーについて説明しています。
チェックサム:
MD5チェックサム: 7be87ce1ab990c45e91c7060e5300ce2
SHA1チェックサム: e55d9fa9323dc93bc29d4f68e927763c6e5fb12b
SHA256チェックサム: ef8c84c1ad4549ab4e22a638dbf5d5d4d5700f6209ddcabfe66a20639880e0be
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XX
を1.1.0
に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年6月14日
新機能と改善点:
Contrast Scanローカルエンジンで、スキャン毎に一意の出力フォルダが作成されるようになりました。フォルダ名の場所は、
.contrast-scan/<CURRENT_TIMESTAMP>
です。<CURRENT_TIMESTAMP>
は、スキャンが実行された日時です。
修正された不具合:
結果の重複を避けるため、C/C++言語の設定を更新しました。
以前のバージョンのContrast Scanローカル エンジンでは、
.h
ファイルと.c
ファイルをC++とCのルールを使用して解析していました。この動作により、重複する脆弱性が報告されていました。最新バージョンのスキャンエンジンでは、重複する脆弱性は報告されなくなりました。以前にこの問題が発生した場合は、新しいバージョンのスキャンエンジンを実行すると、重複する脆弱性のステータスが修復済に変更されます。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.1になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XX
を1.1.0
に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年4月30日
新機能と改善点:
Javaバイナリスキャナに、
com.azure
、org.apache
、com.nimbusds
の除外を追加しました。Contrast Scanローカルエンジンに、
--severity
パラメータを追加し、ビルドの失敗ステータスを取得できるようにしました。指定する値は、ビルド失敗のステータスコードを返す最小の深刻度で、パイプラインでビルドをゲートするために使用できます。例えば、
--severity high
を指定すると、この深刻度(high)以上の検出結果があった場合に、ビルド失敗のステータスコードが返されます。Contrast ScanローカルエンジンにGitHubアクションを使用する場合の複数ブランチのスキャンをサポートするようになりました。
再利用可能なスクリプトで、Contrast Scanローカルエンジンをダウンロードできるようになりました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.0になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.0.10の場合、X.X.XX
を1.0.10
に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日:2024年3月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンの利用をリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
CLIオプションに
--timeout
を追加し、多言語ソースコードのスキャンエンジンが指定されたソースコードをスキャンする最長時間を制御できるようにしました。このオプションの値には、時間を分単位で指定します。このオプションは、各言語に適用されます。例えば、リポジトリに4つの言語がある場合に、このオプションの値を120分に設定すると、スキャンに最大8時間(120分 x 4言語)かかる可能性があります。
この機能は、ローカルスキャンエンジンに対してのみ使用できます。
ファイルとフォルダを除外する機能を追加しました。
この機能を使用するには、スキャンするソースコードのルートフォルダに
.contrast-scan.json
という名前のファイルを追加します。ファイルとフォルダの除外にて、この機能の使用方法について説明しています。この機能は、ローカルスキャンエンジンでのみ利用可能で、多言語ソースコードのスキャンでのみサポートされます。
JSONファイルのファイル形式は次のとおりです。
// File name ".contrast-scan.json" { "excludes": [ "**/MavenWrapperDownloader.java", "**/*.js" ] }
多言語ソースコードのスキャンで、送信されたコード内で対象テクノロジを検出できない場合、スキャンを自動的に失敗するようにしました。
修正された不具合:
競合状態を引き起こし、パフォーマンスが低下する可能性があるバグを修正しました。
SARIFファイルへの出力で誤った日付形式が生成される不具合を修正しました。この誤った日付形式によって、GitHubでSARIF出力を使用する際にエラーが発生していました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.9となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年2月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
Githubユーザ向けにリポジトリのスキャンのサポートを追加しました。
