WhiteSource サーバーリリースノート

 

日本語ドキュメントの注意

古いリリースノートは重要度が低いと思われるため、機械翻訳のままになっている可能性があります。必要に応じて英語版を参照して下さい。

これらのリリースノートはWhiteSourceクラウドソリューション用であり、独自のリリースノートを持つオンプレミスソリューションには適用されません。

既知の問題を表示するには、ここをクリックしてください。

さらに、通知ページを定期的に確認して、最新情報を入手することをお勧めします。

注:リリースノートは、実際のリリース日まで変更される場合があります。

  • リリースノートは、実際のリリース日まで変更される場合があります。WhiteSourceは、このページのリリースを、バージョンの実際のリリースから最大48時間まで延期する権利を留保することに注意してください。

  • このページは「動的」であり、公式リリース間で変更される可能性があります。 WhiteSourceは、このページをさかのぼって変更する権利を留保します。 WhiteSourceの製品に対するすべての修正プログラム、変更、および追加について最新の状態になっていることを確認するために、公式リリースの合間にこのページを定期的にチェックしてください。

情報

情報

重要

バージョン21.3.2以降、WhiteSourceはドキュメントのさまざまなトピックと全体的な構造を変更します。これには、使いやすさを向上させるための既存のコンテンツの編集と圧縮(したがって、特定のトピックのアーカイブ)、不要なコンテンツや重複するコンテンツの削除、論理フローのトピック階層の再構築が含まれます。このプロジェクトは不特定の期間「進行中の作業」となるため、WhiteSourceはこれによりご不便をおかけしますことを事前にお詫び申し上げます。

バージョン21.8.1.1(2021年8月31日)

解決された問題

  • UnifiedAgentのjarファイルから到達不能なライブラリを削除しました。

バージョン21.8.1(2021年8月29日)

新機能とアップデート

ユニファイドエージェント

  • Unified Agentは、environment.ymlファイルで指定されたConda依存関係のスキャンをサポートするようになりました。Conda依存関係の検出は、デフォルトで有効になっている新しいパラメーターconda.resolveDependenciesによって制御されます。注:WhiteSource Condaの脆弱性の対象範囲は、現在Pythonの依存関係のみに限定されており、今後のリリースで拡張される予定です。

  • 含まれて今のパラメータをユニファイドエージェントの設定方法(環境変数、設定ファイルなど)すべてに適用されるデフォルト値(WhiteSource拡張機能をサポートしているすべて含ん)を持っています。

  • 除外のパラメータは現在のデフォルト値があります。
    **/.*, **/node_modules, **/src/test, **/testdata, **/*sources.jar, **/*javadoc.jar

  • Go依存関係の検出により、デフォルトでGoモジュール用に最適化されたリゾルバーが有効になりました。さらに、Go解決Goソースファイルによってトリガーされなくなり、パッケージマネージャーのマニフェストファイルによってのみトリガーされるように他のリゾルバーに調整されます。

  • NPMの依存関係の検出にパフォーマンスの改善が導入されました。

Jiraサーバープラグイン(ベータ版)

  • Oracleデータベースの使用時に発生した問題を解決しました。

 解決された問題

  • Unified Agentでは、excludesパラメータは、プロジェクトディレクトリごとではなく、フォルダ内のすべてのプロジェクトに対して呼び出されていました。

  • Unified Agentで、jarファイルの抽出中にターゲットフォルダをスキャンすると、nullポインタ例外が発生しました。

  • SHA-1ライブラリの依存関係がないため、優先スキャンはEUAエラーで失敗します。

  • Artifactoryプラグインのスキャンでは、SHA-1ライブラリの依存関係を取得できませんでした。

Jira Cloudプラグインベータ版(2021年8月22日)

WhiteSourceとJiraの新しい統合の一環として、JiraCloudの新しいプラグインがベータステータスでリリースされます。

Azure DevOps統合バージョン21.7.21(2021年8月17日)

解決された問題

  • Azure DevOps Services Integrationでは、認証の問題により、拡張機能で使用されるazure-devops-node-apiNPMライブラリをダウングレードする必要がありました。

バージョン21.7.2(2021年8月15日)

新機能とアップデート

Jiraサーバープラグイン(ベータ版)

  • サポートは最新のJiraServerバージョンに拡張されました。

解決された問題

  • [ライブラリのセキュリティの脆弱性]ページで、同じライブラリが複数のプロジェクトに表示されると、間違ったシールドが表示されました。

  • 特定の条件下で、脆弱性レポートを使用すると、エラーが発生しました。

  • Unified Agentで、SCMモードでスキャンすると、リポジトリのクローンを作成する前にデバッグ例外が発生しました。

  • Unified Agentで、yarnプロジェクトをスキャンするときに、階層ツリーが重複排除されなかったため、メモリの問題が発生しました。

  • Artifactoryプラグインでランタイムエラーが発生しました。

  • WhitesourceService.classのクローン作成中の分からミリ秒への変換により、wss.connectionTimeoutMinutesに無効な値が発生しました

  • Githubスキャナーを介してスキャンする場合、(ブランチではなく)タグでリポジトリをスキャンすると、クローン作成フェーズでスキャンが失敗しました。

通知

Unified Agentの次の2つのリリースでは、Gradleの依存関係の検出メカニズムが大幅に改善されます。これにより、次のGradleパラメーターが廃止されます。 

  • gradle.runAssembleCommand

  • gradle.runPreStep  

  • gradle.localRepositoryPath

  • gradle.downloadMissingDependencies 

この変更の一環として、gradle.preferredEnvironmentのデフォルト値が ラッパーに 変更され 、スキャン結果が改善され、Gradleのベストプラクティスに合わせられます。 さらに、  gradle.wrapperPath パラメーターも非推奨になります。

ドキュメンテーション

  • New Versions Alertsのコンテンツは、Understanding the Project Pageに移動され、ページは非推奨になりました。

  • Advanced Searchingのコンテンツは、Understanding and Managing Vulnerabilitiesに移動され、ページは非推奨になりました。

バージョン21.7.1(2021年8月1日)

新機能とアップデート

ユニファイドエージェント

  • php.removeDuplicateDependencieのデフォルトがTrueに変更されました。

WhiteSourceの優先順位付け

  • WhiteSource Prioritizeスキャンは、java-11-openjdk-develがインストールされているRed Hat EnterpriseLinux環境で公式にサポートされています。

  • 最新のMulti-ModuleAnalyzerバージョンは、21.7.1から永続的なリンクで利用可能になり、将来のアップグレードで同じリンクから自動的にダウンロードできます。

Jiraサーバープラグイン(ベータ版)

  • Jiraサーバープラグインによって作成されたJiraチケットの説明がより明確になり、整理されました。

AzureDevOps拡張機能

  • Azure DevOps Services拡張機能は、インストール後のアクティベーションキーの更新をサポートするようになりました。

レポート

  • 新しいレポート、早期警告レポートがリリースされました。このレポートには、研究者によって認定される前であっても、WhiteSourceによって自動的に識別された脆弱性の当日の兆候が表示されます。このレポートは、一部のお客様の利用が制限されています。ゆっくりと展開されており、数週間以内にすべてのお客様と環境で利用できるようになります。GAのリリースノートで別の通知が発表されます。

  • 6月6日に発表されたように、8月15日に、複数ライブラリバージョンレポートが複数ライブラリバージョンのアラートに置き換わり、すべてのお客様に対して無効になることに注意してください。複数のライブラリバージョンのアラートで利用可能だったすべての情報は、過去と将来のスキャンの両方について、専用のレポートで利用可能になります。

解決された問題

  • csprojとnuspecの両方で同じNuGet依存関係が定義されている場合、アプリケーションに2回表示されました。

  • ユニファイドエージェントでは、「-d」引数に複数のアーカイブを設定すると、誤った結果が生じることがありました。

  • failErrorLevelALLに設定されているときに関連するパッケージマネージャーがインストールされていない場合、Unified AgentのMaven、OCaml、Modules、およびRリゾルバーはスキャンに失敗しませんでした。

  • Unified Agentでは、パラメータgradle.additionalArgumentsは、すべてのGradleコマンドではなく、Gradleコマンドのサブセットにのみ適用されていました。

  • Unified Agentを使用してプロジェクトをスキャンし、archiveIncludesarchiveExtractionDepthが設定されている場合、zipファイルが破損すると、特定のJavaバージョンでnullポインター例外が発生しました。

  • 統合エージェントでは、Mavenログが変更されたときに、Mavenリゾルバーが依存関係ツリーパスを検出しませんでした。

通知

  • ユニファイドエージェントの次の二つのリリース内の挙動が 含ま除外及びパラメータは、の使用に対して固定されるprojectPerFolderのメインルートパスに対してそれらの値を照合することによって、パラメータ。  

  • Unified Agentの次の2つのリリースでは、デフォルト設定にいくつかの改善が導入されます。

    • 含まれるパラメータは、すべてのUnified Agentの設定方法(などの環境変数、設定ファイル)に適用されるデフォルト値を(すべてWhiteSourceの備える拡張機能をサポート)があります  

    • 除外のデフォルト値を持つことになりますパラメータ**/.*, **/node_modules, **/src/test, **/testdata, **/*sources.jar, **/*javadoc.jar

  • Unified Agentの次の2つのリリースでは、Goモジュールの最適化されたリゾルバーをデフォルトで有効にすることにより、Goの依存関係の検出が改善されます。さらに、Go解決はGoソースファイルによってトリガーされなくなり、パッケージマネージャーのマニフェストファイルによってのみトリガーされるように他のリゾルバーに調整されます。

WhiteSource Cure(ベータ版)

新製品WhiteSourceCureがベータ版でリリースされました。WhiteSource Cureは、プロプライエタリコードの検出ツールによって特定された脆弱性の修正提案と提案された修正を自動的に生成します。「レポート」と呼ばれる修復の提案は、脆弱なコード自体に表示され、IDEでそのまま使用できます。

ドキュメンテーション

  • グローバル組織/組織/製品/プロジェクトレベルのAPIと製品およびプロジェクトレベルのAPIについて、新しく更新されたドキュメントが公開されました。

  • セキュリティの脆弱性利用に関する情報」の情報は「セキュリティの脆弱性の理解と管理」に移動され、このページは非推奨になりました。

  • メインAPIページであるHTTPAPI v1.3は、2021年9月1日に非推奨になります。このページに含まれるすべての情報は、製品やプロジェクトレベルのAPIなどのAPIサブトピックにすでに表示されています。

バージョン21.6.3(2021年7月18日)

新機能とアップデート

  • Unified Agent Linuxパッケージマネージャースキャン(scanPackageManager)のセキュリティ脆弱性の検出精度が向上しました。

  • CircleCI orbexecutorのベースイメージがUbuntu18.04に更新されました。

  • BitbucketのWhiteSource統合のイメージが更新されました。

Jiraサーバープラグイン(ベータ版)

  • ライブラリパスがJiraチケットに追加されました。

解決された問題

  • セキュリティアラートレポートでは、組織に部分的なデータプロパティがあるかどうかを判断するためのチェックはありませんでした。

  • Jiraサーバープラグイン:WhiteSourceの問題タイプを関連するプロジェクトにのみ割り当てるのではなく、ユーザーのJira環境のすべての画面に追加されました。

ドキュメンテーション

  • ReportsAPIとLicenseand Library APIについて、新しく更新されたドキュメントが公開されました。

Azure DevOps統合バージョン21.6.31(2021年7月14日)

解決された問題

  • Azure DevOps Services Integrationでは、拡張機能の破損した設定が正しく処理されませんでした。

Azure DevOps統合バージョン21.6.3(2021年7月8日)

解決された問題

  • Azure DevOps Services Integrationで、問題によりWhiteSourceタスクの実行が妨げられました。

バージョン21.6.2.2(2021年7月6日)

解決された問題

  • Unified Agentで、gradle.preferredEnvironment パラメーターがwrapperに設定されている 場合、  gradlewコマンドの代わりにgradleコマンドが実行されました。

Azure DevOps統合バージョン21.6.2.1(2021年7月5日)

解決された問題

  • Azure DevOps Services Integrationで、問題によりプロジェクト設定の更新が妨げられました。

通知

  • 次のUnifiedAgentリリースでは、Gradleの解像度が改善され、結果から解決できない依存関係が削除されます。  

バージョン21.6.2(2021年7月4日)

新機能とアップデート

AzureDevOpsサービスの統合

AzureDevOps統合の主な改善点が導入されました。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになりました。この変更の一環として、次の更新が導入されました。

  • 拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[組織の設定] セクションに移動しました 。

  • [プロジェクト> [パイプライン]の下の[WhiteSource]タブは非推奨になりました。

  • WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非​​推奨です。

  • Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、現在唯一のスキャンオプションです。

Jiraサーバープラグイン(ベータ版)

  • WS_BOTの誤った初期化に続いてチケットが作成されない問題を解決しました。

Bitbucket統合

  • UnifiedAgentのJARを実行するJavaコマンドのオプションを指定するための新しい変数がBitbucket統合で利用できるようになりました。

解決された問題

  • WhiteSourceプラグインを使用してMavenプロジェクトをスキャンすると、IntelliJIDEが機能しなくなります。

  • サーバーが停止したときに、すでに開始されているスキャンを続行する際に問題が発生しました。

  • データベースロック例外の後、PersistManagedResourceが失敗しました。

  • すべてのソースファイルを手動で再マッピングしても、古いソースライブラリに対する保留中の要求は閉じられませんでした。

  • 統合エージェントで、projectPerFolderIncludesがサブフォルダーの検出に失敗しました。

  • Unified Agentを使用してYarnプロジェクトをスキャンするときに、yarn.lockファイル内の依存関係について「解決済み」セクションが欠落している場合、Nullポインター例外が発生しました。

  • WhiteSourceは、同じディレクトリでバウアーとヤーンを実行する機能をサポートするようになりました。

  • GitHub.com統合の場合、SCMスキャナーはクローンフォルダーではなくルートフォルダーをスキャンし、スキャナーが追加のライブラリをスキャンするようにしました。

