Contrast Scanリリース情報
スキャンエンジン・ローカルスキャンエンジン
リリース日: 2024年6月14日
新機能と改善点:
Contrast Scanローカルエンジンで、スキャン毎に一意の出力フォルダが作成されるようになりました。フォルダ名の場所は、
.contrast-scan/<CURRENT_TIMESTAMP>です。<CURRENT_TIMESTAMP>は、スキャンが実行された日時です。
修正された不具合:
結果の重複を避けるため、C/C++言語の設定を更新しました。
以前のバージョンのContrast Scanローカル エンジンでは、
.hファイルと.cファイルをC++とCのルールを使用して解析していました。この動作により、重複する脆弱性が報告されていました。最新バージョンのスキャンエンジンでは、重複する脆弱性は報告されなくなりました。以前にこの問題が発生した場合は、新しいバージョンのスキャンエンジンを実行すると、重複する脆弱性のステータスが修復済に変更されます。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.1になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.1.0の場合、X.X.XXを1.1.0に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日: 2024年4月30日
新機能と改善点:
Javaバイナリスキャナに、
com.azure、org.apache、com.nimbusdsの除外を追加しました。Contrast Scanローカルエンジンに、
--severityパラメータを追加し、ビルドの失敗ステータスを取得できるようにしました。指定する値は、ビルド失敗のステータスコードを返す最小の深刻度で、パイプラインでビルドをゲートするために使用できます。例えば、
--severity highを指定すると、この深刻度(high)以上の検出結果があった場合に、ビルド失敗のステータスコードが返されます。Contrast ScanローカルエンジンにGitHubアクションを使用する場合の複数ブランチのスキャンをサポートするようになりました。
再利用可能なスクリプトで、Contrast Scanローカルエンジンをダウンロードできるようになりました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
重要
多言語ソースコードに対応した新しいスキャンエンジンは、バージョン1.1.0になりました。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
チェックサム:
MD5チェックサム: 4ad02dbb651afd65aa34540b74070460
SHA1チェックサム: 31fe66afb757422aab0cb9f59fc4f1d858146bce
SHA256チェックサム: 3f7fe7b9940c78b98721fdd865a058e0e3b61b65e45cd905615b91a828128ff7
注記
チェックサムの生成方法
MD5:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA:以下のコマンドを使用してください。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが1.0.10の場合、X.X.XXを1.0.10に置き換え、出力(sastXX.shaまたはsastXX.md5)には、10などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたContrast Scanローカルエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいContrast Scanローカルエンジンのバージョンに置き換えてください。
リリース日:2024年3月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンの利用をリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
CLIオプションに
--timeoutを追加し、多言語ソースコードのスキャンエンジンが指定されたソースコードをスキャンする最長時間を制御できるようにしました。このオプションの値には、時間を分単位で指定します。このオプションは、各言語に適用されます。例えば、リポジトリに4つの言語がある場合に、このオプションの値を120分に設定すると、スキャンに最大8時間(120分 x 4言語)かかる可能性があります。
この機能は、ローカルスキャンエンジンに対してのみ使用できます。
ファイルとフォルダを除外する機能を追加しました。
この機能を使用するには、スキャンするソースコードのルートフォルダに
.contrast-scan.jsonという名前のファイルを追加します。ファイルとフォルダの除外にて、この機能の使用方法について説明しています。この機能は、ローカルスキャンエンジンでのみ利用可能で、多言語ソースコードのスキャンでのみサポートされます。
JSONファイルのファイル形式は次のとおりです。
// File name ".contrast-scan.json" { "excludes": [ "**/MavenWrapperDownloader.java", "**/*.js" ] }多言語ソースコードのスキャンで、送信されたコード内で対象テクノロジを検出できない場合、スキャンを自動的に失敗するようにしました。
