2026-06 リリース内容(事前予告版)#
本ドキュメントは、2026年6月3日に予定している正式リリースの予告サマリです。 内容・日付・名称は変更される可能性があります。
重要なお知らせ#
【要対応】deprecatedにしていたSBOM関連のAPIを削除しました#
2025年11月リリースで deprecated として通知していた、/v1/lockfile/sbom の API エンドポイントを削除しました。
該当エンドポイントへのリクエストは 404 Not Found を返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の /v1/sbom への移行をお願いします。
【要対応】Public API のエラーレスポンスを改善しました#
Public API (rest.vuls.biz) のエラーレスポンスを以下のように改善しました。
- 権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却(従来は HTTP 500 「内部エラー」)
- 未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却(従来は空レスポンス相当)
既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。
重要な新機能・改善#
ソフトウェア詳細タブを大幅に拡張し、OSS の「健全性」を可視化できるようになりました#
ソフトウェアサプライチェーン攻撃への対策として、「依存先 OSS の健全性」を把握することの重要性が高まっています。本リリースではソフトウェア詳細に OSS の健全性を判断するための情報を追加し、利用継続の判断をしやすくしました。
判断材料として、以下の情報が表示されます。
- ソフトウェアの概要
- 更新状況などの健全性に関する情報(更新がアクティブか、滞っていないか など)
- セキュリティ評価(セキュリティポリシーの有無、セキュリティパッチの提供状況 など)
- 開発者向け・運用者向けのサマリ
- 当該ソフトウェアに対する推奨アクション
このほか、判断の根拠となる各種詳細ページへの外部リンクも表示されます。
なお、上記の分析は パッケージの最新安定版 を対象とした評価です。サーバ内で検知した特定バージョン(express@4.17.1 等)に対する評価ではない点にご留意ください。
EU 脆弱性データベース(EUVD)・ENISA KEV に対応しました#
CRA(Cyber Resilience Act)の脆弱性報告義務(2026 年 9 月 11 日施行)への準備として、EUVD(European Union Vulnerability Database)を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。
これら KEV 情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みも追加しました。通知対象はグループ設定から選択でき、PSIRT オプションが有効なオーガニゼーションではデフォルトで通知が有効になります。
CVSS v4 を一覧画面・Public API・各種フィルタ・通知で扱えるようになりました#
これまで CVSS v4 のみが提供される脆弱性が一覧・Public API・重要フィルタから漏れる事象が発生していましたが、本リリースで CVSS v4 のスコアおよび最大値を、一覧表示・API 取得・重要フィルタ・自動トリアージ(自動 CVE 優先度・自動無視・自動タスク優先度)の判定対象に追加しました。あわせて、通知メールや CSV レポートにも CVSS v4 のスコア・ベクターを表示します。
CVSS v2 列の削除予告
本リリースでは CVSS v2 列は存置しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。
SSVC の Exploit (PoC) 判定および Exploit の詳細情報から PoC-in-GitHub を除外しました#
信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、PoC-in-GitHub(GitHub 上の PoC リポジトリ情報)を除外しました。PoC-in-GitHub のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。
ライブラリの直接依存/間接依存を判別し、間接依存の更新元を逆引きできるようにしました#
ライブラリスキャン結果に「直接依存(direct)/間接依存(indirect)」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。
また、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針(どのライブラリを上げれば対象の間接依存が更新されるか)を判断しやすくなります。
新機能追加#
公式対応ツール以外で生成されたSBOMも取り込めるようになりました#
これまでは、 FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。 本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。
SBOMの公式対応ツールを拡充しました#
SPDX形式で出力したFutureVuls製のSBOM#
これまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。 本リリースから、 SPDX 2.3 形式の SBOM についても正式に対応しました。
CycloneDX Gradle Plugin で生成されたSBOM#
CycloneDX 公式の Gradle プラグイン(cyclonedx-gradle-plugin)で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。 Java / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。
SBOM内の要素の取り込み対応範囲を拡張しました#
SBOM 取り込み処理の以下の点を機能改善しました。
- CycloneDX 形式での
component.typeの取り込み対象を拡張しました。firmwareやdeviceなどもインポート対象になります。 - SBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました
AWS ECR 連携サーバの最新スキャンイメージ情報をサーバ API から取得できるようになりました#
サーバ一覧・サーバ詳細の Public API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報(イメージ名・タグ)を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。
GitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました#
GitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL(Package URL)が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能(EOL 検知、GHSA マッチング等)がデフォルトで利用できます。
マリシャスパッケージ情報を取得する Public API を追加しました#
マリシャスパッケージとして検知されたパッケージ情報を、グループおよびグループセット横断で取得できる Public API を追加しました。グループに所属していない CSIRT ユーザでも、配下の全グループのマリシャスパッケージ情報をまとめて取得できるようになります。
重要なバグ修正#
タスク詳細 Public API のレスポンスキー不整合を修正しました#
以下のタスク詳細系 Public API のレスポンスについて、ドキュメント記載のキー名(pkgCpes)と実際のレスポンスのキー名(serverSoftwares)が一致していなかった問題を修正しました。
| Operation | Method | Path |
|---|---|---|
getTaskDetail |
GET | /v1/task/{taskID} |
updateTask |
PUT | /v1/task/{taskID} |
addTaskComment |
POST | /v1/task/{taskID}/comment |
getGroupSetTaskDetail |
GET | /v1/groupSet/task/{taskID} |
addGroupSetTaskComment |
POST | /v1/groupSet/task/{taskID}/comment |
互換性維持のため、レスポンスには serverSoftwares(正式キー)と pkgCpes(deprecated)の両方を含むようにしています。今後の新規連携では serverSoftwares をご利用ください。pkgCpes は移行猶予期間を経て、将来のリリースで削除予定です。
SBOM関連機能の問題を修正#
SBOM 取り込み処理の以下の不具合を修正しました。
- FossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題
- SPDX 形式の SBOM で一部コンポーネントを取り込めない問題
- Syft で生成した Oracle Linux サーバの取り込みに失敗する問題
- Red Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題
syft の SBOM に長い type 名が含まれる場合に取り込みが失敗する問題を修正しました#
syft で生成した SBOM に github-action-workflow 等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題を修正しました。
Windows サーバの SBOM 出力に適用済み KB 情報が含まれない問題を修正しました#
Windows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題を修正しました。
一覧テンプレでフィルタ条件が一部反映されない問題を修正しました#
保存した一覧テンプレを適用した際に「空である/空でない」のフィルタ条件が反映されない問題を修正しました。
SSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました#
ログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。
UI/UX 改善#
一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました#
一覧画面の初期表示カラムを大幅に削減しました。初見のユーザさんから「多数のカラムに戸惑った」という声をいただいていたため、判断に必要な最低限の情報のみを表示しています。
これまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。
設定画面に「高度な設定」の折りたたみを導入しました#
設定画面を再構成し、日常の管理に必要な必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。
こちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。
トークン・Vuls プロキシパスワード等のシークレット情報を伏字(マスキング)表示するようになりました#
以下のシークレット情報について、伏字(マスキング)で表示するように変更しました。
- トークン一覧のトークン文字列
- サーバスキャン追加画面の curl コマンド(インストールコマンド全体を伏字化)
- その他設定画面の API キー等
マスキングされた文字をクリックすると、マスキング文字の表示非表示を切り替え、もしくは、対象の文字列のクリップボードへのコピーをします。
ショルダーハッキング等によるシークレットの漏洩リスク軽減を目的としています。
Microsoft Teams への通知の表示幅を拡大しました#
Teams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。
パフォーマンス改善#
グループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました#
グループ脆弱性一覧 API(getCves)およびグループセット脆弱性一覧 API(getGroupSetCves)について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。
ご不明な点がございましたら、サポートチームまでお問い合わせください。