通知

  • 2021年8月1日以降、UnifiedAgentバージョンはリリース後1年間利用可能になります。  

  • Unified Agentの次の2つのリリースでは、php.removeDuplicateDependenciesパラメータのデフォルト値がfalseからtrueに変更されます。

  • Unified Agentの次の2つのリリースでは、エージェントによって実行されるGradleコマンドに追加する追加の引数を指定するためのgradle.additionalArgumentsパラメーターがすべてのGradleコマンドに適用されます(gradle依存関係コマンドだけでなく)。 

  • Unified Agentの次の2つのリリースでは、関連するパッケージマネージャーがインストールされていない場合、スキャンに失敗してfailErrorLevelALLに設定されている場合、Maven、OCaml、Modules、およびRリゾルバーは他の検出器の動作に合わせて調整されます。

ドキュメンテーション

  • 新規および更新されたAVMドキュメントが公開されました

  • 1)アラートおよび2)グループとユーザーの新しい更新されたAPIドキュメントが公開されました

  • 以下のトピックの内容が移動されます。これらのトピックのページは非推奨になります。移動後、含まれる情報は変更されないことに注意してください

    • Bitbucketでの新しいスキャントリガーの内容は、BitbucketServerのWhiteSourceに移動されます

バージョン21.6.1(2021年6月20日)

新機能とアップデート

ユニファイドエージェント

  • このバージョンから、Cargoワークスペースのサポートが追加されました。

解決された問題

  • fromDateパラメーターからのみ定義された場合、getXXXXAlertsByTypeAPI呼び出しはVBAモードで空のリストを返しました。

  • 脆弱性レポートは、非部分モードの組織でも部分モードの免責事項で始まりました。

  • ユニファイドエージェントでは、NPM6はregistry.npm.tabao.orgから発生した依存関係を解決できませんでした。

バージョン21.5.2(2021年6月6日)

新機能とアップデート

レポート

  • 新しいレポートがベータフェーズで導入されました-複数ライブラリバージョンレポート。このレポートには、選択したプロジェクト/製品で使用されている同じライブラリの複数のバージョンに関する情報が表示されます。このレポートのリリースに伴い、2021年8月15日に、複数ライブラリバージョンのアラートがすべてのお客様に対して無効になることを発表します。複数ライブラリバージョンのアラートで利用可能だったすべての情報は、過去の両方の専用レポートで利用可能になります。および将来のスキャン。

解決された問題

  • ライブラリロケーションレポートの特定の条件下で、同じファイルロケーションが同じライブラリに対して複数回表示されました。

  • 「テスト」スコープと「コンパイル」スコープの両方に対して宣言された推移的な依存関係は、スキャン結果から省略されました。

  • NPMスキャンは、名前またはバージョンが欠落しているpackage.jsonを識別したときに、nullポインターで失敗しました。

  • Unified Agentで、Maven依存関係のダウンロード中にnullポインタ例外が発生しました。

ドキュメントの更新

次のページは非推奨になりました。

  • [イメージレジストリ]セクション:

    • UA-Amazon Elastic Container Registry(ECR)-Docker統合

    • UA-Azure ContainerRegistryの統合

    • UA-Dockerイメージの統合

    • UA-Google Container RegistryDocker統合

    • UA-JFrog ArtifactoryDockerレジストリ統合

  • AVMのセクション:

    • Fortify / ThreadFixエージェントのAVMエージェントへの移行

通知

Azure DevOps統合の主な改善点は、2021年7月に導入されます。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになります。この変更の一環として、次の更新が導入されます。

  • 拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[ 組織の設定] セクションに移動します。

  • [プロジェクト> [パイプライン]の下の[WhiteSource]タブは非推奨になります。

  • WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非​​推奨になります。

  • Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、唯一のスキャンオプションになります。

バージョン21.5.1(2021年5月23日)

新機能とアップデート

Web UI

  • 脆弱性ベースのアラートモードで作業している場合、[詳細]列がエクスポートされたライセンスおよびコンプライアンスアラートレポートに返され、アラートに関するより具体的な情報が提供されます。

  • 新しいライセンス、Saucy2.0が追加されました。詳細はこちらをご覧ください。

  • 脆弱性ベースのアラート組織では、保留中のタスクページの[詳細情報]に新しいボタンが追加されました。リスト(最大50)からタスクを選択してこのボタンをクリックすると、新しいポップアップ画面が表示され、選択した各タスクのライブラリの脆弱性の数とライセンスに関する情報が表示されます。ユーザーはポップアップでタスクの選択を変更でき、[保存]をクリックすると新しい選択が保存されます。その後、ユーザーは元の保留中のタスク画面に戻り、ポップアップで提供された情報に基づいて、タスクを承認するか拒否するかを選択できます。

解決された問題

  • まれに、[ライブラリ]ページに表示される脆弱性の数とアラートレポートに表示される脆弱性の数の間に不一致がありました。

  • 組織の名前に文字「。」が含まれている場合、課題追跡システム統合のアクセスキーの作成に失敗しました。

  • 一致タイプの計算に使用されるクエリは、製品/プロジェクトのすべてのプロジェクトリソース使用量をフェッチし、サーバー応答を返すのに長い時間がかかりました。

  • Unified Agentは、Gradleアーティファクトの再配置を正しく処理しませんでした。

  • 場合によっては、ArtifactoryプラグインがTempフォルダーを削除したときに、すべてのフォルダーが削除されたわけではありません。

ドキュメントの更新

次のバージョン(バージョン21.5.2)では、次のページが非推奨になります。

  • [イメージレジストリ]セクション:

    • UA-Amazon Elastic Container Registry(ECR)-Docker統合

    • UA-Azure ContainerRegistryの統合

    • UA-Dockerイメージの統合

    • UA-Google Container RegistryDocker統合

    • UA-JFrog ArtifactoryDockerレジストリ統合

  • AVMのセクション:

    • Fortify / ThreadFixエージェントのAVMエージェントへの移行

バージョン21.4.2.1(2021年5月11日)

新機能とアップデート

Jiraサーバープラグイン(ベータ版)

  • WhiteSource課題タイプは、一般的に使用されるJIRAフィールドのデフォルト値で作成されるようになりました。

バージョン21.4.2(2021年5月9日)

新機能とアップデート

ユニファイドエージェント

  • npm.runPreStep = trueの場合に検出されたロックファイル(yarn.lockまたはpackage-lock.json)に基づいて、関連するプレステップ(npminstallまたはyarninstall)を自動的に実行することにより、NPMとYarnの構成が最適化されるようになりました。

  • このバージョン以降、nuget.runPreStepnuget.restoreDependenciesが結合されます。これは次のように機能します。nuget.runPreStep= trueの場合、見つかった.csprojファイルに対してドットネットの復元が実行されます。このマージの結果、nuget.restoreDependenciesは非推奨になります。

通知

TeamCityプラグインは、2021年11月1日から保守終了に達します。この日付以降、WhiteSourceは、非推奨のプラグインの更新や修正を含む標準サポートを提供しなくなります。構成とサポートのトラブルシューティングに限定された拡張サポートは、2022年5月1日まで継続されます。この日付以降、TeamCityプラグインはWhiteSourceでサポートされなくなります。製品の完全なサポートを維持するために、2021年11月1日に標準サポートが終了する前に必ずUnifiedAgentに移行してください。

ドキュメンテーション

  • 次のページは非推奨になりました。

    • 任意のファイルを要求する 

    • GitHub関連トピック

    • ライセンス識別ページ-その内容はと合併したライブラリのライセンスを変更します

    • ライセンス解析ページ-その内容はと合併して理解するリスクスコアの帰属

  • ポリシーAPIのページには、推奨されていませんし、新規および更新ポリシーAPIページには、それを交換しました。

バージョン21.4.1(2021年4月25日)

新機能とアップデート

ユニファイドエージェント

  • Unified Agentは、Ant依存関係検出の一部としてApacheIvyをサポートするようになりました。

解決された問題

  • WhiteSourceへのログイン中にユーザーでエラーが発生しました。

  • プロジェクト名またはプロジェクトトークンは、Dockerスキャンの必須パラメーターでした。

  • ロールが残っていない場合、ユーザーはロールを削除できませんでした。

  • インベントリレポートがMSExcelにエクスポートされたとき、プロジェクト名と直接依存関係の間に余分な空白がありました。

  • パスワードの複雑さの検証が有効になっている場合、ユーザーはパスワードをリセットできませんでした。

  • NPM / Yarnでダウンロードされたアーティファクトは、UnifiedAgentスキャンの終了時に常に削除されるとは限りませんでした。

  • Unified Agentで、空のzipファイルを使用してANTベースのプロジェクトをスキャンすると、nullポインタ例外が発生しました。

ドキュメンテーション

  • 新規および更新されたWhiteSource優先順位付けドキュメントがリリースされました。こちらをご覧ください

  • R統合ページは廃止され、その内容はに移動したユニファイドエージェントの設定パラメータのページ。

  • 次のバージョンでは、次のページが非推奨になります。

    • 任意のファイルを要求する

    • GitHub関連トピック

    • ライセンス識別ページ-その内容はとマージされますライブラリのライセンスを変更します

    • ライセンス解析ページ-その内容はとマージされます理解リスクスコアの帰属

    • アラート新しいバージョンのページには、 -その内容はとマージされますプロジェクトページ

バージョン21.3.2.2(2021年4月19日)

解決された問題

  • JiraServerプラグインのセキュリティ問題を解決しました。

バージョン21.3.2.1(2021年4月13日)

解決された問題

  • -v」を指定してUnifiedAgentを実行すると、そのバージョンがコンソールログメッセージヘッダーで出力される問題を解決しました。

バージョン21.3.2(2021年4月11日)

新機能とアップデート

Web UI

  • お客様は、同じIDプロバイダー(IDP)を持つ複数のグローバル組織のSAML統合を構成できるようになりました。

  • 製品およびライブラリの優先度スコアリングレポート:新しいレポートは、さまざまな脅威および影響要因を考慮に入れて、ライブラリまたは製品の優先度に関する情報を提供します。詳細はこちらをご覧ください。

  • このバージョン以降、SmartMatchは、新しいWhiteSource組織が作成されたときに一致するソースファイルに使用されるデフォルトのアルゴリズムです。

  • 名前Sunのライセンスに変更された日Public Licenseの

ユニファイドエージェント

Go Modulesの依存関係の検出に大きな改善が加えられ、モジュール用に最適化された新しいリゾルバーが追加されました。これは、個別のパラメーターセットによって制御されます。2つの個別の設定がサポートされるようになりました。新しいモジュールの解像度を制御するための新しいパラメーターと、モジュールおよびその他のGoパッケージマネージャーを制御するための既存のGoパラメーターです。新しいモジュールリゾルバーは、アクティブに使用されている依存関係のみを検出し、次の新しいパラメーターを含みます。

  • go.modules.resolveDependencies

  • go.modules.ignoreSourceFiles

  • go.modules.removeDuplicateDependencies

  • go.modules.includeTestDependecies。 

拡張モジュール依存関係検出を使用するには、go.modules.resolveDependencies = trueを設定して新しいリゾルバーをオンにし、go.resolveDependencies = falseを設定して現在のGoリゾルバーを無効にすることをお勧めします。

セキュリティアドバイザリ

  • Red Hat EnterpriseLinuxディストリビューションで見つかった脆弱性の検出精度が向上しました。

  • 新しいセキュリティアドバイザリのサポートが追加されました。

上記の機能拡張は段階的に展開され、一部のWhiteSource組織では来月中に脆弱性アラートの変更が発生する可能性があります。

ドキュメントの更新

  • 次のドキュメントの変更が実装されました。

    • 推奨の機能トピックは非推奨になり、コンテンツは通知ページに移動されました。

    • ホームページ設定トピックは非推奨になり、コンテンツはWhiteSourceホームページトピックに移動されました。

    • 重大度の高いバグ報告トピックが廃止されました。

    • ファイルシステムのトピックが廃止されました。

  • ログイン/ホームページのドキュメントから始めて、最初のドキュメントセクションに構造上の変更が実装されました。その結果、次のページは非推奨になりました。

    • 入門

    • セットアッププロジェクト

    • 統合エージェントを使用してプロセスを自動化する

  • 次のバージョンでは、R統合ページは非推奨になります。

解決された問題

  • Zstandard形式のRPMファイルのアーカイブ抽出に失敗しました。

  • 重複する依存関係の不適切な処理が原因で、NPMを使用した優先スキャン中にシールドが欠落する問題が発生しました。

  • logLevelパラメータを設定するときに、一部のUnifiedAgentのログメッセージが考慮されませんでした。

  • デューデリジェンスレポートの生成を実行すると、レポートが空白になりました。

  • Jira ServerがPostgreSQLに接続されているときに、テーブルに新しい行を追加しようとすると、Jiraプラグインで例外が発生しました。

通知

次のUnifiedAgentリリースでは、次のことが計画されています。

  • 次の2つのリリースでは、npm.runPreStep =のときに検出されたロックファイル(yarn.lockまたはpackage-lock.json)に基づいて、関連するプレステップ(npminstallまたはyarninstall)を自動的に実行することにより、NPMとYarnの構成が最適化されます。true。 

  • 次の2つのリリースでは、nuget.restoreDependenciesをnuget.runPreStepフラグにマージすることにより、NuGet構成が改善されます。この変更後、nuget.runPreStep = trueを設定すると、csprojファイルで見つかった依存関係が自動的にダウンロードされます。

バージョン21.3.1(2021年4月4日)

新機能とアップデート

Azure DevOps Servicesの統合:

  • WhiteSourceタスクを含むパイプラインが実行されている場合、次の2つのタグがビルドに追加されます。

    • ws_support_token(このタグにはサポートトークン値が含まれます)

    • ws_scan_start_time(このタグには、UTC時間でのWhiteSourceスキャン開始時刻が含まれます)

Jiraサーバープラグイン(ベータ版)

JiraサーバープラグインがAtlassianマーケットプレイスで利用できるようになりました。Jiraサーバープラグインは現在ベータ版であることに注意してください。

解決された問題

  • オペレーティングシステムのルートをスキャンしようとしたときにUnifiedAgentのArchiveExtractorを使用すると、nullポインタ例外が発生しました。