修正された不具合:
競合状態を引き起こし、パフォーマンスが低下する可能性があるバグを修正しました。
SARIFファイルへの出力で誤った日付形式が生成される不具合を修正しました。この誤った日付形式によって、GitHubでSARIF出力を使用する際にエラーが発生していました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.9となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年2月15日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
Githubユーザ向けにリポジトリのスキャンのサポートを追加しました。
Contrast Scanのバージョン1.0.8から、Githubリポジトリでのメインブランチのスキャンをサポートする新しいGithubアクションに対応するようになりました。この機能によって、指定した脆弱性の深刻度以上が存在する場合に、ビルドを失敗させることができます。詳しくは、GitHubリポジトリでContrast Scanを使用をご覧ください。
多言語スキャンエンジンの最小メモリ要件を8GBに増やし、タイムアウト設定を60分に増やしました。これは、Javaバイナリスキャナを使用する.JARと.WARファイルのスキャン時の最小メモリ要件である12GBを置き換えるものではありません。ローカルスキャンエンジンのすべてのユーザは、スキャンの実行時に12GBのメモリを使用できるようにすることを引き続きお勧めします。
修正された不具合:
ローカルスキャンエンジンでのスキャン時に、一部の言語が多言語スキャンエンジンで正しく識別されない問題に対処しました。多言語ソースコードのスキャンエンジンで識別される全ての言語が正しく特定され、スキャンされるようになりました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.8となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日:2024年1月25日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
新機能と改善点:
多言語ソースコードに対応したスキャンエンジンで使用されるメモリを2Gに増やし、より大きなコードベースをサポートできるようにしました。ローカルスキャンエンジンを使用する場合の最小メモリ要件は、12GBのままです。
CLIに
--memoryパラメータを追加しました。これにより、多言語ソースコードに対応したスキャンエンジンの割り当てメモリをオーバーライドできます。ローカルスキャンエンジンの起動時に使用されたパラメータをキャプチャするためのログを追加しました。このログ記録によって、ローカルスキャンエンジンを呼び出したコマンド全体(例えば、
-r、-pなど)がキャプチャされ、トラブルシューティング時に使用できます。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.7となっています。バージョン1.0.0、1.0.1、1.0.2、1.0.5、1.0.6は、多言語スキャンエンジンの内部テストおよびベータ版と見なされ、Contrastのお客様がダウンロードすることはできません。
修正された不具合:
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年12月14日
注記
このバージョンのローカルスキャンエンジンは、リクエストによってのみ利用可能です。今回、Contrastはチェックサム情報を公開しません。
このバージョンのローカルスキャンエンジンのアクセスをリクエストするには、Contrastの通常のサポートプロセスに従ってください。
新しいローカルスキャンエンジンは、近日中に、一般利用を可能にする予定です。
修正された不具合:
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.4となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年11月
注記
Contrast Scanローカルエンジン1.0.3は、現在制限付きのリリースとなっています。そのため、現時点ではチェックサム情報は提供されません。
このバージョンをご利用頂くには、サポートチケットを発行してリクエストしてください。ご不便をおかけして申し訳ございませんが、早急に対応させて頂きます。
新機能と改善点:
2023年11月29日
ロールベースのアクセス制御の認証の問題を修正しました。空のリソースグループにプロジェクトを割り当てようとした場合や、ユーザが複数のリソースグループにアクセスできるにも関わらずリソースグループを指定しなかった場合に、403エラーがトリガーされる可能性がありました。
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成時にContrast CLIの
-r <リソースグループ名>オプションが必須になりました。
2023年11月8日
Contrast Scanローカルエンジンは、25以上の言語のソースコードのスキャンに対応するようになりました。対応する言語の一覧は、Contrast Scanのサポート対象言語を参照して下さい。
