2024-06-24 リリース内容#
サーバに導入済みのスキャナは定期的に更新してください。
2024年6月24日リリースのスキャナバージョン (スキャナバージョンの確認方法)
| OS | スキャナバージョン | スキャン実行スクリプト |
|---|---|---|
| Linux用 | [NEW] vuls v0.26.0-rc2 build-cb26be1 | Version: 2024/02 |
| Windows用 | vuls v0.25.2 build-e25ec99 | Version: 2023/09 |
| Trivy | 0.49.1 | 2024/04 |
新機能:マリシャスパッケージ管理#
悪意のあるコードを含むパッケージを自動検知・検索する新機能を追加しました。これにより、意図せず依存ライブラリに組み込まれて利用されているマリシャスパッケージを検知可能になりました。
マリシャスパッケージ情報の表示#
ソフトウェア一覧や詳細画面で、マリシャスパッケージ情報を確認できます。
詳しくは「ヘルプ > ソフトウェア」をご参照ください。
マリシャスパッケージの横断検索#
グループセット機能は CSIRT プランのみ対象です。
グループセット内でマリシャスパッケージに汚染されたソフトウェアをグループ横断検索できます。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断でマリシャスパッケージの混在をチェックできます。
新機能:ライブラリEOL管理の強化#
グループセット機能は CSIRT プランのみ対象です。
グループセット内で EOL が判明しているソフトウェアをグループ横断検索できるようになりました。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断で EOL 情報をチェックするといった用途で使えます。
新機能:SBOMインポート機能の強化#
- SPDX仕様の SBOM ファイルをインポートできるようになりました。
- CycloneDX Generator (cdxgen)の SBOM をインポートできるようになりました。
SBOM インポート機能の詳細は以下のマニュアルを参照してください。
新機能:タスクコメントへのファイル添付#
本機能は CSIRT プランのみ対象です。
投稿したコメントにファイルを添付できる機能を追加しました。クリップアイコンをクリックするとファイル添付のダイアログが開きます。
添付できるファイルの制限は以下の通りです:
- ファイルサイズ上限: 100MB
- アップロード可能なファイル形式:
- 画像ファイル(
.jpg,.jpeg,.png,.gif,.bmp,.tiff) - 動画ファイル(
.mp4,.avi,.mov,.wmv,.mkv) - テキストファイル(
.txt,.csv,.log) - 文書ファイル(
.pdf,.doc,.docx,.xls,.xlsx,.ppt,.pptx) - 圧縮ファイル(
.zip,.rar,.7z,.tar.gz)
- 画像ファイル(
機能改善#
対応OSの追加#
2024年4月26日にリリースされた Ubuntu 24.04 Noble Numbat に対応しました。対応 OS の一覧は「対応環境」をご参照ください。
Lockfileの種別追加#
サーバに登録できるアプリケーションライブラリの種別を追加しました。以下の Lockfile に対応しています:
| 言語 | パッケージ管理 | Lockfile |
|---|---|---|
| dart | pub | pubspec.lock |
| elixir | mix | mix.lock |
| swift | cocoapods | Podfile.lock |
| swift | swift | Package.resolved |
| Go | - | go.mod(go.sumは非推奨) |
「サーバ」>「アプリケーションライブラリ」の「LOCKFILE 追加」から追加できます。
タスクステータス更新日時の表示#
タスクのステータスが更新された日時をグループ・グループセットのタスク一覧の ステータス更新日時 から確認できるようになりました。
ステータス更新日時 をフィルタ・ソートして、指定した期間にステータスが変化したタスクを確認できます。
コメント投稿日時の表示#
グループとグループセットのタスク一覧の コメント更新日時 列から最新のコメントが投稿された日時を確認できるようになりました。
コメント更新日時 をフィルタ・ソートすることで、最新コメントが投稿されたタスクを確認できます。
AWS LambdaとECRの一括登録#
グループの AWS 認証情報に紐付く AWS Lambda と ECR を FutureVuls コンソールに表示し、その中から複数選択して登録できるようになりました。 これまでのように AWS コンソールで URI や ARN を1つ1つコピーする必要がなく、FutureVuls コンソール内で一度の操作で登録処理を完結できます。
この新機能を利用するには、AWS ポリシーに以下の2つのアクションを追加する必要があります:
- DescribeRepositories (ECR の一括登録)
- ListFunctions (Lambda の一括登録)
詳細は「AWS認証設定」をご確認ください。
ユーザの最新アクセス日時の取得#
オーガニゼーション単位で、ユーザが FutureVuls 上で最後に操作した時刻情報を、FutureVuls APIで取得できるようになりました。
メンバ一覧取得のAPIで、 lastAccessedAt というフィールドから取得可能です。
長期間利用されていないユーザの監査にご活用ください。
FutureVuls APIからロールとグループのSSVC設定が取得できるように#
FutureVuls APIで、ロールとグループの SSVC 設定を取得できるようになりました。 SSVC 設定を取得できる API は以下の2つとなります。
- ロール詳細取得のAPI
serverRoleSSVCDecisionPointというフィールドから取得可能です。
- グループ一覧取得のAPI
groupSSVCDecisionPointというフィールドから取得可能です。
スクリプト等を用いて複数のロール、グループの SSVC 設定をまとめて取得できます。 効率的な SSVC 設定の管理にご活用ください。
グループ・グループセットへユーザを追加するAPIを追加#
FutureVuls APIを利用して、オーガニゼーションに所属しているユーザをグループ・グループセットに追加する機能を実装しました。 スクリプト等を用いて複数のユーザのグループ・グループセットへの追加を自動化できます。効率的なユーザの管理にご活用ください。 詳しくはこちらのドキュメントも参考にしてください。
グループの「重要な未対応」の条件設定で脆弱性優先度を選択可能に#
今までグループの「重要な未対応」の条件には脆弱性優先度 HIGH のものが自動的に条件に設定されていましたが、今回のリリースで脆弱性優先度を HIGH MEDIUM 未設定 の3種類から選択可能になりました。(デフォルトでは HIGH が設定されています。)
各値を設定した時の「重要な未対応」の判断は以下のとおりです:
- HIGH: 脆弱性優先度
HIGHのものは重要な未対応の対象となる - MEDIUM: 脆弱性優先度
HIGHとMEDIUMのものは重要な未対応の対象となる - 未設定: 脆弱性優先度を対象としない
仕様変更#
- 通知用メールアドレスの通知対象に、Daily Report / Weekly Report を追加しました。
- Immediateなタスク通知の通知対象設定が「グループ全員」の場合、通知対象を変更しました。
- 変更前:グループに所属するユーザ / そのグループを含むグループセットに所属するユーザ / オーナー / CSIRT
- 変更後:グループに明示的に所属するユーザのみ
- タスクコピー時に、過去のタスクコメントもコピーするようにしました。また、コピーの際タスクコピーに伴う変更内容をコメントとして記録します。