  • AVMで、Fortifyから脆弱性情報をフェッチするときにタイムアウトが発生しました。

ドキュメンテーション

  • NuGetプラグインのページが廃止されました。

  • 次のバージョン21.3.2では、次の変更が実装されます。

    • 推奨の機能トピックは非推奨になり、コンテンツは[通知]ページに移動します

    • 重大度の高いバグレポートのトピックが廃止されます

    • ファイルシステムのトピックが廃止されます

  • ログイン/ホームページのドキュメントから始めて、最初のドキュメントセクションに追加の変更が実装されます。 

通知

次のUnifiedAgentリリースでは、Go Modulesの依存関係の検出に大きな改善が加えられ、モジュール用に最適化された新しいリゾルバが追加され、個別のパラメータセットによって制御されます。この変更後、2つの個別の設定がサポートされます。新しいモジュールの解像度を制御するための新しいパラメーターと、モジュールおよびその他のGoパッケージマネージャーを制御するための既存のGoパラメーターです。新しいモジュールリゾルバーは、アクティブに使用されている依存関係のみを検出し、テストの依存関係と重複する依存関係を含めるかどうかを制御できるようにします。 

バージョン21.2.2(2021年3月14日)

新機能とアップデート

ユニファイドエージェント

  • このバージョンでは、NPM7のサポートが導入されています。

  • 新しいパラメータfileSystemScanは、間もなく廃止されるignoreSourceFilesに置き換わるものです。

API

  • 手動で割り当てられた社内ライブラリのマークを解除するための新しいAPIが利用可能になりました-unmarkManualInHouseLibrary

解決された問題

  • 場合によっては、ソースライブラリに関する情報が正しく表示されませんでした。たとえば、空のプロジェクトがまだ一部のソースライブラリに表示されていたり、一部のソースライブラリが空として表示されていたりします。

  • MacコンピューターでのDockerスキャン中にgcloudauthコマンドの実行に失敗しました。

  • 管理者やアラート無視者とは異なる役割を持つユーザーは、VBAモードでアラートを無視することができました。

  • 更新ポリシーアラートの一部としてライセンスを割り当てようとしたときに例外が発生しました。

  • Unified Agentで、NPMをスキャンするときに、package.jsonに名前/バージョン属性が含まれていない場合、NPMの依存関係が解決されませんでした。

  • 欠落しているjarファイルをダウンロードすると、UnifiedAgentが誤って成功メッセージを生成しました。

  • アトリビューションレポートの概要に著作権の参照がないことを示す表示を追加しました。

  • Gradleで内部モジュール(プロジェクト)を除外すると、スキャンによって誤った依存関係ツリーが返されていました。

  • Azure DevOps Servicesの統合:場合によっては、WhiteSource構成タスクパラメーターにnpm.resolveMainPackageJsonOnly = trueを追加すると、スキャンが失敗しました。

ドキュメンテーション

このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。

  • WhiteSourceはVisualStudioコードスペースについてアドバイスします

バージョン21.2.1(2021年2月28日)

新機能とアップデート

Unified Agent

  • 該当する場合は sbt-dependency-graph プラグインをサポートすることにより、Scala の依存関係の検出が改善されました。

解決された問題

  • 脆弱性ベースのアラートモードで作業している場合、アラートを無視/再アクティブ化するときにユーザーロールが検証されていませんでした。

新機能

  • WhiteSourceは、イシュートラッカーシステム統合用の新しい汎用プラットフォームと Jira Server のプラグインのベータリリースを開始します。 新しいプラットフォームは、ポリシーの一致が発生したときにイシューを自動的に作成するために、イシュートラッカーシステムと統合する機能を提供します。Jira Server プラグインは、新しいプラットフォームを使用して開発された最初の統合であり、すぐに使用できるプラグインがさらにリリースされる予定です。

ドキュメンテーション

次のトピックは非推奨になりました。

  • Fortify ソフトウェアセキュリティセンターの統合

バージョン21.1.2.1(2021年2月14日)

  • Unified Agent が Docker.tar ファイルをスキャンすると例外が発生する問題を修正しました。

バージョン21.1.2(2021年2月14日)

解決された問題

  • Azure DevOps Services の統合:セルフホストエージェントからパイプラインビルドを実行すると、WhiteSource で生成された .encrypted ファイルが各WhiteSource ビルドタスクの実行の最後に削除されませんでした。
    注: 2月14日より前にトリガーされたセルフホストエージェントビルドには、WhiteSource で生成された .encrypted ファイルのトレースが含まれている場合があります。これらのファイルは、セルフホストエージェントの作業フォルダから手動で削除する必要があります。

  • まれに、脆弱性の同期後にライブラリアラートが作成されないことがありました。

  • ハッシュされたソースファイルが重複しているため、2番目のファイルは一致しないと見なされました。

  • Linux では、解決に使用されるコマンドの1つを実行する際にスペースが不足しているため、Python スキャンが失敗しました。

  • Unified Agent では、特定の pipfile 形式を解析するときに例外がありました。

ドキュメンテーション

次のトピックは非推奨になり、すべてのコンテンツが Unified Agent のドキュメントに統合されました。

  • 統合するプラグインの選択

  • Unified Agent スキャンでプロジェクト名のみを提供する

  • 構成推奨モード

  • Unified Agent スキャンの手順と概要

  • Unified Agent JSON レポートの例



次のトピックは完全に非推奨になりました。

  • ドキュメントのヒント

  • Kubernetes FAQ

  • ThreadFix 統合

  • Ruby プラグイン

  • Python プラグイン

  • NAnt プラグイン

  • Gradle プラグイン

  • Bower プラグイン

  • Bamboo プラグイン

  • Ant プラグイン

  • Fortify ソフトウェアセキュリティセンターの統合

既知の問題点

  • ドキュメントリポジトリのデフォルトの色が、特定の場所でダークブラウンに変更されました。ただし、特定のページで目次が依然として青いままです。WhiteSourceは問題を認識しており、Atlassianと協力して問題を解決しています。それ以外は、コンテンツへの影響は一切ありません。

バージョン21.1.1(2021年1月31日)

新機能とアップデート

Web UI

  • このバージョン以降、サービスユーザーの監査ロールをUIからユーザーに割り当てることができます。

Azure DevOps サービスの統合

  • WhiteSourceタスクのバージョンを20から21に更新しました。拡張機能の新しいバージョンを使用するには、パイプライン定義内でタスクを WhiteSource@20 から WhiteSource@21 に更新する必要があります。

  • [Project Settings] > [Extensions] > [WhiteSource] ページから、新しい WhiteSource 製品を作成するだけでなく、Azure プロジェクトを既存のWhiteSource 製品にマップする機能が追加されました。

解決された問題

  • Docker レイヤーに関していくつかの問題が解決されました。

    • 同じ SHA1 を持つレイヤーは、1つのリソースとして表されました。

    • 以前のスキャンで「不明」としてすでに作成された SHA1 を持つレイヤーはそのリソースとして認識されたため、表示名はレイヤーを反映していませんでした

    • SHA1 のあるレイヤーがインデックスで不必要に検索された 

  • アラートウィジェットとライブラリページの間に不一致が見つかりました。

  • 脆弱性ベースのアラート:[Security Vulnerability(セキュリティの脆弱性)] ページの [Vulnerable Libraries(脆弱性ライブラリ)] セクションで、ライブラリは特定のCVEによってフィルタリングされませんでした。その結果、CVEは無視され、フィルターは組織内のすべての脆弱なライブラリを返していました。

通知

  • Unified Agent の今後のリリースでは、Go モジュールの依存関係検出に対する主要な改善が導入されます。個別のパラメーターセットによって制御される、Go モジュール用に最適化された新しいリゾルバーがアクティブになり、Go 依存性解決をより具体的に制御するための道が開かれます。

バージョン20.12.3(2021年1月17日)

新機能とアップデート

  • Unified Agent は、GoogleDistrolessイメージのスキャンをサポートするようになりました。

  • npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係検出になりました。

解決された問題

  • Azure DevOps Services の統合:オープンソースリスクレポートの [Security vulnerabilities(セキュリティの脆弱性)] タブを開いたときに、データが重大度で並べ替えられませんでした。

  • Azure DevOps Services の統合:パラメーターを設定せずに WhiteSource タスクをYAMLベースのパイプラインに追加すると、エラーが発生しました。この修正の一環として、cwd パラメーターにデフォルト値が追加されました。

  • artifactVersion は有効な長さを超えるとインベントリの更新に失敗する不具合を修正しました。

  • Unified Agent は、小文字以外の設定値の解析に失敗していました。

  • project.assets.json ファイルが標準の場所に見つからなかった場合、UnifiedAgent は NuGet の依存関係を解決できていませんでした。

  • 別のライブラリによって推移的な依存関係としても使用されていた Python の直接依存関係は、Unified Agent によって直接依存関係としてリストされていませんでした。

  • yum を使用せずにインストールまたは削除された RPM パッケージは、Unified Agent によって正しく識別されていませんでした。

バージョン20.12.2(2021年1月3日)

新機能とアップデート

Web UI

  • このバージョン以降、すべての新しい組織は、新しい脆弱性ベースのアラートモードで作成されます。

  • 新しく拡張されたソースファイルマッチングアルゴリズムであるSmartMatchは、[Integrate] タブの [Advanced Settings] からアクティブ化できます。デフォルトは Weight のままです。

  • 2つの新しいライセンスが追加されました。

    • GLWTPL

    • ODC-By-1.0

Unified Agent

  • 開発者の依存関係を管理する機能を提供するために、新しいパラメーター python.includePipenvDevDependencies が追加されました。デフォルト値は true です。

解決された問題

  • グローバル検索でライブラリを検索し、同じ検索で脆弱性を検索すると、ページがライブラリ検索ページにリダイレクトされていました。

  • 複数の requirments.txt ファイルを解決するときに、異なる依存性解決で依存関係のキャッシュがクリアされませんでした。

  • Unified Agentを実行しているときに、ArchiveExtractor は空のスペースで終わっているファイルの抽出に失敗していました。

  • Source File Inventory レポートで、ユーザーが権限のないファイルのライブラリを変更することを選択した場合、ライブラリの変更アクションは効果がなく、メッセージが表示されませんでした。現在、このアクションは、目的のファイルを選択してから、[Actions] > [Change Library] メニューを選択することによってのみ実行できます。ユーザーの権限が検証され、適切なメッセージが表示されます。

  • [AssignYourself] を繰り返し使用した後、ポップアップウィンドウが空白で表示され、ユーザーは必須フィールドを表示するために [AddLicenseReference]または [OverrideAll] をクリックする必要がありました。

  • SBT Coursier を実行している場合、プレステップフラグがアクティブ化されていても、Unified Agent はプレステップコマンドを実行していませんでした。

  • インデックス(libraryDataSync API)または管理コンソールのいずれかで更新されているライセンスを変更しても、アラートの計算がトリガーされていませんでした。

  • Unified Agent は packages.dbRPM データベースをサポートしていませんでした。

ドキュメントの更新

以下の統合ページはアーカイブされているため、使用されなくなります。そこに含まれるすべての資料は、Unified Agent パラメータのドキュメントに含まれます。

  • Gradle

  • Maven

  • Python

通知

次の UnifiedAgent リリースでは、npm.resolveLockFile フラグによって制御される最適化された NPM の依存性解決方法が、NPM のデフォルトの依存関係検出になります。これは、npm.resolveLockFile フラグの現在のデフォルト値を false から true に変更することで適用され ます。NPMプロジェクトのスキャン時間を改善することに加えて、このメカニズムによってより正確な結果が生成されます。以前の依存関係の検出で考慮されなかった、満たされていないオプションの依存関係やピアの依存関係は、ロックファイルで見つかったときに結果の一部になります。 

バージョン20.12.1.1(2020年12月21日)

  • 最新バージョン(20.11.2)で導入された、一致しないソースライブラリがプロジェクト/製品ページから欠落していた問題を修正しました。

バージョン20.12.1(2020年12月20日)

新機能とアップデート

Web UI

  • 忘れたパスワードのリセットは、CAPTCHA テストで検証されるようになりました。

  • Go の依存関係の一時的な一致について、[Library Details] ページに免責事項が追加されました。

解決された問題

  • 一部のライブラリでは、[Impact Analysis] ページに結果が表示されませんでした。

  • アトリビューションレポートでライブラリでフィルタリングしても、すべての結果が表示されるわけではありません。

  • Web UI では、ライブラリにライセンスが含まれていない場合は表示されませんでした。注:このバージョン以降、レビューが必要であることを示す表示が表示されます。

  • Azure 環境で、SAML 統合(ドメインおよびグローバルアカウントレベル)を保存/更新すると、HTTPエラー 500 が表示されてました。

  • 脆弱性レポートでは、画面の凡例が不明確でした。

ドキュメントの更新

以下の統合ページはアーカイブされているため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。

  • Bower

  • Cargo

  • Cocoapods

  • Haskell

  • Hex (Erlang/Elixir)

  • Ocaml

  • Paket

  • php

  • Poetry

  • Ruby

  • SBT

さらに、次のページがアーカイブされています。

以下の統合ページはリリース20.12.2でアーカイブされるため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。

  • Gradle

  • Maven

  • Python

バージョン20.11.2(2020年12月6日)

新機能とアップデート

Web UI

  • Product ページと Project ページは、Libraries パネルでのフィルタリングとページ付けの改善を特徴とし、1000を超えるライブラリを持つプロジェクトのパフォーマンスとユーザーエクスペリエンスを改善します。

API

  • アトリビューションレポート:APIを介してエクスポートされたアトリビューションレポートからバージョンを除外できるようになりました

解決された問題

  • グローバルアカウントポリシーの保存時に例外が発生しました。

  • Unified Agent のスキャンログに、特定の Gradle 構成がありませんでした。

  • Azure DevOps Servicesの統合:場合によっては、200 MBを超えるビルドアーティファクトにより、次のいずれかのエラーが発生していました。

    • ##[error]RangeError: Maximum call stack size exceeded

    • ##[error]Error: "toString()" failed

  • Azure DevOps Servicesの統合:場合によっては、npmプロジェクトを含むプロジェクトをスキャンすると、次のエラーが発生していました:
    ##[error]Error: ENOTDIR: not a directory, scandir '/home/....../node_modules/.bin/acorn'