ローカルエンジンは、適切なJVMを実行しているWindows環境でネイティブに実行できるようになりました。
スキャンするアーティファクトのパスにスペースを使用すると、致命的なスキャンエラーが発生する問題を修正しました。
ローカルスキャンエンジンから不要なログを削除し、Javaバイナリファイル(JARファイルまたはWARファイル)のスキャン時の全ディスク領域の使用率を削減しました。
Alpine Linuxで実行するとローカルスキャンエンジンが失敗する問題を修正しました。
重要
多言語ソースコードに対応したこの新しいスキャンエンジンは、バージョン1.0.3となっています。バージョン1.0.0、1.0.1、1.0.2は、多言語スキャンエンジンの内部テストおよびベータ版とみなし、Contrastのお客様がダウンロードすることはできません。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年7月24日
修正された不具合:
ローカルスキャナで、複数のJARファイル内に見つかった全ての脆弱性が報告されていなかったバグを修正しました。ZIPファイル内で最後にスキャンされたJARファイルのみが報告されていました。
MD5チェックサム:f57f9174d0643832f9e38b95998fe280
SHAチェックサム: 8b2f5680111c5a4e5999a3449ee871bb822d27f6
注記
チェックサムの生成方法
MD5: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XXを0.0.60に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年5月22日
新機能と改善点:
プロジェクトを始めてスキャンする時に、ローカルスキャンエンジンのパラメータとして、リソースグループを指定できる機能が追加されました。
この機能を利用するには、組織でロールベースのアクセス制御が有効になっており、新しいプロジェクトを作成するための十分な権限(Manage Projectロール以上)が必要です。
リソースグループ名は、
-rパラメータで指定します。
MD5チェックサム: 0fa38c5c9e46e3b2c6bdb2d2ed3baa20
SHAチェックサム: 76fe00f7d70d45176904a2b62a9d1083f0731a03
注記
チェックサムの生成方法
MD5 : 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.XX.jar.md5 -o sastXX.md5
SHA: 以下のコマンドを使用します。
curl -L -H 'Accept: application/vnd.github.v3.raw' -s https://$CONTRAST_GITHUB_PAT@maven.pkg.github.com/Contrast-Security-Inc/sast-local-scan-runner/com.contrastsecurity.sast-local-scan-runner/X.X.XX/sast-local-scan-runner-X.X.X.jar.sha1 -o sastXX.sha
どちらの種類のチェックサムも、X.X.XXの箇所をダウンロードしてチェックサムで検証するエンジンのバージョンに置き換えてください。例えば、エンジンのバージョンが0.0.60の場合、X.X.XXを0.0.60に置き換え、出力(sastXX.shaまたはsastXX.md5)には、60などの現在のバージョンを表す値を指定します。
アプリケーションの署名の確認
ダウンロードしたローカルスキャンエンジンが、Contrastによって作成され署名されているかを確認するには、次のコマンドを実行します。
jarsigner -verify -verbose -certs sast-local-scan-runner-0.0.XX.jar
XXは、確認したいローカルスキャンエンジンのバージョンに置き換えてください。
リリース日: 2023年4月6日
新機能と改善点:
複数JARのスキャンに対応
このリリースでは、複数のJARファイルを1つのアーティファクトとしてスキャンできる機能が追加されました。複数のJARファイルをZIPファイルに追加し、1つのアーティファクトとしてスキャンすることができます。
複数JARのZIPファイルをスキャンするには、最上位レベルでJARファイルをZIPファイルにパッケージし、通常通りContrast Scanローカルエンジンを使用してスキャンします。例:
multiple-jar-artifact.zip -> artifact1.jar -> artifact2.jar -> artifact3.jar
スキャンが完了すると、Contrast Webインターフェイスでは、「スキャン」タブの下に1つのプロジェクトとして表示されます。
修正された不具合:
リリース0.0.57から0.0.59に、スキャンの動作やパフォーマンスに影響しない内部のバグ修正が含まれています。
スキャンWebインターフェイス
リリース日: 2024年6月11日
新機能と改善点:
Added the ability to update the status of multiple vulnerabilities at the same time, as described in Batch edit Scan vulnerability status.
