2024-06-24
サーバに導入済みのスキャナは定期的に更新してください。
2024年6月24日リリースのスキャナバージョン (スキャナバージョンの確認方法)
| OS | スキャナバージョン | スキャン実行スクリプト |
|---|---|---|
| Linux用 | [NEW] vuls v0.26.0-rc2 build-cb26be1 | Version: 2024/02 |
| Windows用 | vuls v0.25.2 build-e25ec99 | Version: 2023/09 |
| Trivy | 0.49.1 | 2024/04 |
新機能:マリシャスパッケージ管理#
悪意のあるコードを含むパッケージを自動検知・検索する新機能を追加しました。これにより、意図せず依存ライブラリに組み込まれて利用されているマリシャスパッケージを検知可能になりました。
マリシャスパッケージ情報の表示#
ソフトウェア一覧や詳細画面で、マリシャスパッケージ情報を確認できます。
詳しくは「ヘルプ > ソフトウェア」をご参照ください。
マリシャスパッケージの横断検索#
グループセット機能はCSIRTプランのみ対象です。
グループセット内でマリシャスパッケージに汚染されたソフトウェアをグループ横断検索できます。例えば、「すべてのグループを所属させたALLグループセット」を作成し、全社横断でマリシャスパッケージの混在をチェックできます。
新機能:ライブラリEOL管理の強化#
グループセット機能はCSIRTプランのみ対象です。
グループセット内でEOLが判明しているソフトウェアをグループ横断検索できるようになりました。例えば、「すべてのグループを所属させたALLグループセット」を作成し、全社横断でEOL情報をチェックするといった用途で使えます。
新機能:SBOMインポート機能の強化#
- SPDX仕様のSBOMファイルをインポートできるようになりました。
- CycloneDX Generator (cdxgen)のSBOMをインポートできるようになりました。
SBOMインポート機能の詳細は以下のマニュアルを参照してください。
新機能:タスクコメントへのファイル添付#
本機能はCSIRTプランのみ対象です。
投稿したコメントにファイルを添付できる機能を追加しました。クリップアイコンをクリックするとファイル添付のダイアログが開きます。
添付できるファイルの制限は以下の通りです:
- ファイルサイズ上限: 100MB
- アップロード可能なファイル形式:
- 画像ファイル(
.jpg,.jpeg,.png,.gif,.bmp,.tiff) - 動画ファイル(
.mp4,.avi,.mov,.wmv,.mkv) - テキストファイル(
.txt,.csv,.log) - 文書ファイル(
.pdf,.doc,.docx,.xls,.xlsx,.ppt,.pptx) - 圧縮ファイル(
.zip,.rar,.7z,.tar.gz)
- 画像ファイル(
機能改善#
対応OSの追加#
2024年4月26日にリリースされたUbuntu 24.04 Noble Numbatに対応しました。対応OSの一覧は「対応環境」をご参照ください。
Lockfileの種別追加#
サーバに登録できるアプリケーションライブラリの種別を追加しました。以下のLockfileに対応しています:
| 言語 | パッケージ管理 | Lockfile |
|---|---|---|
| dart | pub | pubspec.lock |
| elixir | mix | mix.lock |
| swift | cocoapods | Podfile.lock |
| swift | swift | Package.resolved |
| Go | - | go.mod(go.sumは非推奨) |
「サーバ」>「アプリケーションライブラリ」の「LOCKFILE追加」から追加できます。
タスクステータス更新日時の表示#
タスクのステータスが更新された日時をグループ・グループセットのタスク一覧の ステータス更新日時 から確認できるようになりました。
ステータス更新日時 をフィルタ・ソートして、指定した期間にステータスが変化したタスクを確認できます。
コメント投稿日時の表示#
グループとグループセットのタスク一覧の コメント更新日時 列から最新のコメントが投稿された日時を確認できるようになりました。
コメント更新日時 をフィルタ・ソートすることで、最新コメントが投稿されたタスクを確認できます。
AWS LambdaとECRの一括登録#
グループのAWS認証情報に紐付くAWS LambdaとECRをFutureVulsコンソールに表示し、その中から複数選択して登録できるようになりました。
これまでのようにAWSコンソールでURIやARNを1つ1つコピーする必要がなく、FutureVulsコンソール内で一度の操作で登録処理を完結できます。
この新機能を利用するには、AWSポリシーに以下の2つのアクションを追加する必要があります:
- DescribeRepositories (ECRの一括登録)
- ListFunctions (Lambdaの一括登録)
詳細は「AWS認証設定」をご確認ください。
ユーザの最新アクセス日時の取得#
オーガニゼーション単位で、ユーザがFutureVuls上で最後に操作した時刻情報を、FutureVuls APIで取得できるようになりました。
メンバ一覧取得のAPIで、 lastAccessedAt というフィールドから取得可能です。長期間利用されていないユーザの監査にご活用ください。
FutureVuls APIからロールとグループのSSVC設定が取得できるように#
FutureVuls APIで、ロールとグループのSSVC設定を取得できるようになりました。
SSVC設定を取得できるAPIは以下の2つとなります。
- ロール詳細取得のAPI
serverRoleSSVCDecisionPointというフィールドから取得可能です。
- グループ一覧取得のAPI
groupSSVCDecisionPointというフィールドから取得可能です。
スクリプト等を用いて複数のロール、グループのSSVC設定をまとめて取得できます。
効率的なSSVC設定の管理にご活用ください。
グループ・グループセットへユーザを追加するAPIを追加#
FutureVuls APIで、オーガニゼーションに所属しているユーザを、グループ・グループセットに追加できるようになりました。
スクリプト等を用いて複数のユーザのグループ・グループセットへの追加を自動化できます。効率的なユーザの管理にご活用ください。
詳しくはこちらのドキュメントも参考にしてください。
グループの「重要な未対応」の条件設定で脆弱性優先度を選択可能に#
今までグループの「重要な未対応」の条件には脆弱性優先度 HIGH のものが自動的に条件に設定されていましたが、今回のリリースで脆弱性優先度を HIGH MEDIUM 未設定 の3種類から選択可能になりました。(デフォルトでは HIGH が設定されています。)
各値を設定した時の「重要な未対応」の判断は以下のとおりです:
- HIGH: 脆弱性優先度
HIGHのものは重要な未対応の対象となる - MEDIUM: 脆弱性優先度
HIGHとMEDIUMのものは重要な未対応の対象となる - 未設定: 脆弱性優先度を対象としない
仕様変更#
- 通知用メールアドレスの通知対象に、Daily Report / Weekly Reportを追加しました。
- Immediateなタスク通知の通知対象設定が「グループ全員」の場合、通知対象を変更しました。
- 変更前:グループに所属するユーザ / そのグループを含むグループセットに所属するユーザ / オーナー / CSIRT
- 変更後:グループに明示的に所属するユーザのみ
- タスクコピー時に、過去のタスクコメントもコピーするようにしました。また、コピー時にタスクコピーに伴う変更内容をコメントとして記録します。