ドキュメントの更新

バージョン20.12.1以降、次の統合ページがアーカイブされるため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。

  • Bower

  • Cargo

  • Cocoapods

  • Haskell

  • Hex (Erlang/Elixir)

  • Ocaml

  • npm

  • Paket

  • php

  • Poetry

  • Ruby

  • SBT

さらに、次のページがアーカイブされます。

バージョン20.11.1(2020年11月22日)

新機能とアップデート

Unified Agent

  • archiveExtractionDepth で構成されている最大抽出深度が10に増加しました。

Web UI

  • アトリビューションレポート:ユーザーは、 [include versions] チェックボックスをオフにすることで、アトリビューションレポートのエクスポートされたファイルのアーティファクトの名前からバージョンを除外できるようになりました。 

API

  • 読み取り専用のアクセス許可:setOrganizationAssignments APIを介してサービスユーザーに新しい監査ロールを割り当て、特定の組織のスコープ内で読み取り専用のアクセス許可を付与できるようになりました。 

解決された問題

  • SBT sbtVersion コマンドから受信した例外のない出力 により、Unified Agent が例外をスローしていました。

  • Unified Agent は、SBT 組織コマンドの可能な出力を正しく処理しませんでした。

  • Unified Agent は、Linux で特殊文字で作成された .tar ファイルを抽出できませんでした。

  • 新しいプロジェクトを作成するインベントリの更新リクエストを実行すると、getProjectVitals / getProductProjectVitalsAPI リクエストに Unified Agent のバージョンが表示されませんでした。

  • グローバル管理者ページから新しい管理者を追加しようとすると、ユーザーリストが空でした。

  • JSON ファイルを介して SCM を構成する場合、Unified Agent は現在のディレクトリをスキャンしました。

  • プロジェクトアソシエーション:製品リストのアイテム数の制限が削除されました。 

バージョン20.10.2(2020年11月8日)

新機能とアップデート

Prioritize

  • Prioritize で C# のサポートが追加されました。

  • Prioritize に Java の高速スキャン分析モードを追加しました。

Azure DevOps サービスの統合 (2020年11月10日追加) 

  • WhiteSource タスクログに WhiteSource サポートトークンを追加しました。 

ドキュメントの更新

Unified Agent

使いやすさの向上、既存のコンテンツの更新、不足しているギャップの埋め合わせ、線形フローの作成を目的として、変更されたUnifiedAgentドキュメントリポジトリがリリースされました。

ドキュメントは、次の順序で4つの連続したトピック(ページ)にまたがっています。

  • 概要ページ 

  • 前提条件、ダウンロード情報、構成情報などを含む入門ページ。

  • パラメータページ

  • 高度なトピック(付録と同様)

ポリシー

既存のコンテンツを更新し、不足しているギャップを埋め、線形フローを作成することを目的として、変更されたポリシーページが起動されます。このページでは、2つの既存のポリシートピック(自動化されたポリシーSDLC 全体でのポリシーの管理)をマージします。後者はアーカ​​イブされているため、現在は使用されていません。

解決された問題

  • Unified AgentのArtifactoryスキャナーは、英数字以外の文字を含む文字列からURLを作成できませんでした。

  • 感嘆符のサフィックスが付いたgemfile.lockファイルで定義された依存関係が誤って解決されました。

  • アクション問題として定義されているポリシーは、作業項目の問題を作成できませんでした。

  • 特定の条件下で、問題タイプのポリシーを操作しているときに、作業項目データの読み込み中に例外が発生しました。

解決された問題-AzureDevOpsサービスの統合(2020年11月10日追加) 

  • 管理者以外の権限を持つユーザーがWhiteSourceオープンソースリスクレポートを表示できない場合がある問題を修正しました。 既存のすべてのWhiteSourcefor Azure DevOps Services拡張機能ユーザーは、このバージョンで適用された拡張機能のアクセス許可の変更を承認する必要があります。 新しい変更を承認するには、次のようにします。

    1. [Organization Settings] > [Extensions] > [Installed] > [WhiteSource for Azure DevOps Services] に移動します。

    2. [Review] をクリックします。[Authorize WhiteSource for Azure DevOps Services] ポップアップが表示されます。

    3. [Authorize] をクリックします。

  • GitHubリポジトリに基づいてプロジェクトをスキャンすると、RangeErrorエラーが発生しました。

バージョン20.10.1.1(2020年11月4日)

  • setProductAssignments リクエストの処理終了時に、エラーコード3000と無効な リクエスト パラメータ エラーメッセージが表示される問題を修正しました。

バージョン20.10.1.1(2020年11月2日)

  • Azure DevOps Services の統合:場合によっては、WhiteSource タスクを含むパイプラインビルドを実行すると、toString() 失敗エラーが WhiteSourceビルドタスクログに表示され、スキャンが失敗しました。

バージョン20.10.1(2020年10月25日)

新機能とアップデート

WhiteSource コア

  • WhiteSourceは、業界標準に準拠するために、ドラッグアンドドロップでライブラリを検索するオプションを削除することを決定しました。ライブラリの検索は、ライブラリの名前を入力することによってのみ実行できるようになりました(2020年11月1日追加)。

Azure DevOps サービスの統合

  • 特定のパイプラインビルドで使用されるカスタム UnifiedAgentConfiguration パラメータを指定する機能が追加されました。このために、新しいフィールド WhiteSourceConfiguration が WhiteSource タスクに追加されました。詳細については、こちらを参照してください

ドキュメントの更新

Unified Agent

バージョン20.10.2(おおよそのリリース-11月8日)から、使いやすさの向上、既存のコンテンツの更新、不足しているギャップの埋め合わせ、線形フローの作成を目的として、変更されたUnifiedAgentドキュメントリポジトリが起動されます。

ドキュメントは、次の順序で4つの連続したトピック(ページ)に分散されます。

  • 概要ページ 

  • 前提条件、ダウンロード情報、構成情報などを含む入門ページ。

  • パラメータページ

  • 高度なトピック(付録と同様)

詳細については、次のリリースノートで説明します。

ポリシー

バージョン20.10.2(おおよそのリリース-11月8日)以降、既存のコンテンツを更新し、不足しているギャップを埋め、線形フローを作成することを目的として、変更されたポリシーページが起動されます。このページでは、2つの既存のポリシートピック(自動化されたポリシーSDLC全体でのポリシーの管理)をマージします。後者はアーカ​​イブされるため、使用されなくなります。

解決された問題

  • プロジェクト情報オブジェクトの座標にバージョンがない場合、Unified Agent の実行に失敗していました。

  • 大規模なPHPプロジェクトを解決しようとしたときに、Unified Agent が失敗していました。

  • Azure DevOps Services の統合:Linuxビルドエージェントを使用している場合、WhiteSource タスクを使用したパイプラインビルドが GitHub リポジトリのスキャンに失敗しました。

  • npm.resolveLockFile パラメーターによって制御される最適化された NPM の依存性解決メソッドは、重複する依存関係を正しく処理しませんでした。これにより、Unified Agent によって送信される要求のサイズが増加しました。

  • [問題の作成]ポリシーを適用すると、組織内のすべてのプロジェクトで問題が誤って作成されました(2020年11月1日追加)。

  • グループ割り当てを更新するときに、SAML はドメインからユーザーを誤って削除していました(2020年11月1日追加)。

  • setProductAssignments setOrganizationAssignments API 呼び出しにおいて、groupAssignments または userAssignments いずれかに複数の値を入力していると、すべての値が無視されていました。修正により、今後は最初の値が割り当てられます(2020年11月1日追加)。

  • コメント付きの既存のマッピングがすでに存在する場合、ユーザーはソースファイルライブラリを変更できていませんでした(2020年11月1日追加)。

バージョン20.9.2.2(2020年10月15日)

WhiteSourceコア

  • 社内/ホワイトリストから削除されたライブラリに適用された製品スコープで定義された CREATE_ISSUE ポリシーにより、組織のスコープに CREATE_ISSUE ポリシーがない場合、組織のすべてのプロジェクトでチケットが作成されました。

バージョン20.9.2.1(2020年10月15日)

Unified Agent

  • 新しい最適化された NPM 依存性解決方法を使用して、Unified Agent の要求サイズに異常が見られたため、デフォルトの NPM 依存関係検出方法が「npmls」コマンドの実行に変更されました。

 

バージョン20.9.2(2020年10月11日)

新機能とアップデート

WhiteSource コア

  •  npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係検出方法になりました。この変更は、以前の既定値の切り替えによって導入された npm.resolveLockFile のフラグの現在のデフォルト値を false から true に変更することで適用されています。これにより、NPMプロジェクトのスキャン時間が大幅に改善され、より正確な結果が得られます。

機能の変更

  • Oracle Development License のライセンス名(以前にアプリケーションに表示されていたもの)は、正式な名前である Oracle Technology Network LicenseAgreement に従って表示されます

解決された問題

  • Kubernetes エージェントのスキャン中に、スキャンされたコンポーネントに同じ画像が複数回含まれていると、不正とみなされ例外が発生していました。

  • アトリビューションレポートで、例外ライセンスのある GPL 2.0 が、GPLv2 ライセンスの挿入テキストとして誤って表示されていました

  • PHP をスキャンするときに、1つ(または複数)のパッケージのロックファイルに「ソース」要素がない場合、Unified Agent が例外をスローしていました。

バージョン20.9.1(2020年10月4日)

新機能とアップデート

WhiteSource コア

  • 現在、カスタム属性レポートにアクセスすると、レポートのデータが自動的に取得されます。組織に多くのライブラリと多くのカスタム属性が定義されている場合、これには時間がかかる可能性があります。 このバージョンから、[Apply] ボタンが追加され、ユーザーはオンデマンドでのみデータを取得できるようになりました。

Unified Agent

  • このバージョン以降、コンフィギュレーションファイルを使用して Unified Agent を実行しなければならないという厳密な要件が削除されました。必須パラメータが Unified Agent に渡されると、サポートされているいずれかの方法で、設定ファイルが欠落している場合でも、Unified Agent を失敗させることなく実行できます。

  • このバージョン以降、スキャン中にYarnロックファイル(yarn.lock)が見つかった場合、npm.yarnProjectフラグを明示的に設定しなくても、依存関係の検出に使用されます。

解決された問題

  • 組織のポリシーページから既存のインベントリにポリシーを適用する場合、製品とプロジェクトのポリシーが無視されていました。

  • ユーザーの保留中のすべてのタスクをユーザーに再割り当てすると、インベントリへのリクエストの承認者が適切に更新されていませんでした。

  • 2つの Maven プロジェクトが同じ名前で定義された場合、両方のプロジェクトが部分的なデータでしか作成されませんでした。導入された修正により、同じ名前のプロジェクトが複数ある場合に備えて、プロジェクト名にサフィックス(_1、_2)が追加されるようになりました。

バージョン20.8.2(2020年9月13日)

新機能とアップデート

  • Helm バージョン3 のサポートが、Kubernetes 統合のために正式に導入されました。

解決された問題

  • hex.ignoreSourceFiles trueに設定されている場合、Unified Agent が .erl ソースファイルを無視しませんでした。

  • グループが SAML 統合を介して作成され、ダッシュボードから手動で削除された場合、例外が発生しました。

注意事項

  • Unified Agentの次の2つのリリースでは、NPM依存関係の検出が大幅に改善されます。npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係の検出方法になります。これは、npm.resolveLockFile フラグの現在のデフォルト値を false から true に変更することで適用されています。これにより、NPMプロジェクトのスキャン時間が大幅に改善され、より正確な結果が得られます。 

バージョン20.8.1.1(2020年9月2日)

解決された問題:

  • NuGet バージョン標準に従って不正確なバージョンの packages.config または .csproj で定義された NuGet パッケージは認識されることなくスキャン結果が表示されます("Requires Review" になります)。この修正により、これらのパッケージはスキャン結果に表示されなくなります。

バージョン20.8.1(2020年8月30日)

新機能とアップデート

Unified Agent

Docker プロジェクト名の新しいフォーマットがサポートされました- repositoryName Docker リポジトリ名のみに基づいています- 。この形式は、docker.projectNameFormatパラメーターをrepositoryNameに設定することで適用できます

また、名前の既にサポートされているフォーマットrepositoryFormatはに変更されましたrepositoryNameAndTag(それが廃止されますが、正式な名前の形式はまだサポートされています)。

現在、3つのサポートされている形式があります。

  • デフォルトのフォーマットは、Dockerリポジトリの名前、タグ、IDで構成されています。

  • repositoryNameAndTag(以前として知られているrepositoryFormatは) Docker リポジトリ名とタグで構成されています。

  • repositoryNameは唯一 Docker リポジトリで構成されています。

Prioritize

  • 集約モジュールモードがサポートされています(-aggregateModules  フィールドを使用)。

機能の変更

  • プロジェクトの関連付けページで、製品列が選択列からテキスト列に変更されました。現在、プロジェクトの関連付けは、目的のプロジェクトをチェックして[製品に割り当て]を選択し、ドロップダウンリストから目的の製品を選択することによってのみ利用できます。

  • 「APPEND」更新要求を使用する場合、TRANSITIVE依存関係のみが追加されているまれなケースで、新しい推移的依存関係が直接依存関係として追加されるため、アラートやポリシーなどのアプリケーションのすべてのメカニズムがそれに適用されます。これは、現在の動作に対する変更です。新しい依存関係を推移的に追加するために、ユーザーは追加要求の後に別の「上書き」更新要求を実行できます。

解決された問題

  • Gradleリゾルバーを実行しているときに、依存関係がない場合、Unified Agentは.jar依存関係のみをダウンロードしようとします。

  • アーティファクトのGAV座標が変更されるというまれなユースケースでは、Gradleスキャンはこのアーティファクトの正しい署名を生成しませんでした。

  • リクエスト解決ステータスレポートで、レポートの上部に間違ったパスが表示されました。

  • 脆弱性レポートで、JSON形式にLocations列がありませんでした。

  • Haskellプロジェクトのplan.jsonファイルをスキャンすると、1つの子に依存関係がない階層を構築するときにnullPointerExceptionが発生しました。