Contrast Scanのバージョン1.0.8から、Githubリポジトリでのメインブランチのスキャンをサポートする新しいGithubアクションに対応するようになりました。この機能によって、指定した脆弱性の深刻度以上が存在する場合に、ビルドを失敗させることができます。詳しくは、GitHubリポジトリでContrast Scanを使用をご覧ください。
多言語スキャンエンジンの最小メモリ要件を8GBに増やし、タイムアウト設定を60分に増やしました。これは、Javaバイナリスキャナを使用する.JARと.WARファイルのスキャン時の最小メモリ要件である12GBを置き換えるものではありません。ローカルスキャンエンジンのすべてのユーザは、スキャンの実行時に12GBのメモリを使用できるようにすることを引き続きお勧めします。
修正された不具合:
ローカルスキャンエンジンでのスキャン時に、一部の言語が多言語スキャンエンジンで正しく識別されない問題に対処しました。多言語ソースコードのスキャンエンジンで識別される全ての言語が正しく特定され、スキャンされるようになりました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.8となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年1月25日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
多言語ソースコードに対応したスキャンエンジンで使用されるメモリを2Gに増やし、より大きなコードベースをサポートできるようにしました。ローカルスキャンエンジンを使用する場合の最小メモリ要件は、12GBのままです。
CLIに
--memory
パラメータを追加しました。これにより、多言語ソースコードに対応したスキャンエンジンの割り当てメモリをオーバーライドできます。ローカルスキャンエンジンの起動時に使用されたパラメータをキャプチャするためのログを追加しました。このログ記録によって、ローカルスキャンエンジンを呼び出したコマンド全体(例えば、
-r
、-p
など)がキャプチャされ、トラブルシューティング時に使用できます。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.7となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
修正された不具合:
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年12月14日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
修正された不具合:
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.4となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年11月
注記
Contrast Scanローカルエンジン1.0.3は、現在制限付きのリリースとなっています。そのため、現時点ではチェックサム情報は提供されません。
このバージョンをご利用頂くには、サポートチケットを発行してリクエストしてください。ご不便をおかけして申し訳ございませんが、早急に対応させて頂きます。
新機能と改善点:
2023年11月29日
ロールベースのアクセス制御の認証の問題を修正しました。空のリソースグループにプロジェクトを割り当てようとした場合や、ユーザが複数のリソースグループにアクセスできるにも関わらずリソースグループを指定しなかった場合に、403エラーがトリガーされる可能性がありました。
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成時にContrast CLIの
-r <リソースグループ名>
オプションが必須になりました。
2023年11月8日
Contrast Scanローカルエンジンは、25以上の言語のソースコードのスキャンに対応するようになりました。対応する言語の一覧は、Contrast Scanのサポート対象言語を参照して下さい。
ローカルエンジンは、適切なJVMを実行しているWindows環境でネイティブに実行できるようになりました。
スキャンするアーティファクトのパスにスペースを使用すると、致命的なスキャンエラーが発生する問題を修正しました。
ローカルスキャンエンジンから不要なログを削除し、Javaバイナリファイル(JARファイルまたはWARファイル)のスキャン時の全ディスク領域の使用率を削減しました。
Alpine Linuxで実行するとローカルスキャンエンジンが失敗する問題を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.3となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年7月24日
修正された不具合:
ローカルスキャナで、複数のJARファイル内に見つかった全ての脆弱性が報告されていなかったバグを修正しました。ZIPファイル内で最後にスキャンされたJARファイルのみが報告されていました。
MD5チェックサム:f57f9174d0643832f9e38b95998fe280
SHAチェックサム: 8b2f5680111c5a4e5999a3449ee871bb822d27f6
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XX
を0.0.60
に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年5月22日
新機能と改善点:
プロジェクトを始めてスキャンする時に、ローカルスキャンエンジンのパラメータとして、リソースグループを指定できる機能が追加されました。
