サーバに導入済みのスキャナは定期的に更新してください。
2024年4月1日リリースのスキャナバージョン (スキャナバージョンの確認方法)
OS | スキャナバージョン | スキャン実行スクリプト |
---|---|---|
Linux用 | [NEW] vuls v0.25.2 build-e25ec99 | Version: 2024/02 |
Windows用 | [NEW] vuls v0.25.2 build-e25ec99 | Version: 2023/09 |
Trivy | [NEW] 0.49.1 | 2024/04 |
OSSライブラリのEnd Of Life (EOL) 情報を一元管理する新機能を導入しました。これにより、セキュリティ部門や運用者は、EOLに達したライブラリを素早く特定し、アップデート計画を前もって立てることが可能になります。
詳細は、「ヘルプ > ソフトウェア」を参照してください。
現在EOL検知に対応しているスキャン方法は、以下の4つのみとなります。
AWS Lambdaの脆弱性をFutureVulsで管理する機能を新たに提供します。Amazon Inspectorとの連携により、AWS Lambdaの脆弱性情報をFutureVuls上で一元的に管理し、SSVCを活用した自動優先度判断とタスク管理が可能です。
組織全体のグループやメンバ情報を簡単に取得できる新APIを追加しました。定期的な監査や管理作業を効率化するためにご利用いただけます。
オーガニゼーションの全グループとそのメンバ情報を確認できます。 組織全体のグループ / グループセット / メンバ所属状況などの、定期監査で必要な情報をREST APIで取得できます。
APIドキュメントで詳細なResponseを確認できます。
指定したオーガニゼーションのグループセットの一覧とそのグループ、メンバの一覧を取得します。 レスポンスには各グループセット内でのグループ情報や所属ユーザ情報などが含まれます。 グループセットの作成状況および各グループの所属情報を把握する際にご活用ください。
APIドキュメントで詳細なResponseを確認できます。
指定したオーガニゼーションに所属する全メンバのロールやグループ所属状況を一覧表示します。 レスポンスには各ユーザの表示名、オーガニゼーション内での権限、各グループ内でのロールなどが含まれます。 メンバの表示名やログイン方法の監査や、メンバを起点としてどのグループに所属しているかを把握する際にご活用ください。
APIドキュメントで詳細なResponseを確認できます。
「脆弱性情報に何らかの変更」または「指定した期日まで」をOR条件で指定できるようになりました。
Windowsペーストスキャン機能を拡張し、サードパーティーアプリケーションのリストを簡単に登録できるようになりました。これにより、Windowsのペーストスキャンでもサードパーティーソフトウェアの脆弱性管理が容易になります。
簡単にCPE登録する方法は、FutureVuls Blogの「新機能:FutureVuls、Windowsのサードパーティソフトウェアの脆弱性検知がより楽に」を参照してください。
「グループ設定 > 通知」セクションに「メーリングリスト」オプションを追加。これにより、FutureVulsに登録されていないメールアドレスへの通知が可能になり、チーム全体への情報共有がスムーズに行えます。
今回のリリースでは、「Immediateなタスクの即時通知」に対応しました。 その他の通知機能についても、順次対応を検討しております。
検知された脆弱性に対して、グループ単位で脆弱性優先度を設定できるようになりました。
タスクと同様に脆弱性に対しても HIGH
, MEDIUM
, LOW
, NONE
の優先度を設定できます。
脆弱性が検知されてタスクが自動作成される際に、その時点で設定されている脆弱性優先度がタスクの優先度として自動設定されます。
なお、 HIGH
が設定された場合は脆弱性一覧とタスク一覧の該当行がハイライトされます。
オーガニゼーション設定からタスク優先度と脆弱性優先度の画面表記を任意のものに変更できるようになりました。
HIGH
, MEDIUM
, LOW
, NONE
をそれぞれ変更できます。
これまでSSVCトリガー&アクションの設定を変更した際に、既存タスクに対して新しいアクションの内容が自動適用されていませんでしたが、今回のリリースから変更時にアクションが自動適用されます。
具体的には、たとえば「immediateのトリガー&アクションの設定を変更し対応期限を1日後」に変更した場合は、「すでにimmediateがセットされている既存タスクの対応期限が明日」に自動適用されます。
なお、既存タスクへのアクションの適用は非同期で処理が行われるため、即時反映されない場合がある点をご認識ください。
FutureVulsでは脆弱性やタスクごとにパッチ提供の有無を表示していますが、一部スキャン方法(CPEスキャンとWindowsスキャン)において精度を改善しました。これにより、脆弱性への対応としてパッチを適用するのかそれ以外の方法を取るのか判断しやすくなりました。
これまではFutureVulsサービス側で保持している脆弱性DBは朝晩の2回更新していましたが、1日6回(4時間に1回)に変更しました。これにより、緊急度の高い脆弱性情報が公開された場合に、これまでよりも迅速に検知できるようになりました。
Trivy を 0.49 系にアップデートし、対応する LockFile が増えました。詳細は 対応環境をご覧ください。
WordPress本体、テーマ、プラグインの43,000件以上の脆弱性情報が管理されている「wpscan.com」の詳細情報が脆弱性詳細ページに表示されるようになりました。
また、Debianのアドバイザリの一部で「TEMP-から始まるアドバイザリ」についても脆弱性詳細ページにリンクが掲載されます。
今回のリリースで脆弱性優先度が追加されたため、Dangerフラグ機能を撤廃しています。過去にDangerフラグがつけられた脆弱性に関しては、優先度 HIGH
として変更をおこなっています。
Windowsの初回スキャン時に、ホスト名が自動的にFutureVulsのサーバ名として設定されるようになりました。
API
ユーザに変更これまで FutureVuls API 経由でタスクを更新すると、システム
ユーザによる更新としてタスクへのコメントが追加されていましたが、今回のリリースより API
ユーザのコメントとなるよう仕様を変更しました。
これまでグループへ外部のユーザを「SSOユーザ」として招待する際、承諾前にロール変更・招待破棄を行うことができませんでしたが、今回のリリースにより操作可能となりました。
Google CloudのContainer Registryサポート終了に伴い、FutureVulsではGCP連携機能を非推奨とします。Artifact Registryへの移行をお勧めします。詳細は、Google Cloudの公式アナウンスメントをご参照ください。