  • アプリケーションのホーム画面で、保留中のタスクの承認/拒否の一括アクションがタイムアウトしました。これにより、UIがハングし、リクエストはレビュー済みとしてマークされませんでした。

  • ソースライブラリを使用してDockerイメージをスキャンすると、「階層」ツリーには、それらのソースファイルと一致するソースライブラリの複製が含まれていました。

バージョン20.7.3.1(2020年8月24日)

解決された問題:

  • 依存関係の階層が深いGradleプロジェクトを解決すると、インデックスの範囲外の例外が発生しました。

バージョン20.7.3(2020年8月16日)

新機能とアップデート

Web UI

  • このバージョン以降、現在サポートされていないタイプの必須フィールドを持つJiraプロジェクトに基づいてポリシーを作成/編集するときに、Jiraでデフォルト値が定義されている場合、操作は成功します。

API

  • 同じプロジェクトのスキャンが同時に実行されているときにプロジェクトのスキャンが要求された場合、新しいスキャンはスキップされます。このバージョン以降、スキャンのために返されるJSONファイルは、FINISHEDではなくSKIPPEDステータスを指定します。

解決された問題

  • Debian Dockerイメージのステータスファイルが空の場合、スキャンの結果、依存関係はありませんでした。

  • ポリシー画面で、すべての変更が適切に保存されていても、変更が保存されないことを示すポップアップが表示されました。

  • DependencyNodeRepositoryImplクラスのメソッドupdateNodesParentAndMrを呼び出すと、TimeoutExceptionがスローされました。

  • 優先度フィールドと担当者フィールドは、Jiraプロジェクト自体で定義されていない場合でも、Jiraベースのポリシー作成に表示されました。

  • Jfrog Artifactoryバージョン7での変更により、プロパティ名haAwareEtcDirがetcDirに変更されたため、WhiteSourceアーティファクトリープラグインで例外がスローされました。

既知の問題点

  • ソースファイルを含むDockerイメージをスキャンすると、階層ビューでソースライブラリが重複して表示されます。

お知らせ

  • 次の2つのリリースでは、すべての必須パラメーターが設定されている(コマンドラインパラメーターとして、または環境変数によって渡される)場合、WhiteSourceは構成ファイルを用意する必要をなくすことにより、Unified Agent構成を改善します。

バージョン20.7.2(2020年8月2日)

新機能とアップデート

WhiteSourceコア

  • SAMLセッショントークンの継続時間(IDP認証からWhiteSourceログインまでの時間)が10分から5分に変更されました。

API

  • 新しいAPI setNoticeにより、ライブラリの通知の値を設定できます。

Unified Agent

  • Linux RPMベースのイメージのDockerスキャンが改善されました。

  • ユーザーは、環境変数を使用してUnified Agentパラメータを設定できるようになりました。

  • GoプロジェクトのBazelサポートがWindowsに拡張されました。Unified Agentは、Bazel Gazelleによって生成されたgo_repositoryルールを使用して、LinuxとWindowsの両方のGoプロジェクトをスキャンできるようになりました(こちらを参照)。

解決された問題

  • 組織が削除されると、データ、特にアラートが削除されました。これにより、テーブルがロックされている場合にタイムアウト例外が発生しました。

  • 特定のシナリオで、製品の割り当てを読み込むときにnullポインタ例外が発生しました。

  • 特定の条件下では、yarn.lockからの依存関係の解決に問題がありました。

  • Unified Agent Dockerスキャンの特定の条件下で、類似したファイル名はあるが内容や形式が異なる場合に例外が発生しました。

  • Kubernetesのデプロイメント手順では、初期構成された遅延は考慮されていませんでした。

  • Gradleの優先順位付けマルチモジュールアナライザーを実行すると、build.gradleがないモジュールが正しく処理されませんでした。

  • 特定の条件下で、policyRejectionSummaryファイル内のリンクフィールドの形式に問題がありました。

  • 特定の条件下で、[プロジェクトの関連付け]ページの読み込みが遅くなり、404エラーが発生しました。

バージョン  20.7.1.3(2020年7月26日)

解決された問題:

  • 特定の状況下で、ライブラリ階層ビューが期待どおりに機能しませんでした。

  • 特定の状況下で、組織/プロジェクトの削除が非常に遅くなるか、エラーで終了しました。

バージョン20.7.1(2020年7月19日)

新機能とアップデート

Unified Agent

  • dockerイメージをスキャンするユーザーは、パッケージに関する情報をレイヤー単位で受け取ることができます。docker.layersパラメーターをtrueに設定することにより、新機能を有効にすることができます。レイヤーの粒度は、階層表示(階層として表示)の下のUIで表示できます。

  • npm.resolveLockFileフラグによって制御される最適化されたNPM解決方法の改善が導入されました。改善には、精度の向上に加えて、スキャン時間の短縮が含まれます。この機能を有効にするには、npm.resolveLockFileをTrueに設定します。

  • 新しいフラグnpm.ignoreDirectoryPatternsにより、ユーザーは無視されたディレクトリのリストを特定できます。

  • BazelのサポートがGoプロジェクトに拡張されました。Unified Agentは、Bazel Gazelleによって生成されたgo_repositoryルールを使用してLinuxマシンのGoプロジェクトをスキャンできるようになりました(こちらを参照)。

WhiteSourceコア

  • 特定の条件下で、アプリケーションに脆弱性がない場合、AVMエージェントによって更新されませんでした

一般的な機能強化

  • 「解決要求ステータス」レポートには、[レポート]メニューからアクセスできるようになりました。

解決された問題

  • 特定の条件下では、Dockerイメージのスキャン時にパッケージデータベースの解析に失敗した後、Unified Agentは依存関係を返しません。

  • ソースファイルウィジェットで、ページを更新した後、[ライブラリの変更]列が表示されませんでした。

  • 特定の条件下では、有効利用分析の要約レポートに不正確さがありました。

  • 特定の条件下で、Gradleの依存関係をダウンロードしようとすると、リダイレクト後にユニファイドエージェントに問題が発生しました。

バージョン20.6.2(2020年7月5日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • Unified AgentのcheckPolicies-json.txtファイルには、この情報が利用可能な場合、各コンポーネントのシステムパスとマニフェストファイルパスが含まれるようになりました。

  • 新しいパラメーターpython.localPackagePathsToInstallを使用すると、ユーザーは、必要に応じて、前のステップでインストールされるローカルパッケージパスのリストを構成できます。

API

  • getProjectVitalsの新しい応答であるLast Scan Commentは、ユーザーのスキャンコメントを返します。

一般的な機能強化

  • 以下をアップグレードしました:

    • WildFlyからバージョン10.1.0へ 

    • jQueryをバージョン3.5.0に

  • Unified AgentのバージョンがWebアプリケーションのProject Vitalsに表示されます。

  • Docker画像検索メカニズムが改善され、UAスキャン時間が短縮されました。

解決された問題

  • リスクレポートの一般概要パネルで、製品を選択すると、誤ったタイトルとリンクが表示されました。

  • getOrganizationInHouseLibrariesリクエストの処理中に、Nullポインタ例外が発生しました。

  • 「レビューが必要」が組織/製品/プロジェクトで最も一般的でないライセンスである状況では、ライセンスダッシュボードが機能しなくなります。

  • アトリビューションレポートでは、ヘッダーの配置に問題がありました。

  • HTML依存関係の解決におけるプロキシ設定に問題がありました。

  • TeamCityプラグインは、チェックポリシーリクエストの結果として常に失敗しました。 

  • 特定の条件下で、SBTの依存関係をスキャンするとエラーが発生しました。

  • Pythonプロジェクトで使用されるローカルライブラリが検出されませんでした。この機能はこのリリースで導入され、python.localPackagePathsToInstallフラグによって制御されます。

既知の問題点

  • フィールドの最後のスキャンコメントに複数の行が含まれている場合、最初の行のみがプロジェクトの重要領域に表示されます。

お知らせ

  • 次のリリースでは、npm.resolveLockFileフラグによって制御される最適化されたNPM解決方法の改善が導入されます。改善には、精度の向上に加えて、スキャン時間の短縮が含まれます。この機能を有効にするには、npm.resolveLockFileをtrueに設定します。 

バージョン20.6.1.1(2020年6月30日)

解決された問題

  • 特定の状況下で、csprojファイルのNuGet依存関係の検出により、依存関係のバージョンが不正確になりました。

バージョン20.6.1(2020年6月21日)

新機能とアップデート

WhiteSourceコア

Web UI

  • アトリビューションレポートでは、次のようないくつかの機能強化が行われています。

    • レポートに含める/レポートから除外するフィールドを選択します

    • レポートにフィルターを適用する

    • レポートにカスタム属性を含める

    • レポートをJSON形式にエクスポートする

    • 空の値を含むフィールドを非表示にする 

  • このバージョンから、脆弱性ページの表示に、前月に変更された脆弱性が表示されます。

  • このバージョン以降、WhiteSource Expert Fixは、推奨される修正のリストでお客様に推奨される最初のソリューションです。

Unified Agent

  • このバージョンでは、Dockerized Unified Agentが導入されています。詳細については、こちらをご覧ください

  • Bazel解像度がデフォルトで有効になりました。UAはBazel for Javaプロジェクトをサポートするようになりました。次の2つのルールがサポートされています:maven_install、maven_jar。

  • このバージョンでは、Unified Agent Dockerスキャンによる OpenSUSE Leap イメージのサポートが導入されています。

解決された問題

  • リモートリポジトリが含まれていると、Artifactory Docker仮想リポジトリスキャンが失敗しました。

  • 特定の条件下では、UAは適切なログメッセージなしで終了します。

  • 特定の状況下で、C#パッケージの識別に問題がありました。

  • [ライブラリの詳細]ページでは、脆弱性有効なライブラリのみが表示されませんでした。

  • 脆弱性の有効性に基づいてポリシーを定義するときにJiraの問題を作成しようとすると、例外が発生しました。

  • Webアプリケーションのアラートレポートで、EUAの「シールド」が表示されませんでした。

  • Jiraサーバーの問題は、間違った割り当て先パラメーターのために作成されませんでした。

  • NuGetスキャン中に、欠落ファイルへの参照に続いて例外が発生しました。

バージョン20.5.2(2020年6月7日)

WhiteSourceコア

Web UI

  • Prioritizeがインストールされているお客様の場合:このバージョンから、ポリシーを作成するときに、脆弱性の重大度と効率で照合できます。

  • [Originライブラリの変更]画面の新しいオプションである[ すべてのソースファイルに一致するリポジトリのみ ]は、ユーザーがすべてのソースファイルが存在するライブラリのみを表示できるようにすること、リクエストをより効率的にします。

  • APIとアトリビューションレポートでカスタム属性がサポートされるようになりました。

API

  • Prioritizeがインストールされているお客様の場合: ポリシーAPIのVULNERABILITY_SEVERITYに「effectiveVulnerabilitiesOnly」フラグが追加されました。

解決された問題

  • 特定の状況下で、nuspecファイル内の特定の形式のパッケージバージョンが原因で、NuGetの解決に失敗しました。

  • 特定の状況下で、packages.configが存在する場合、NuGet解決で誤ったコマンドが実行されました。

  • 他のcsprojファイルを参照するときに、csprojファイルにフルパスを指定するオプションはありませんでした。

  • Jira APIパラメータ「クエリ」(「ユーザー名」に置き換わりました)は、すべての顧客に対して機能しませんでした。

  • wss_resourceVulnerabilitiesテーブルでは、sourceFileHashesマッピングがない場合、セキュリティアラートは計算されません。

  • 特定の状況下で、Rubyスキャンが失敗しました。

  • Unified Agent では、ヤーンスキャンの依存関係に2つのバージョンがあると、スキャンが失敗しました。

既知の問題点

  • ライブラリの詳細ページでは、脆弱性有効なライブラリのみが表示されません。

Version 20.5.1(2020年5月24日)

新機能とアップデート

WhiteSourceコア

Web UI

  • ADD / EDITポリシー関数では、文字列、文字列配列、ユーザー、数値の必須フィールドもサポートされるようになりました。プロジェクトで課題のタイプを選択すると、必須フィールドが表示され、それらを入力する必要があります。

  • 一部のレポートでは、複数の選択を含むすべてのパネルに以下が追加されました

    • データグリッドパネルの行を選択するときに表示される、選択された行の数のカウントインジケーター。このカウンターは、行を選択/選択解除すると自動的に更新されます。

    • カウンターの横にある「選択のクリア」ボタンをクリックすると、選択したすべての行がクリアされます。

Unified Agent

  • このリリースから、Nuget のライブラリ解決が向上し、デフォルトでシステムパッケージをスキャン結果から除外することにより、他のリゾルバーに合わせられます。

  • このバージョン以降、npm.ignoreSourceFiles が設定されている場合、.coffeeソースファイルは考慮されません。

解決された問題

  • ラムダサーバーレス実装のHTTP呼び出しの1つにプロキシサポートがありません。

  • Gradle ライブラリ解決の特定の状況下で、空のファイルでハッシュが計算されました。

  • プロトコルを含まないライセンスリンクは、サイト内の相対的なリソースと見なされたため、ベースURLが href に追加されました。

  • インベントリレポートでアクションを実行した後、選択がクリアされませんでした。

  • データベースに重複があるソースライブラリを同期しようとしたときに、既存のソースライブラリを削除しようとしました。

  • 複数の選択があるチェックボックスなどの一部のレポートには、選択したアイテムに対して実行するアクションがありませんでした。

  • 担当者が存在するが、Unified Agentの初期リストに表示されなかった場合、ユーザーは課題タイプのポリシーを作成できませんでした。

  • 特定の条件下では、Artifactory プラグインはチェックポリシーのコンプライアンスリクエストでリポジトリ名として製品パラメーターを送信します。

既知の問題点

  • Jira ベースのポリシーを作成する際、選択したプロジェクトの課題タイプにフィールド「担当者」または「優先度」が含まれていない場合、ポリシーは正常に作成されたように見えますが、チケットは生成されません。

