2023-02-06 リリース内容#
サーバに導入済みのスキャナは定期的に更新してください。
2023年2月6日リリースのスキャナバージョン (スキャナバージョンの確認方法)
- スキャナバイナリ
| OS | Scannerバージョン |
|---|---|
| Linux用 | vuls v0.22.0 build-554ecc4 |
| Windows用 | vuls v0.2.1 build-36d85c1 |
| Trivy | Version: 0.35.0 |
- スキャン実行スクリプト
Version: 2022/09
グループ/グループセットの権限管理をより柔軟に行えるように#
FutureVuls を全社導入している大企業や多数の顧客環境を運用する MSP(マネージドサービスプロバイダ)の「組織構造に合うように、柔軟にグループやグループセットを権限管理したい」というご要望にお応えしました。また、オーナー権限/CSIRT 権限はデフォルトで全グループの情報を確認・変更できるようになりました。それぞれについて説明します。
グループセットの権限を柔軟に設定できるように#
本リリースで、グループセットに対して管理者権限とメンバ権限を追加しました。
グループセット管理者はグループセットの閲覧・変更権限に加えて、グループセットに含まれるグループに対しての管理者権限も持ちます。同様にグループセットメンバはグループセットに含まれるグループに対してのメンバ権限も持ちます。この機能により、複数のグループに対するユーザ権限管理をよりスムーズに行えます。
グループセット管理者権限/グループセットメンバ権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。
オーナ権限/CSIRT権限でデフォルトで全グループの閲覧が行えるように#
これまではオーナ権限/CSIRT 権限のユーザがグループの情報を確認する際は、各グループに所属することが必須となっていました。
本リリースでオーナ権限/CSIRT 権限であれば、所属の手順なく各グループの情報を確認・変更が行えるようになりました。
これまで通りオーナ権限/CSIRT 権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。
ユーザ権限の仕様変更#
上記のような権限管理をより柔軟に行えるよう、権限の種類追加や参加手続きの廃止などをできるようにしました。 上位の権限を持っている時、その下位のグループセット権限や、グループ権限が自動で割り当たるようになりました。 どの権限で何ができるのかは以下の表を参照ください。
| 変更 | 権限種類 | CSIRTプランのみ | 権限説明 |
|---|---|---|---|
| ✓ | オーナ | - | すべての閲覧・変更ができる |
| ✓ | CSIRT | ✓ | 課金関係・オーガニゼーションユーザ管理以外の閲覧・変更ができる |
| ✓ | グループセット管理者 | ✓ | 該当のグループセットとグループセットに含まれるグループの設定と基本画面を閲覧・変更できる |
| ✓ | グループセットメンバ | ✓ | 該当のグループセットとグループセットに含まれるグループの基本画面を閲覧・変更できる |
| - | グループ管理者 | - | 該当グループの設定と基本画面を閲覧・変更できる |
| - | グループメンバ | - | 該当グループの基本画面を閲覧・変更できる |
| - | グループ招待者 | - | グループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ |
参考)本リリース以前の権限は以下のようになっていました。
| 権限種類 | CSIRTプランのみ | 権限説明 |
|---|---|---|
| オーナ | - | オーガニゼーション設定、グループセットの閲覧・変更ができる。グループへ管理者として参加できる。 |
| CSIRT | ✓ | 課金関係・オーガニゼーションユーザ管理以外のオーガニゼーション設定の閲覧・変更ができる。グループセットの閲覧・変更ができる。グループへ管理者として参加できる。 |
| グループ管理者 | - | 該当グループの設定と基本画面を閲覧・変更できる |
| グループメンバ | - | 該当グループの基本画面を閲覧・変更できる |
| グループ招待者 | - | グループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ |
ライブラリスキャンの強化(gradle.lockfile, conan.lock)#
新たに Java 系の gradle.lockfile と、C/C++系の conan.lock をサポートしました。
サポート対象の一覧は対応環境>アプリケーション依存ライブラリを参照してください。
Microsoft Teams への通知に対応#
グループ設定 > 通知から Teams の Incoming Webhook URL を登録することで、24時間以内に新たに検知した脆弱性を DailyReport として Microsoft Teams に通知する機能を追加しました。
連携で利用する Incoming Webhook URL は Microsoft Teams > Channel > Connectors > Incoming Webhook から発行可能です。
Teams で通知される内容は以下のとおりです。
- FutureVulsDailyReport
- カスタム警戒タグのメール通知
- トピック登録時のメール通知
- CloudOne 連携時のエラー通知
- スキャナ認証時のエラー通知
- スキャン時のエラー通知
グリッドのフィルタ条件をブックマークや共有可能に#
一覧表示のフィルタが URL へ反映されるようになりました。
フィルタを設定した一覧を表示してパーマネントリンクとしてコピー、またはブックマークへ保存できるようになります。
CPEで追加したソフトウェアにタグを登録できるように#
CPE で追加したソフトウェアに対して、タグを追加できるようになりました。
追加したタグは CPE の詳細画面や、タスク、脆弱性×タスク、ソフトウェアの一覧に表示されます。
グループセット単位でAPIを実行できるように#
グループセット設定にトークンページが追加され、グループセットに対する API トークンが作成できるようになりました。 これまではグループ単位で別々の API トークンを発行する必要があり管理が大変でした。 今後はグループセット単位で API トークンを発行することにより、グループ横断で脆弱性情報やソフトウェア情報を取得いただけます。 詳しい使い方は以下のドキュメントを参照ください。
REST API はユーザの意見を基に拡張を検討します。 API の追加等のご要望はお問い合わせください。
その他#
- DailyReport の「24時間以内に新規作成された SSVC PRIORITY の高い未対応タスク」のリンク先を修正しました
- いくつかの不具合を修正しました。