この機能を利用するには、組織でロールベースのアクセス制御が有効になっており、新しいプロジェクトを作成するための十分な権限(Manage Projectロール以上)が必要です。
リソースグループ名は、
-r
パラメータで指定します。
MD5チェックサム: 0fa38c5c9e46e3b2c6bdb2d2ed3baa20
SHAチェックサム: 76fe00f7d70d45176904a2b62a9d1083f0731a03
注記
チェックサムの生成方法
MD5 : 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XX
の箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XX
を0.0.60
に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60
などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XX
は、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年4月6日
新機能と改善点:
複数JARのスキャンに対応
このリリースでは、複数のJARファイルを1つのアーティファクトとしてスキャンできる機能が追加されました。複数のJARファイルをZIPファイルに追加し、1つのアーティファクトとしてスキャンすることができます。
複数JARのZIPファイルをスキャンするには、最上位レベルでJARファイルをZIPファイルにパッケージし、通常通りContrast Scanローカルエンジンを使用してスキャンします。例:
multiple-jar-artifact.zip -> artifact1.jar -> artifact2.jar -> artifact3.jar
スキャンが完了すると、Contrast Webインターフェイスでは、「スキャン」タブの下に1つのプロジェクトとして表示されます。
修正された不具合:
リリース0.0.57から0.0.59に、スキャンの動作やパフォーマンスに影響しない内部のバグ修正が含まれています。
リリース日: 2024年12月10日
新機能と改善点:
脆弱性のステータスを問題無しに変更した場合の動的スコアリングのサポートを追加しました。
修正された不具合:
スキャンプロジェクトのタグとしてメタデータの値が表示されない問題を修正しました。
リリース日: 2024年11月26日
新機能と改善点:
スキャンプロジェクトのメタデータをサポートするようになりました。
メタデータはキーと値のペアで構成され、スキャンプロジェクトのページに表示されます。必要なメタデータが指定されていない場合に、スキャンプロジェクトの作成を制限することができます。
現在、この機能は新しいスキャンプロジェクトでのみ利用できます。
わかりやすさを向上させるために、スキャンの脆弱性一覧でソースファイル名と行番号が表示されるようになりました。
修正された不具合:
他のフィルタを選択した場合に、「スキャンプロジェクト」ページの「言語」列で対象言語が正しく反映されないバグを修正しました。
脆弱性の概要にあるコードスニペットが大きすぎるために、スキャンが失敗したかのように表示されるバグを修正しました。
リリース日: 2024年10月8日(2024年10月17日更新)
新機能と改善点:
2,000件を超える脆弱性を含むCSVファイルをダウンロードする際に、2,000件までの脆弱性を含む結果のページを個別に選択できるようにしました。例えば、レポートに5,400件の脆弱性が含まれている場合、ダウンロード時に、1ページ、2ページ、または3ページを選択できます。各ページを個別にダウンロードし、後で組み合わせることができます。
複数のページを選択することはサポートしていません。
コンプライアンス対応レポートに含まれる脆弱性の数を100件から3,000件に増やしました。
一般的な脆弱性レポートに含まれる脆弱性の数を3,000件に増やしました。
脆弱性タブに、脆弱性のCWEを表示する新しい列を追加しました。この列には、表示を絞り込むために使用できるフィルタがあります。
「プロジェクトの閲覧、編集、削除」アクション(ロールベースのアクセス制御)、または組織のAdminロール(組織のユーザおよびグループによるアクセス制御)を持つユーザが、検出された脆弱性の深刻度を変更できる機能を追加しました。
脆弱性の深刻度を変更するには、現在の深刻度を選択し、ドロップダウンからオプションを選択します(例えば、「高」を選択したら、「重大」や「中」に変更します)。
同じ種類の脆弱性が複数存在する場合は、選択した脆弱性の深刻度のみを変更するか、一致する全ての脆弱性の深刻度を変更するかを選択できます。その後のスキャンでは、この深刻度の変更は上書きされません。
各脆弱性に、Secure Code Warriorのガイドラインのタブを追加しました。このタブには、特定の脆弱性に関連するCWEを使用して、Secure Code Warriorのガイドラインとトレーニング動画の情報が提供されます。この情報の目的は、脆弱性に関する追加のコンテキストと、その解決方法を提供することです。
可能な限り、ガイドラインは脆弱性のあるコードの言語に対応したものになっています。CWEがその言語をサポートしていない場合、タブには一般的なガイドラインが表示されます。特定のCWEに関するガイドラインや情報が存在しない場合、タブは利用できません。
リリース日: 2024年9月10日
新機能と改善点:
脆弱性のステータスを問題無しに変更しても、その後のスキャンで脆弱性が検出されなかった場合に修復済に変更されることがありました。この問題を修正しましたので、問題無しのステータスが変わることはありません。
脆弱性を再度検査するには、ステータスを確認済または疑わしいに変更してください。