修正された不具合:
Fixed an issue that prevented some how-to-fix information from displaying correctly for VB.NET and ABAP vulnerabilities
リリース日: 2024年6月11日
新機能と改善点:
検出された脆弱性に関連付けられた言語を表示する機能を追加しました。
「言語」列に新しくコンテンツを表示するには、プロジェクトで新しいスキャンを実行してください。以前に行ったスキャンに対しては、Contrast Webインターフェイスで言語の情報は表示されません。
言語を正しく識別するためには、Contrast Scanローカルエンジンのバージョン1.1.1を使用する必要があります。以前のバージョンのローカルエンジンを使用すると、Contrast Webインターフェイスに言語として複合が表示されます。これが表示され、Contrast Scanローカルエンジンを使用している場合は、バージョン1.1.1にアップグレードしてください。
検出された脆弱性に関連付けられた言語で、表示をフィルタリングする機能を追加しました。
修正された不具合:
修正方法の情報がWebインターフェイスに正しく表示されていなかった問題を修正しました。
C++の脆弱性とC#の脆弱性が、2回カウントされていた問題を修正しました。
この変更の結果、システムの修正ワークフローによって、C++の場合、重複して検出された脆弱性は「修復済」とマークされることになりました。C#の場合、重複して検出された脆弱性は「オープン」ステータスのままとなります。
リリース日: 2024年5月14日
修正された不具合:
Contrast Scanのコンプライアンス対応レポート生成時のパフォーマンスの問題により、レポートの生成は、深刻度とステータスに基づいて100件のオープン中の脆弱性に制限されるようになりました。より大きなレポートは、今後対応する予定です。
Contrastへのファイルアップロードで、500MBを超えるファイルによってメモリ不足(OOM)エラーが発生する可能性があり(特にScan CLIコマンドを使用した場合)、この問題に対応しました。この修正によって、ファイルのアップロードサイズが1GBを超えることはありませんが、Contrast WebインターフェイスへのアップロードとCLIへのアップロード間で一貫した操作性を提供できるようになりました。1GBを超えるリポジトリがある場合は、Contrast Scanのローカルエンジンの使用を検討してください。
リリース日: 2024年4月25日
新機能と改善点:
各脆弱性のコードスニペットが含まれるようにCSVレポートを拡張しました。
各脆弱性のパスからファイル名と行番号を確認できるようにCSVレポートを変更しました。
ステータスが 修復済および問題無しの脆弱性を除くようにCSVレポートを変更しました。
CSVレポートをプログラムで生成する際に、APIコールにフィルタを指定できる機能を追加しました。
CSVレポートをタイムリーに生成して、パフォーマンスの問題に対処するために、CSVレポートは、深刻度とステータスに基づいて最初の2,000件のオープン中の脆弱性に制限するようにしました。
2,000行の制限を超えるCSVレポートを作成する場合のために、CSVレポート生成時のAPIにページネーションを追加しました。
修正された不具合:
スキャンのアーキテクチャを改善し、より大規模なソースコードリポジトリのスキャンと、大量の検出結果の処理を高速化しました。
リリース日: 2024年3月
修正された不具合:
競合状態を引き起こし、Contrast Webインターフェイスのパフォーマンスが低下する可能性があるバグを修正しました。
Contrast Webインターフェイスで、プロジェクトの検索時に検索パラメータの一部としてアンダースコア(_)を指定するとエラーになる不具合を修正しました。
リリース日:2024年2月15日
新機能と改善点:
スキャンプロジェクトの脆弱性タブに、検出された言語の列を追加しました。この列の値は、脆弱性に関連付けられた言語を示します。
スキャンプロジェクトの脆弱性タブで、検出された言語で表示をフィルタリングする機能を追加しました。
今回のリリースで、SASTに対応したJiraとの自動化連携が可能になりました。
このJira連携を設定すると、脆弱性に関する通知をJiraプロジェクトに自動的にプッシュできます。この連携を設定するには、1つのJiraプロジェクトと1つ以上の深刻度を指定します。詳細については、Jira Cloudを参照してください。
複数のJiraプロジェクトのサポートは、今後のリリースで予定しています。
修正された不具合:
一部の言語が多言語ソースコードのスキャンエンジンで正しく識別されない問題に対処しました。
リリース日: 2024年1月
新機能と改善点:
2024年1月25日
新機能と改善点:
Contrast Webインターフェイスのスキャンプロジェクトページで、多言語ソースコードのスキャンエンジンで検出された言語が表示されるようになりました。
検出された言語に基づいてスキャンプロジェクトを検索する機能を追加しました。
修正された不具合:
多言語ソースコードに対応したスキャンエンジンが呼び出された際に、スキャンの失敗を示唆していたCLIのバグを修正しました。