バージョン20.4.2(2020年5月10日)

新機能とアップデート

WhiteSourceコア

Web UI

  • [ライブラリの詳細]画面の新しい[ 集計データ]タブには、ライセンス、ポリシー、脆弱性、およびライブラリデータの集計データが表示されます。

Unified Agent

  • このバージョンでは、yarn の npm.ignoreScripts パラメーターのサポートが導入されています。

  • Goプロジェクトのスキャンが改善されました。

API

  • ライセンス SPDX 名とライブラリの著作権が getProjectLicenses、getOrganizationLicenses および getProductLicenses APIに追加されました。

機能の変更

  • 現在、setProductAssignments API呼び出しに無効なロールを入力すると、「製品の割り当てが正常に設定されました」という応答が返されます。 このバージョンから、API呼び出しによって正常に設定された割り当てを含むように応答が変更されました。 また、さまざまな警告メッセージを含む「warningMessages」という名前の追加リスト(APIバージョン1.3以降で利用可能)も含まれています。

  • 次のUnified Agentリリースでは、デフォルトでシステムパッケージをスキャン結果から除外することにより、NuGet のライブラリ解決が改善され、他のリゾルバーに合わせられます。 

解決された問題

  • ライセンス互換性レポートは、手動で上書きされたライセンスを認識しませんでした。

  • アンインストールされたOSパッケージがスキャンに含まれていました。

  • 特定の状況下で、setProductAssignments APIにAlert ignorers ロールがありませんでした。

  • スキャンレポートの「policyStatistics」セクションと「vulnerabilityStatistics」セクションのセキュリティ重大度の計算が揃っていません。

  • Linuxの循環シンボリックリンクを含むスキャンされたプロジェクトに関する問題。

  • Azure レジストリイメージがスキャンされるときに、Unified Agentのログに不要な情報が出力される問題。

既知の問題点

  • ライブラリーが直接依存関係と推移依存関係の両方として表示される場合に、ライブラリーの集約データが表示されないという問題が存在します。



バージョン20.4.1(2020年4月26日)

新機能とアップデート

WhiteSourceコア

Web UI

  • リスクスコアがライセンスOpen LDAP 2.4に追加されました。

Unified Agent

  • このバージョンは、Poetry のグローバルパッケージのサポートを提供します。

  • Unified Agent は、yarn の依存関係の解析/収集に加えて、依存関係(直接および推移的)を持つ yarn のワークスペースを階層ツリーとして追加できるようになりました。

Bambooプラグイン

  • このバージョンでは、バージョン7.0.3までのBambooサーバーのサポートが導入さ  れています。

機能の変更

  • このバージョン以降、すべてのケースで、ignoreSourceFilesが最上位フォルダーで考慮されます。

  • このバージョン以降、ignoreSourceFilesが設定されている場合、Mavenリゾルバーは.jar、.war、.ear、.zipファイルを無視しません。

  • レポーターを必要とする問題にレポーターを設定する場合、レポーター名と表示名を挿入するためのテキストボックスがあった以前の方法ではなく、リストからレポーターが選択されます(担当者の選択と同じ)。

  • Unified Agent 設定maven.ignoredScopes = NONEは、Mavenプロジェクトで優先度を実行するための前提条件ではなくなりましたが、デフォルト設定のままです。 Unified Agent 構成ファイルのパラメーター設定に関係なく、優先順位付け分析はテストスコープの依存関係を無視します。

解決された問題

  • 特定の条件下で、MultiModuleAnalyzerが大規模なGradleマルチモジュールプロジェクトで実行されると、特定のモジュールが無視されました。

  • 優先順位付けで、Maven前提条件がmavenIgnoredScopesを誤って使用していました。

  • 特定の条件下で、Unified Agentがオフライン要求で空の依存関係値を送信しました。

  • Jira課題を開くために必須フィールドを取得する際、Jiraプロジェクトは考慮されませんでした。

  • 特定の条件下で、一部のDockerイメージパッケージ(centos)に同じハッシュ値キーがありました。

  • Rマネージャーパッケージャが関係する場合、ライブラリの一致フラグがオンで、パッケージにsha1がない場合、このパッケージの追加のsha1は無視されました。

  • 最後のRVI同期試行をフェッチすると、別のプロセスが同じオブジェクトを更新しているため、OptimisticLockException(AbstractSyncServiceImpl:78)がスローされます。したがって、バージョンが変更されます。

  • RVI同期タスクが初めて作成されたとき、タスク名なしで作成されました。

  • 特定の条件下で、RedHatライブラリが顧客データベースから欠落していました。

  • 特定の条件下で、Dockerイメージ(Centos:8)のrpmスキャンを実行した後、解決する必要のあるアイテムが110個以上残っていました。

  • Jiraでは、特定の条件下で、Jira APIの変更が原因で以下が発生しました:

    • 課題は担当者なしで作成されました

    • レポーターが必須として定義されている場合、問題は作成されませんでした

    • APIを介して課題ポリシーを追加できませんでした

    この修正は、新しいポリシーに自動的に適用されます。既存のポリシーの場合、顧客がレポーターまたは担当者を定義した場合、それらのポリシーを編集し、担当者とレポーターを再入力して保存する必要があります。

バージョン20.3.3、20.3.2(2020年4月12日)

新機能とアップデート

WhiteSourceコア

Web UI

  • ライブラリの詳細ページで、ユーザーはライセンステキストをライブラリの特定のライセンステキストに手動で上書きできるようになりました。新しいライセンステキストは、UIとAPIの両方で、アトリビューションレポートとリリース管理ダッシュボードに表示されます。

  • アトリビューションレポートで、コメント付きの手動で割り当てられた著作権について、ライブラリの著作権セクションのコメントと呼ばれる新しいセクションにコメントが表示されるようになりました。

Unified Agent

  • Unified AgentはScala sbt-coursierとsbt 1.3.xをサポートするようになりました。

  • ACRレジストリへのDocker Azureログインがサポートされるようになりました。

Prioritize

  • 新しいxModuleAnalyzerコマンドラインパラメーターであるEuaMaxTotalMemAllocを使用すると、ユーザーはマルチモジュール分析を実行するためのメモリ割り当て設定を指定でき、次のオプションから選択できます。カスタム指定のメモリ割り当て。利用可能なすべてのメモリの割り当て。WhiteSourceによって設定されるデフォルトの最小設定。

  • 新しいxModuleAnalyzerコマンドラインパラメーターignoreEuaNoticesにより、ユーザーは、xModuleAnalyzerによるモジュールの分析後に返されるEUAコードを無視するための設定を指定できます。

  • 新しい指定されたxModuleAnalyzerログファイルは、各モジュールの分析後に返されたEUAコードの集約された要約をキャプチャし、以前は独立したモジュールログでのみキャプチャされた詳細を特徴としています。

  • 分析エラーが原因ではなく、マルチモジュール設定の1つ以上のモジュールが実行/完了に失敗した場合、新しいxModuleAnalyzerメッセージが表示され、キャプチャされます。

機能の変更

  • アトリビューションレポートでは、著作権セクションにライセンステキストが表示されなくなりました。

  • プラグインリクエスト履歴レポートで、「fs-agent」が「unified-agent」に変更されました。

解決された問題

  • ソースファイルインベントリレポートがユーザー特権に従ってプロジェクトをフィルタリングしない、つまり、プロジェクトAのメンバーではないユーザーがそのプロジェクトのソースファイルとライブラリを引き続き表示できるというアクセス許可の問題がありました。

  • [すべての製品]ドロップダウンリストはアルファベット順に並べ替えられていませんでした。

  • 大規模なNPMプロジェクトの特定の条件下で、2つのスキャンを実行すると、StackOverflowErrorが発生しました。

  • 特定の条件下で、modules.txtファイルに解析の不規則性がありました。

  • 特定の条件下で、「paket.lock」ファイルを解析するときに例外が発生しました。

  • 特定の条件下で、パケットスキャンの結果にNuGetに関する情報が表示されました。

  • 特定の条件下で、Unified Agentで、failErrorLevelとimpactAnalysisをマージしたため、Gradleが失敗しました。

  • AVMのFortifyクライアントで、「ssc」を含むURLを持つクライアントの解析中にエラーが発生しました。

  • 特定の条件下で、maven.ignoredScopesフラグが期待どおりに機能しませんでした。

  • Mavenスキャンにより、Maven依存関係が失われました。

  • ライセンス互換性レポートには、オーバーライド機能を使用した後でも複数のライセンスが表示されていました。

  • ignoreSourceFilesが「includes / excludes」スキャン結果に影響を及ぼしました

  • デフォルトのpaket.exeパスに誤ったパスが誤って割り当てられていました。

  • 特定の条件下で、NuGetリゾルバーに誤ったバージョンが含まれていました。

バージョン20.3.2、20.3.1(2020年3月29日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • Cabalバージョン3のサポートが提供されます。

Prioritize

  • 新しいパラメーターignoreEuaNoticesを使用すると、ユーザーは、一般的にEUAコードを無視するか、または「情報」問題(つまり、重大なエラーではない)を示唆するコードのみを無視するかを指定できます。

機能の変更

  • 以前は、ライブラリロケーションレポートでは、ライブラリにパスがない場合、UIに「N / A」と表示されていました。これは空の文字列に変更されました。

  • 次の2つのスプリント内で、WhiteSourceは、主にMavenの解決に関して、 Unified Agent のスキャン結果を改善します。ignoreSourceFilesが設定されている場合、.jar、.war、.ear、.zipなどのバイナリがスキャンに含まれます。

  • さらに、pomファイルにパッケージが表示されると、ignoreSourceFilesが最上位フォルダーで考慮されます。

解決された問題

  • 一部のnupkgライブラリでは、バージョンセパレータとして表示名にダッシュ( '-')が含まれていないライブラリは、同じライブラリとして認識されなかったため、複数のライブラリバージョンが生成されませんでした。

  • .PDFに生成すると、リスクレポートの同じライブラリの異なるバージョンの使用セクションのタイトルが異なりました。

  • 特定の状況で、goGradleスキャンがnullポインタ例外で失敗しました。

  • リゾルバーのbomファイルの重複により、リゾルバーの順序が変更されました。

  • 脆弱性は存在しましたが、Effective Usage Analysisダッシュボードに0%のカバレッジが表示されました。

  • 特定の条件下で、更新リクエスト中に製品の承認者を取得すると、NoSuchElementExceptionが発生しました。

  • 特定の条件下で、Go 1.14の解析機能が正しく機能しませんでした。

  • 特定の条件下で、Dockerイメージのスキャンで例外が発生しました。

  • 特定の条件下で、新しいバージョンのアラートが作成されませんでした。

バージョン20.3.1、20.2.2(2020年3月15日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • 新しいパラメーターpython.resolvePipEditablePackagesは、編集可能モード(-e)でのpipのサポートを有効にし、PythonプロジェクトのWhiteSourceに追加の依存関係を提供します。

  • 新しいパッケージマネージャーのサポート:このバージョンでは、Gradle Kotlin DSLのサポートが導入されました。

Web GUI

  • アトリビューションレポートで、著作者情報に著作者名が表示されるようになりました。

API

  • 新しいAPIリクエスト「getProjectLicensesTextZip」により、getLicensesTextZip APIのプロジェクトレベルのスコープが有効になり、法的なビジネスニーズに対してより詳細な結果が提供されます。

  • 新しいAPIリクエスト「getProjectCopyrightsTextFile」により、getCopyrightsTextFile APIのプロジェクトレベルのスコープが有効になり、法的なビジネスニーズに対してより詳細な結果が提供されます。

解決された問題

  • マルチモジュールアナライザーが少なくとも12のプロジェクトをスキャンしたときに、一部のプロジェクトでランダムに失敗することがありました。ただし、単一のプロジェクトをスキャンする場合、そのような問題はありませんでした。

バージョン20.2.1、20.2.2(2020年3月1日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • [ライブラリの詳細]ページが再設計され、情報が4つの個別のタブに整理されるようになりました。

  • Unified Agent はSBT 1.3.x以降をサポートするようになりました。

解決された問題

  • 優先順位付けの脆弱性分析ペインで、分析カバレッジが100%を超えました。

  • Unified Agentは、virtualenvコマンドを使用してPythonの依存関係を解決できませんでした。

  • 一部のPythonライブラリについて誤った説明がありました。

  • Debianインポーターは、リリース日がないとファイルをダウンロードできませんでした。

  • 特定の状況下で、脆弱なすべてのソースファイルをブラックリストに登録した後でも、CVEがWebアプリケーションに表示されました。

  • 有効利用分析では、マルチモジュールアナライザーが複数のプロジェクトをスキャンしたときに、それらのプロジェクトの一部がランダムに失敗することがありましたが、単一のプロジェクトをスキャンした場合は問題は発生しませんでした。

  • 「ベースディレクトリ」は、古いユニファイドエージェントと新しいユニファイドの間で異なり、それにより顧客に誤った結果を引き起こしていました。

バージョン20.1.3(2020年2月16日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • ポリシー機能では、バグレーティングバージョンアクティビティの一致タイプが削除され、これらのタイプの新しいポリシーを追加する方法がなくなりました。ただし、これらのタイプの既存のポリシーは編集可能です。

API

  • WhiteSourceで可能な脆弱性が関連付けられているソースファイルを可能な限り入手したいお客様のために、getProjectAlertsByType APIの新しいオプションのパラメーターを使用して、応答に脆弱なソースファイルを含めることができます。

解決された問題

  • 優先順位付けで、有効な脆弱性ウィジェットの分析カバレッジが100%を超えました。

  • 特定の条件下で、ScalaプロジェクトのスキャンがSBTの依存関係で失敗しました。

  • 特定の条件下で、Unified Agentで「gradle」コマンドが失敗したときに、Unified Agentが「gradlew」コマンドを実行しませんでした。

  • 特定の条件下で、ライブラリフォルダーが間違ったモジュールに表示されていました。

  • 帰属レポートでは、提供されたライセンス参照は必ずしもライセンステキスト自体ではありませんでした。

  • 特定の状況下で、顧客が組織を削除した後、それは顧客のシステムに残りました。

  • 新しいNPMバージョンのアラートには、プレリリースバージョンが含まれていました。

バージョン20.1.2(2020年2月2日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • このバージョンでは、CentOSのDNFパッケージマネージャーのサポートが導入されています。