単一の脆弱性のステータスを変更し、その変更を同じ種類の全ての脆弱性に適用できるようになりました。
リリース日: 2024年8月29日
新機能と改善点:
スキャンプロジェクトのタグを作成する機能を追加しました。
スキャンプロジェクトにタグを追加で、この機能の使い方法について説明しています。
新機能:一般的な脆弱性レポート(CSVレポートに基づくPDFレポート)の提供
このレポートには、深刻度とステータスに基づき、プロジェクトにおけるオープン中の脆弱性のうち、最初の3,000件が含まれます。
同じ種類のすべての脆弱性のステータスを同時に変更する機能を追加しました。
一度に多数の脆弱性(1,000件以上)のステータスを更新する場合、この変更が完了するまでに数分かかることがあります。この処理が完了すると、Contrast Webインターフェイスにメッセージが表示されます。
前回のスキャンの日付を使用して、スキャンプロジェクトをフィルタリングおよびソートする機能を追加しました。
リリース日: 2024年7月16日
新機能と改善点:
スキャンの脆弱性ステータスの一括編集で説明しているように、複数の脆弱性のステータスを同時に更新する機能を追加しました。
修正された不具合:
VB.NETおよびABAPの脆弱性に関して、修正方法が正しく表示されない場合があった問題を修正しました。
リリース日: 2024年6月11日
新機能と改善点:
検出された脆弱性に関連付けられた言語を表示する機能を追加しました。
「言語」列に新しくコンテンツを表示するには、プロジェクトで新しいスキャンを実行してください。以前に行ったスキャンに対しては、Contrast Webインターフェイスで言語の情報は表示されません。
言語を正しく識別するためには、Contrast Scanローカルエンジンのバージョン1.1.1を使用する必要があります。以前のバージョンのローカルエンジンを使用すると、Contrast Webインターフェイスに言語として複合が表示されます。これが表示され、Contrast Scanローカルエンジンを使用している場合は、バージョン1.1.1にアップグレードしてください。
検出された脆弱性に関連付けられた言語で、表示をフィルタリングする機能を追加しました。
修正された不具合:
修正方法の情報がWebインターフェイスに正しく表示されていなかった問題を修正しました。
C++の脆弱性とC#の脆弱性が、2回カウントされていた問題を修正しました。
この変更の結果、システムの修正ワークフローによって、C++の場合、重複して検出された脆弱性は「修復済」とマークされることになりました。C#の場合、重複して検出された脆弱性は「オープン」ステータスのままとなります。
リリース日: 2024年5月14日
修正された不具合:
Contrast Scanのコンプライアンス対応レポート生成時のパフォーマンスの問題により、レポートの生成は、深刻度とステータスに基づいて100件のオープン中の脆弱性に制限されるようになりました。より大きなレポートは、今後対応する予定です。
Contrastへのファイルアップロードで、500MBを超えるファイルによってメモリ不足(OOM)エラーが発生する可能性があり(特にScan CLIコマンドを使用した場合)、この問題に対応しました。この修正によって、ファイルのアップロードサイズが1GBを超えることはありませんが、Contrast WebインターフェイスへのアップロードとCLIへのアップロード間で一貫した操作性を提供できるようになりました。1GBを超えるリポジトリがある場合は、Contrast Scanのローカルエンジンの使用を検討してください。
リリース日: 2024年4月25日
新機能と改善点:
各脆弱性のコードスニペットが含まれるようにCSVレポートを拡張しました。
各脆弱性のパスからファイル名と行番号を確認できるようにCSVレポートを変更しました。
ステータスが 修復済および問題無しの脆弱性を除くようにCSVレポートを変更しました。
CSVレポートをプログラムで生成する際に、APIコールにフィルタを指定できる機能を追加しました。
CSVレポートをタイムリーに生成して、パフォーマンスの問題に対処するために、CSVレポートは、深刻度とステータスに基づいて最初の2,000件のオープン中の脆弱性に制限するようにしました。
2,000行の制限を超えるCSVレポートを作成する場合のために、CSVレポート生成時のAPIにページネーションを追加しました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
リリース日: 2024年3月
修正された不具合:
競合状態を引き起こし、Contrast Webインターフェイスのパフォーマンスが低下する可能性があるバグを修正しました。
Contrast Webインターフェイスで、プロジェクトの検索時に検索パラメータの一部としてアンダースコア(_)を指定するとエラーになる不具合を修正しました。
リリース日:2024年2月15日
新機能と改善点:
スキャンプロジェクトの脆弱性タブに、検出された言語の列を追加しました。この列の値は、脆弱性に関連付けられた言語を示します。
スキャンプロジェクトの脆弱性タブで、検出された言語で表示をフィルタリングする機能を追加しました。
今回のリリースで、SASTに対応したJiraとの自動化連携が可能になりました。
このJira連携を設定すると、脆弱性に関する通知をJiraプロジェクトに自動的にプッシュできます。この連携を設定するには、1つのJiraプロジェクトと1つ以上の深刻度を指定します。詳細については、Jira Cloudを参照してください。
複数のJiraプロジェクトのサポートは、今後のリリースで予定しています。
修正された不具合:
一部の言語が多言語ソースコードのスキャンエンジンで正しく識別されない問題に対処しました。