スキャンの完了後に、検出された脆弱性の一覧がCLIの出力に表示されないCLIのバグを修正しました。
.NETアプリケーションのスキャン時にソースコードが正しく認識されない問題に対処しました。
コード成果物でABAPコードが報告される場合に複数言語スキャンエンジンが無視する問題に対処しました。
リリース日: 2023年12月
新機能と改善点:
2023年12月14日
新機能:「スキャンプロジェクト」ページおよびスキャンプロジェクトページの「脆弱性」タブから、スキャンプロジェクトのコンプライアンス対応レポートを作成できるようになりました。
ユーザが脆弱性のステータスを修正完了に変更できる機能を削除しました。このステータスは、後続のスキャンでソースコードに脆弱性がまだ存在するかどうかに基づいて、スキャンエンジンによって判定されます。
VB.NETおよびScalaのソースコードが、多言語エンジンによって正しく識別、スキャンされない不具合を修正しました。
リリース日: 2023年11月
新機能と改善点:
2023年11月28日
ロールベースのアクセス制御が有効になっている場合、スキャンプロジェクトの作成にリソースグループの指定が必要になりました。スキャンプロジェクトの作成画面には、プロジェクトを作成しているユーザに割り当てられているリソースグループの一覧を表示するドロップダウンがあります。ユーザのロールに割り当てられたリソースグループが1つの場合は、このリソースグループがデフォルトの選択になります。
また、ユーザにはプロジェクトの作成アクションが含まれたロールが必要です。
スキャンプロジェクトの作成にて、この新しい要件について説明しています。
2023年11月8日
新機能: Contrast Scanで2種類のスキャンを提供するようになりました。Javaファイル用のJavaバイナリスキャンと、その他の多くの言語やテクノロジ用のソースコードスキャンです。
ソースコードスキャンを選択した場合、スキャンしたいソースコードが含まれるZIPファイルをアップロードします。
新機能: Contrast Scanのサポート対象言語とテクノロジに記載されているように、ソースコードスキャンによってスキャンのサポート対象が拡張され、25以上の言語とテクノロジが追加されました。このソースコードスキャンを使用するには、新しいプロジェクトを作成する際に、ソースコードのオプションを選択して下さい。
SaaS版ご利用の場合: Contrast Scanでは、ソースコードスキャンの多言語検出に対応するようになりました。ZIPファイルをアップロードすると、ZIPファイル内に存在する言語がスキャンエンジンによって判別されて、各ファイルがスキャンされます。結果は、Contrastで1つのスキャンプロジェクトで表示されます。
スキャンプロジェクトの作成時に言語を選択する必要がなくなりました。Contrast Scan側で、アップロードするコードアーティファクトの種類を判別できるようになりました。複数のJARやソースコードを含むZIPファイルだけでなく、単一のJARやWARファイルも引き続きサポートされます。
ダウンロードできるCSVファイルに2つのフィールドを追加しました。
Language(言語):脆弱性の言語を示します。
Comment(コメント):脆弱性に対する最後のコメントを表します。
既存のプロジェクトに対して新たにスキャンを実行すると、これらのフィールドがCSVファイルに入ります。
リリース日:2023年6月
新機能と改善点
2023年6月30日
脆弱性の現在のステータスを変更することなく、脆弱性のステータスにコメントできる機能を追加しました。特定の脆弱性の「アクティビティ」タブで、コメントを追加できます。
2023年6月12日
スキャンページとスキャンの詳細ページの上部にプロジェクト作成者の名前を表示することで、誰がプロジェクトを作成したかを確認できるようになりました。
プロジェクトの特定のスキャンを誰が実行したかを確認できるようになりました。
スキャンページの「スキャン履歴」で、特定のスキャンを実行した人の名前が表示されるよう、名前の列を新規に追加しました。スキャンの詳細ページにもスキャンを実行した人が表示されます。
注記
上記の機能は、いずれも新規プロジェクトおよび新規スキャンに適用されます。既存のプロジェクトやスキャンには、これらの新情報は表示されません。
リリース日: 2023年5月
新機能と改善点:
Javaバイナリスキャナが複数JARのスキャンに対応するようになりました。
SaaS版のJavaバイナリスキャナを使用する場合(Contrast CLIまたはContrast Webインターフェイスを使用)、1つのZIPファイルに複数のJARファイルを含めることができるようになりました。
アップロードできるZIPファイルのサイズの上限は、1GBです。
リリース日: 2023年4月
新機能と改善点:
プロジェクト内の脆弱性に対して行われたステータスの変更に関する情報を表示する、脆弱性のアクティビティタブを追加しました。
このタブを表示するには、選択したスキャンプロジェクトの「脆弱性」タブを選択し、特定の脆弱性を選択します。
プロジェクト内の脆弱性のステータスを変更する際に、コメントを追加できるようになりました。
全てのプロジェクトを管理できるロールのあるユーザに対して、Contrast Webインターフェイスでプロジェクトと関連する全てのデータを削除できる機能を追加しました。