解決された問題

  • [修正]  特定の条件下で、Microsoft Azureを介してWhiteSourceアプリケーションにログインするときに問題が発生した。

バージョン20.1.1(2020年1月26日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • このバージョンでは、Pythonの新しいパッケージマネージャーであるPoetryのサポートが導入されています。

レポート

  • ライセンス列には、プレビュー画面でライセンスによってフィルタライブラリにユーザーを可能に帰属レポートに追加されました。

  • 追加されたレポートの柔軟性:アトリビューションレポートで、ユーザーはレポートの出力に含める複数のプロジェクトを選択できるようになりました。

解決された問題

  • [修正] メール通知を無効にした顧客に新しいアラートメールが送信されるようになりました

  • [修正] 特定の状況下で、ライセンス互換性レポートに結果が表示されなかった。

バージョン19.12.2(2020年1月5日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • NPM解像度:最適化されたスキャン動作とスキャン時間の短縮。新しい機能は、NPMコマンドではなくpackage.jsonのみに依存し、フラグnpm.resolveLockFile = trueを使用して有効にできます。

  • Unified Agentは、Maven構成のより多くのケースをカバーするように拡張されました(つまり、Mavenツリー出力に異なるフォーマットを使用するお客様向け)。

その他

  • 帰属レポートデータの改善-  ライブラリにライセンスリファレンスがない場合、一般的なライセンスが表示されます。

解決された問題

特定の条件下で、ライブラリ名が切り捨てられ、インターフェースに正しく表示されませんでした。

  • [修正]  特定の状況で、Yarn Devの依存関係がインベントリから除外されなかった。 

  • [修正]  Bowerプロジェクトで、特定のエッジケースの結果から一部の依存関係が欠落していた。 

  • [修正] ポリシーページで特定の場合に予期しないエラーが表示される問題を修正しました 。

  • [修正]  特定の条件下で、スキャン後にPythonの依存関係がインベントリから欠落していた

リリース:

バージョン19.12.1(2019年12月22日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • 「R」プログラミング言語スキャンの柔軟性の追加:このバージョンでは、メインパッケージマネージャーであるPackratを使用していないお客様にRプログラミング言語のサポートが提供されます。 

  • Unified Agentは、Maven構成のより多くのケースをカバーするように拡張されました(つまり、Mavenツリー出力に異なるフォーマットを使用するお客様向け)。

Web GUI

  • 複数のライセンスを持つライブラリを管理するための柔軟性が追加されました:Web UIで、特定のライセンスを削除し、新しいライセンス参照をライセンスに追加できるようになりました。

  • このバージョン以降、WhiteSourceの各セキュリティ脆弱性をクリックすると、CVEをNVDにポイントする代わりに、ユーザーはWhiteSourceの脆弱性ラボにリダイレクトされます。 URL形式は次のとおりです。https:  //vuln.whitesourcesoftware.com/vulnerability/ < vulnerabilityID >

  • [ライブラリの詳細]ページの[アラート]パネルが強化され、さまざまなカテゴリごとのアラートの概要を視覚的に表示できるようになりました。

その他

  • アトリビューションレポートデータの改善-さまざまなケースで、以前に使用されたJSON / XMLの代わりに、有効なライセンステキストがレポートに表示されます。

解決された問題

特定の条件下で、ライブラリ名が切り捨てられ、インターフェースに正しく表示されませんでした。

  • [修正]  LEFT JOIN FETCHを使用してJPAクエリでライセンス参照をフェッチすると、クエリが「javax.persistence.EntityNotFoundException」で失敗する

  • [修正]特定の条件下で、getImageTagsメソッドからNullポインタ例外エラーがスローされるため、Dockerスキャンが失敗する問題を修正 しました。

  • [修正]  ChromeのWS Adviseで、バージョン管理されていない、脆弱性のないコンポーネントと脆弱性のあるバージョン管理されたコンポーネントを切り替えると、違反の問題が表示されていました。

  • [修正] 特定の条件下で、添付されたPodfile.lockファイルのスキャン結果を変換してJSONオブジェクトに変換すると、メモリ不足の例外が発生する

リリース:

バージョン19.11.2(2019年12月8日)

新機能とアップデート

WhiteSourceコア

Unified Aagent

  • JFrog Artifactory Docker統合のより簡単なオンボーディング:このバージョンから、Unified AgentはDockerイメージをアーティファクトからアーカイブファイルとしてダウンロードし、抽出してスキャンできるようになりました。

  • JFrog Artifactory Docker イメージのスキャンの柔軟性が向上:二つの新しいパラメータ、artifactory.includes と artifactory.excludes によりそのリポジトリにスキャンするイメージをフィルタリングする機能を顧客に提供します。

  • 新しいパラメーター php.ignoreSourcefiles は、ソースファイルのスキャンを無視するかどうかをユーザーが決定できるようにすることで、PHPを使用しているお客様により広範な結果を提供します。

Web GUI

  • 新しい画面オプションのネストされたライセンスは、サードパーティのライセンスなど、ネストされたライセンスがライブラリのリポジトリで使用されている複雑なケースに追加の細分性を提供します。

  • デューデリジェンスレポートで、ライブラリの著作権の年の範囲(from-to形式)が[著作権]列に表示されるようになりました。さらに、著作権別フィルターでは、from-to値に従ってフィルタリングできるようになりました。

解決された問題

  • [修正]特定の条件下で、新しくインポートされたJavaScriptライブラリがGittaルックアップに含まれていました。

  • [修正]ソースライブラリのリクエストを閉じた後、スキャン後に新しいリクエストが再度開かれるようになりました。

  • [修正]特定の条件下で、CVSS 3のextraDataフィールドがnullのときにnullポインタ例外が発生する問題を修正しました

  • [修正] float値をクライアントに渡すと、これらの値が元の値を変更し、不正なデータが表示されることがあった。

  • [修正] Gradleの依存関係のシステムパスが原因で、EUA分析の適用範囲が不正確だった。

  • [修正] デューデリジェンスレポートに著作権の日付範囲を挿入すると、レポートが適切にフィルタリングされなかったため、結果が不正確だった。

  • [修正]実行中にUnified Agent .jarファイルが抽出されると、Unified Agentが機能しなくなる問題を修正しました 。

Unified Agent バージョン 19.11.2をリリース

バージョン19.11.1(2019年11月24日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • 検出モード-拡張された環境ベースの推奨構成機能:生成された構成ファイルで「includes」パラメーターがサポートされるようになりました。

  • Unified Agent の実行に問題がある場合(ポリシー違反など)、Bitbucketパイプはそれを反映し、ビルドに失敗します。

  • このバージョンでは、より良いカスタマイズと制御が導入されており、お客様はUnified Agentのログが保存されるデフォルトの場所を変更できます。

統合

  • CircleCIとの統合-柔軟性の追加:コマンドファイルがCircleCI Orbs統合に追加され、ユーザーがパッケージマネージャーを解像度に簡単に追加できるようになりました。

  • 拡張されたCircleCI Orbは、WhiteSource Unified Agent の最新バージョンを使用するようになりました。

  • CodeFreshマーケットプレイスでのWhiteSourceのCodeFresh統合が正式に公開されました。WhiteSourceの顧客は、WhiteSourceスキャンをネイティブのCodeFreshワークフローに簡単に統合できます。

開発者向けWhiteSource

このバージョンから、開発者向けのWhiteSourceには独自のリリースノートがあります。こちらをご参照ください

解決された問題

  • [修正] app.whitesourcesoftware.comの特定の条件下で、更新リクエストに含まれているライブラリがいくつか欠落していた。

  • [修正]サーバーが、ライセンス名はあるがライセンスタイプがないインポートされたライセンスを受信したため、ライセンスが作成されない

  • [修正]特定の条件下で、Unified Agentが紡績プロジェクトのすべての依存関係を収集しなかった。

  • [修正]  特定の条件下で、Jira統合を使用してサブタスクの問題を作成できなかった。

  • [修正]  年を入れずに新しい著作権テンプレートを作成しようとすると、エラーが表示されていました。

  • [修正]  部分的なデータ構成でプロジェクトごとにHTMLアトリビューションレポートをエクスポートすると、エラーが表示されていました

  • [修正]  特定の条件下で、Unified Agent Docker Hubスキャンが結果を返さなかった。

  • [修正]  Yarnでメモリ不足の問題が発生した。

  • [修正]  GOプロジェクトで検出設定が正しく機能しなかった。



バージョン19.10.1(2019年11月10日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • Unified Agent は、OCamlプログラミング言語のopamパッケージマネージャのスキャンをサポートするようになりました。

  • Unified Agent をMavenプラグインの動作に合わせる: Unified Agent の新しいブールパラメータmaven.projectNameFromDependencyFileは、依存関係ファイルからプロジェクト名を取得するかどうかを制御します。

  • Unified Agent をNPMプラグインの動作に合わせる:既存のパラメーターnpm.projectNameFromDependencyFileは、プロジェクト名を依存関係ファイルから取得するかどうかを制御します。

  • 柔軟性の向上: Unified Agent のコマンドラインと Unified Agent 構成ファイルを介して、プロジェクトタグ(キーと値)を使用してプロジェクトメタデータ情報を設定できるようになりました。

  • Dockerイメージをスキャンしていて、NPMが利用できない場合、グローバルな依存関係を抽出するために、新しいnpm.resolveGlobalPackagesパラメーターにより、インストールされて利用可能なNPMに依存する必要がなくなります。

統合

  • CodeFreshユーザーは、CodeFresh CI / CDパイプラインからオープンソースを直接スキャンできるようになりました。

  • WhiteSource Kubernetes Agentバージョン2.0の最新リリースが利用可能です。このバージョンでは、ネイティブのKubernetes APIが使用され、権限が削減され(セキュリティが向上)、パフォーマンスが向上しています。

雑多

  • Unified Agent は、npm.includeDevDependenciesがfalseに設定されている場合でも、有効利用分析を実行するようになりました。

解決された問題

  • [修正]問題を作成した後、JiraからのJSON応答を解析しようとすると例外が発生し、同じプロジェクトの同じライブラリに対してJiraの問題が複数回作成されました。

  • [修正]帰属レポートに、XMLは、(例えば、XMLタグが除去された)適切に表示されませんでした。

  • [修正]特定の状況で、Gradleリゾルバーが完全な依存関係ツリーを作成しなかったため、Dockerイメージスキャンからライブラリが欠落することがありました。

  • [修正]特定のGradle依存関係を持つオフラインリクエストをアップロードしようとしたときに、依存関係がインベントリで見つかりませんでした

  • [固定] WhiteSourceアプリケーションにメタデータファイルをアップロードすると、エラーが生じました。

  • [修正] Bitbucket ServerのWhiteSource、GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSourceで、複数のコンポーネントの問題が作成されると、自動修復情報が表示されていました。

バージョン19.9.2(2019年10月27日)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • 監査機能の拡張:変更ログ履歴レポートで、脆弱性スコア/重大度の変更の監査がサポートされるようになりました。

  • このバージョンでは、次の機能が強化されています。

  •  

    • 細分性の追加-組織レベルだけでなく、製品レベルでライブラリをソースファイルに変更するためのサポート。

    • APIとの整合-ユーザーは、変更ライブラリーのAPIで必要な製品または組織の管理者であり、通常のユーザーではない必要があります。

  • 既存の機能を変更ログ履歴レポートに拡張する新しい監査の強化:ライブラリを変更するときに、ChangeLogの新しいレコードに従って、変更がいつ発生したかを追跡できるようになりました。

Unified Agent

  • デバッグとメンテナンスを容易にするために、Unified Agentのログには、すべてのUnified Agent構成パラメータがより体系的に含まれるようになりました。

  • 新しいオプションのNPMパラメーターnpm.failOnNpmLsErrorsは、「npm ls」エラーを処理するときにNPMプラグインとUnified Agentの間のスムーズな移行を可能にします。

  • SBTリゾルバーは、 `test`、` runtime`、 `provided`などの追加のスコープをサポートするようになりました。

API

  • APIバージョン1.3以降、getProjectIgnoredAlertgetProductIgnoredAlert、およびgetOrganizationIgnoredAlert API呼び出しを使用して、特定の無視されたアラートを参照できるようになりました

  • セキュリティの強化:APIバージョン1.1以降、組織管理者のみがユーザーとグループを管理するためのAPIリクエストを実行できます。これらは: 

  •  

    • 招待ユーザー

    • getAllGroups

    • getAllUsers

    • addUsersToGroups

    • removeUserFromGroup

    • removeUserFromOrganization

    • deleteUser

開発者向けWhiteSource

  • このバージョンでは、ワークフロールールを事前に定義せずに、GitHub.comWhiteSourceおよびGitHub EnterpriseのWhiteSourceでオンデマンドで修正PRを生成する機能が導入されています。

  • GitHub EnterpriseのWhiteSourceおよびBitbucket ServerのWhiteSourceでは、ヘルスチェックAPIエンドポイントがwss-scanner Dockerイメージに追加されました。

WhiteSourceの優先順位付け

  • EUA詳細分析レポートでは、日付に加えて分析時刻が次のように表示されるようになりました:dd-mm-yyyy hh:mm

  • IAステータスとIA結果を特徴とするEUAレポートでは、名前がそれぞれ影響分析ステータスと影響分析結果に変更されました。

その他

  • GPL 2.0、MPL 1.0、MPL 1.1、およびMPL 2.0ライセンスの著作権リスクスコアは65になりました。

  • リスク分析情報がGPL 1.0およびOpenSSLライセンス用に追加されました。

解決された問題

  • [固定] RVI同期プロセスでエラーアラートの作成が失敗する原因。

  • [修正] チェックポリシーのハッシュを計算しながら、ヌル・ポインタ例外が発生しました。

  • [修正] リスクレポートで、プロジェクトの階層に重複する依存関係があると、負の値が表示されていました

  • [修正] GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSource-コミットのために複数のスキャンが並行してトリガーされると、同じライブラリとCVEに対して重複するGitHubの問題が生成されました。