リリース日: 2024年1月
新機能と改善点:
2024年1月25日
新機能と改善点:
Contrast Webインターフェイスのスキャンプロジェクトページで、多言語ソースコードのスキャンエンジンで検出された言語が表示されるようになりました。
検出された言語に基づいてスキャンプロジェクトを検索する機能を追加しました。
修正された不具合:
多言語ソースコードに対応したスキャンエンジンが呼び出された際に、スキャンの失敗を示唆していたCLIのバグを修正しました。
スキャンの完了後に、検出された脆弱性の一覧がCLIの出力に表示されないCLIのバグを修正しました。
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
リリース日: 2023年12月
新機能と改善点:
2023年12月14日
新機能:「スキャンプロジェクト」ページおよびスキャンプロジェクトページの「脆弱性」タブから、スキャンプロジェクトのコンプライアンス対応レポートを作成できるようになりました。
ユーザが脆弱性のステータスを修正完了に変更できる機能を削除しました。このステータスは、後続のスキャンでソースコードに脆弱性がまだ存在するかどうかに基づいて、スキャンエンジンによって判定されます。
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
リリース日: 2023年11月
新機能と改善点:
2023年11月28日
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成にリソースグループの指定が必要になりました。スキャンプロジェクトの作成画面には、プロジェクトを作成しているユーザに割り当てられているリソースグループの一覧を表示するドロップダウンがあります。ユーザのロールに割り当てられたリソースグループが1つの場合は、このリソースグループがデフォルトの選択になります。
また、ユーザにはプロジェクトの作成アクションが含まれたロールが必要です。
スキャンプロジェクトの作成にて、この新しい要件について説明しています。
2023年11月8日
新機能: Contrast Scanで2種類のスキャンを提供するようになりました。Javaファイル用のJavaバイナリスキャンと、その他の多くの言語やテクノロジ用のソースコードスキャンです。
ソースコードスキャンを選択した場合、スキャンしたいソースコードが含まれるZIPファイルをアップロードします。
新機能: Contrast Scanのサポート対象言語とテクノロジに記載されているように、ソースコードスキャンによってスキャンのサポート対象が拡張され、25以上の言語とテクノロジが追加されました。このソースコードスキャンを使用するには、新しいプロジェクトを作成する際に、ソースコードのオプションを選択して下さい。
SaaS版ご利用の場合: Contrast Scanでは、ソースコードスキャンの多言語検出に対応するようになりました。ZIPファイルをアップロードすると、ZIPファイル内に存在する言語がスキャンエンジンによって判別されて、各ファイルがスキャンされます。結果は、Contrastで1つのスキャンプロジェクトで表示されます。
スキャンプロジェクトの作成時に言語を選択する必要がなくなりました。Contrast Scan側で、アップロードするコードアーティファクトの種類を判別できるようになりました。複数のJARやソースコードを含むZIPファイルだけでなく、単一のJARやWARファイルも引き続きサポートされます。
ダウンロードできるCSVファイルに2つのフィールドを追加しました。
Language(言語):脆弱性の言語を示します。
Comment(コメント):脆弱性に対する最後のコメントを表します。
既存のプロジェクトに対して新たにスキャンを実行すると、これらのフィールドがCSVファイルに入ります。
リリース日:2023年6月
新機能と改善点
2023年6月30日
脆弱性の現在のステータスを変更することなく、脆弱性のステータスにコメントできる機能を追加しました。特定の脆弱性の「アクティビティ」タブで、コメントを追加できます。
2023年6月12日
スキャンページとスキャンの詳細ページの上部にプロジェクト作成者の名前を表示することで、誰がプロジェクトを作成したかを確認できるようになりました。
プロジェクトの特定のスキャンを誰が実行したかを確認できるようになりました。
スキャンページの「スキャン履歴」で、特定のスキャンを実行した人の名前が表示されるよう、名前の列を新規に追加しました。スキャンの詳細ページにもスキャンを実行した人が表示されます。
注記
上記の機能は、いずれも新規プロジェクトおよび新規スキャンに適用されます。既存のプロジェクトやスキャンには、これらの新情報は表示されません。
リリース日: 2023年5月
新機能と改善点:
Javaバイナリスキャナが複数JARのスキャンに対応するようになりました。
SaaS版のJavaバイナリスキャナを使用する場合(Contrast CLIまたはContrast Webインターフェイスを使用)、1つのZIPファイルに複数のJARファイルを含めることができるようになりました。
アップロードできるZIPファイルのサイズの上限は、1GBです。
リリース日: 2023年4月
新機能と改善点:
プロジェクト内の脆弱性に対して行われたステータスの変更に関する情報を表示する、脆弱性のアクティビティタブを追加しました。
このタブを表示するには、選択したスキャンプロジェクトの「脆弱性」タブを選択し、特定の脆弱性を選択します。
プロジェクト内の脆弱性のステータスを変更する際に、コメントを追加できるようになりました。
全てのプロジェクトを管理できるロールのあるユーザに対して、Contrast Webインターフェイスでプロジェクトと関連する全てのデータを削除できる機能を追加しました。