バージョン19.9.1(22-September-2019)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • ライセンス互換性レポートに次の改善が加えられました。

  •  

    • このレポートの継続的な機能強化の一環として、精度が向上し、結果がより詳細になりました。

    • 「タイプ」(ライブラリのプログラミング言語)は削除され、「非互換性タイプ」(2つのライブラリのライセンス間の競合のタイプ)が優先されます。

    • 新しい非互換性タイプ、潜在的な非互換性が追加されました。潜在的な非互換性は、評価されるライブラリが複数のライセンスでライセンスされていることを示し、ライブラリがライセンスされるライセンスをユーザーが選択する必要があることを示します。 

  • アトリビューションレポートのより良いカスタマイズ:

  •  

    • ユーザーは、既存のライセンスセクションまたは新しい専用セクション「付録:ライセンスの詳細」セクションにライセンステキストを含めるかどうかを選択できるようになりました。

    • ユーザーは、プライマリ属性(別名カスタム属性)をアトリビューションレポートに表示するかどうかを選択できるようになりました。

Unified Agent

  • Unified Agent は、Pythonグローバルパッケージの解決をサポートするようになりました。

  • サーバーレスプラグインの新しい拡張機能により、YAMLファイルから追加のパラメーターを実行し、それらをUnified Agent構成に渡すことができます。

  • そのユーザー環境でDockerをインストールしていない顧客のために、Unified Agent は現在、保存されたDockerイメージを表す tar.gz 形式のファイルの(docker.scanTarFiles=true のとき)スキャンを実行します。

開発者向けWhiteSource

  • GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSource、およびBitBucket ServerのWhiteSourceにインジケーターが追加され、特定の脆弱性に対して自動修復がいつ利用できるかを示します。

  • WhiteSourceは、GitLab Coreベータ版のWhiteSourceをリリースし、GitLabユーザーがGitLabのネイティブ環境内のWhiteSourceセキュリティアラートにアクセスできるようにします。

解決された問題

  • [修正] getChangesReport APIリクエストが「startDateTime」フィールドで指定された時間を無視し、指定された日付の00:00から結果を取得していました

  • [修正] EUAが有効になっている組織で、[ライブラリセキュリティの脆弱性]ビューの特定の条件下で、脆弱性を参照するプロジェクトが、ユーザーが特権を持つプロジェクトによってフィルタリングされず、エラーが発生した。

  • [修正]場合によっては、コンテナダッシュボードに結果が表示されなかった。

  • [修正] GitHub EnterpriseのWhiteSource-イメージバージョン19.8.1にアップグレードすると、wss-ghe-appログ​​に Javaエラー  が表示される。

リリース 

  • Unified Agent バージョン 19.9.1をリリース

  •  Chrome 19.9.1 向け WhiteSource Advise をリリース 

バージョン19.8.1(8-September-2019)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • ダッシュボードビューに次の変更が加えられました。

  •  

    • トップアラートペインに、特定の組織、製品、またはプロジェクトについて報告されたシステムカテゴリアラートの専用の要約数が表示されるようになりました。これには、ポリシー違反、バージョン、ライセンス、品質、セキュリティアラートの総数が含まれます。

    • アラートカテゴリについて報告されたアラートの詳細なリストが、カテゴリ名またはカウントをクリックして表示されるようになりました。クリックしたアイテムのカテゴリに対応するアラートビューが表示されるため、ユーザーはリストされたアラートでタスクを実行できます。

  • ライブラリを社内の拡張機能としてマーク:

  •  

    • 監査の強化:社内ルールを通じて追加または削除されたルールが追跡され、変更ログ履歴に表示できるようになりました。

    • 選択したライブラリの名前と一致する名前を持つ社内ルールを作成できるようになりました。

    • 社内ページのヘルプテキストが改訂および改善されました。

  • 管理者向けのすべての電子メール通知を無効にできるようになりました。

Unified Agent

  • Kubernates統合の改善:Kubernates SDKを使用して情報を取得するようになりました。

  • パラメータ名の追加:gradle.ignoredConfigurationに加えてGradle.ignoredScopesを使用でき、gradle.includedConfigurationに加えてgradle.includedScopesを使用できます。

  • 同じライブラリを連続してスキャンするたびに、独自のフォルダが生成されます(ログにのみ関連)。

  • Unified Agent は、.hpiファイルの抽出をサポートするようになりました。

  • SBT依存関係の解決の改善により、より正確な出力が得られました。

API

  • APIリクエストgetProductLicenses、getOrganizationLicenses、および  getProjectLicensesにはオプションの新しいフィールドexcludeProjectOccurrences(デフォルト値= false)があり、プロジェクトを発生させずに製品/ドメインライセンスを取得できます。

解決された問題

  • [修正] リスクレポートPDFの[ ポリシー名]フィールドで漢字が省略されていた

  • [修正] 優先インスタンスのマルチモジュールセットアップが失敗した場合の特定のインスタンスで、ログが成功したと報告した。

  • [修正] "getAllOrganizations" APIリクエストの応答が失敗するシナリオで "成功"メッセージを生成する

  • [修正] Yarnの依存関係を解決すると、誤った行がログに出力されていました

  • [修正]  Unified Agent が* compile.xmlファイルですべてのSBT依存関係を識別しなかった。

リリース 

バージョン19.7.3(2019年8月18日)

新機能とアップデート

WhiteSourceコア

Unified Agent

  • Docker Artifactory統合は、新しい構成パラメーターdocker.artifactory.dockerAccessMethodを介して読み取り専用ユーザーで有効になりました。

  • 新しい構成パラメーターlog.files.levellog.files.maxFileSize、およびlog.files.maxFilesCountを使用すると、デフォルトでログを保管できます。ログの保存は、たとえば、ユーザーが特定のスキャンで問題を抱えている状況を回避するために役立ちます。したがって、サポートチームにログを提供するためにそれらのスキャンをやり直す必要はありません。この機能はデフォルトで有効になっていることに注意してください。これらのログを必要としないお客様は、手動でログを無効にすることができます。

  • 強化された検出:このバージョンでは、SHA-1の複数のインスタンスを持つMavenライブラリーの自動識別が導入されています。

  • スキャンする特定のGradleモジュールを含めたり除外したりできるようになりました。

  • Unified Agentは、Haskellプログラミング言語のCabalパッケージマネージャのスキャンをサポートするようになりました。

雑多

  • WhiteSourceは、SAMLを使用してWhiteSourceにログインするときに提供される各SAMLリクエストのSAML IDプロバイダーパラメーターを維持するようになりました。

WhiteSourceの優先順位付け

  • WhiteSource Prioritizeをオフラインモードで動作するように構成できるようになりました。

開発者向けWhiteSource

  • WhiteSource Advise for Chromeは、Rust関連のWebサイトにあるRustパッケージのライセンスおよび脆弱性情報を検出するようになりました。

  • WhiteSource Advise for Chromeは、Haskell関連のWebサイトにあるHaskellパッケージのライセンスおよび脆弱性情報を検出するようになりました。

  • WhiteSource Advise for Chromeは、OCaml関連のWebサイトにあるOCamlパッケージのライセンスおよび脆弱性情報を検出するようになりました。

解決された問題

  • [修正] SAMLが設定されている場合、特定の条件下でログインがNullPointerExceptionで失敗した。

  • [修正] Godep依存関係マネージャーを使用するGoプロジェクトで、 Unified Agent がすべてのGO依存関係を検出しなかった。

リリース 

バージョン19.7.2(2019年8月4日)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • ライブラリの詳細ページでは、新しいウィジェットを使用して、重要度に応じて色分けされた、さまざまなバージョンにわたる特定のライブラリのライブラリセキュリティの傾向を表示できます。

  • アラートレポートでは、新しいバージョンに「Dev」バージョンが含まれなくなりました。

  • 著作権の割り当て機能で、著作権に特定の年が定義されていないことを反映するために、年の範囲に「なし」の値を設定する機能が可能になりました。

  • ライブラリ脆弱性ホイールは、他のメトリックの前に、まず脆弱なライブラリを表示します。

開発者向けWhiteSource

  • GitHub.comWhiteSourceおよびGitHub EnterpriseのWhiteSource:.whitesource構成ファイルの新しいprojectToken構成パラメーターを使用して、GitHubリポジトリを既存のWhiteSourceプロジェクトにマップできるようになりました。これにより、さまざまな統合に由来するWhiteSourceでプロジェクトを整理するという点で柔軟性が追加されます。

Unified Agent

  • 新しい構成推奨モードは、ユーザーがスキャンする環境を識別し、構成ファイルを自動的に作成します。

  • Gradleプロジェクトのスキャンに柔軟性を追加:新しい構成パラメーター「gradle.includedScopes」により、スキャンに含めるスコープを定義できます。

  • このバージョンは、専用プラグインを介してサーバーレスフレームワークをサポートします。

解決された問題

  • [修正] ユーザーが自分の「作業項目」トラッカータイプにリンクしている「発行」アクションを含むポリシーを作成できなかった

  • [修正] 特定の条件下で、プロジェクトが更新された後、サーバーエラーメッセージが表示されました。

  • [修正] リスクレポートの[ セキュリティ] セクションで、大きな数値が正しく表示されなかった。

  • [修正] リクエストがグループに割り当てられている場合、条件が保留中のタスクに表示されなかった。

  • [修正] 特定の条件下で、 Unified Agent がArtifactoryからプロジェクトを取得できなかった。リリース。

リリース

バージョン19.7.1(2019年7月21日)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • 新しい高度な検索オプション:Webアプリケーションでは、新しいダイアログボックスにより、ライブラリを簡単に選択して表示できます。

  • 解決要求ステータスの可視性の向上:新しい要求解決ステータスレポートにより、管理者はWhiteSourceへの要求のステータスを表示できます。

  • このバージョンでは、著作権のリクエストの解決に対する一括アクションのサポートが導入され、ライブラリのリクエストを送信するためのリクエスト時間を最小限に抑えています。

  • 管理コンソールのNuGetアラートに、メジャーバージョン以外のプレビューが含まれるようになりました。

開発者向けWhiteSource

  • GitHub EnterpriseのWhiteSourceおよびGitHub.comWhiteSource: 

  •  

    • 使いやすさが向上し、WhiteSourceスキャンの制御が強化されました。GitHubアプリのインストール中に、オンボーディングプルリクエストが選択した各リポジトリで生成されるようになりました。.whitesource設定ファイルのみが使用され、プルリクエストがマージされると、WhiteSourceはリポジトリのスキャンのみを開始します。

  •  

    • .whitesource構成ファイルにパラメーターminSeverityLevelが含まれるようになりました。これにより、特定のSecurity Vulnerability Severityレベルが使用可能な場合にのみ新しいGitHub Issueを開くか、GitHub Issueをまったく開かないかを決定できます。

  •  

    • .whitesource構成ファイルにパラメーターconfigModeが含まれるようになりました。これにより、既存のUnified Agent構成ファイルを使用できます。これを行うには、ローカルのUnified Agent構成ファイルを提供するか、configExternalURL パラメーターを使用して外部の場所から構成ファイルをフェッチします。 

Unified Agent

  • Unified Agent の改善-空のプロジェクトをスキャン、作成、および更新することにより、より正確な結果を提供します。 Unified Agent は、依存関係を含まないすべてのスキャンに対して、WhiteSourceに空のプロジェクトを作成します。さらに、Unified Agentを介して既存のWhiteSourceプロジェクトを空のデータで更新すると、WhiteSourceのプロジェクトが更新され、最新のプロジェクトの状態が反映されます。

  • このバージョンでは、サポートファイルをNuGetパッケージにマッピングするためのサポートが導入されています。

  • このバージョンでは、プロジェクトのターゲットフレームワークをチェックすることにより、NuGetパッケージをスキャンするときの結果が改善されています(注:一部のお客様は結果として依存関係が少なくなる場合があります)。

  • 「ユニファイドエージェントが今のmavenに引数を渡す機能があります:カスタムビルド環境をサポートすることにより、柔軟性を追加しました:木の依存関係」コマンド実行しますMavenをresolveDependencies構成パラメーターが有効になっています。この目的のために、新しい設定パラメーターmaven.additionalArguments が追加されました。 

  • Unified Agentは、Rustプログラミング言語のCargoパッケージマネージャのスキャンをサポートするようになりました。

API

  • getOrganizationIgnoredAlertsの APIは現在、JSON形式をサポートしています。

WhiteSource統合

  • ThreadFixやFortifyなどのApplication Vulnerability Managementプラットフォームを使用しているお客様向けに、このバージョンでは、WhiteSourceから前述のプラットフォームへのオープンソースソフトウェアのスキャン結果の同期が導入されています。

解決された問題

  • [修正] [ ユーザー] ページで、名前がアルファベット順に正しく並べ替えられない。

  • [修正]リスクレポートのセキュリティエリアで、ライブラリ数が多いデータを表示すると、最後の桁が1行に表示されていました。

  • [修正] ユーザーがライブラリリクエストを承認しようとするとエラーが発生する問題を修正しました

  • [修正] ライブラリの詳細ページが「データの読み込み中」というメッセージで無期限にスタックしていました。

  • [修正] [ 保留中のタスク]画面からタスクを承認しようとすると、権限が不十分であることを示すメッセージが表示される

  • [修正] Windows 10でコマンドラインを介してUnified Agentを使用すると、「不正な操作」の警告が表示されていました。

  • [修正] 'excludeDependenciesFromNodes'を設定すると、間違った依存関係が除外されていました。 

  • [修正] 特殊文字を含むファイルパスが原因でUnified Agentがクラッシュする問題を修正しました。

  • [修正] WhiteSource Adviseをアクティブ化するときに、URLで間違った正規表現を使用すると、アクティブ化プロセスが失敗していた。

リリース 

バージョン19.6.1(2019年7月7日)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • 脆弱性検索機能:WhiteSourceアプリケーションでは、新しい検索メカニズムにより、ユーザーはファイルでCVEを検索し、CVEが見つかったかどうかに基づいて処理を進めることができます。

報告書

  • 新たに追加された柔軟性:デューデリジェンスレポートでは、レポートのフィルタリングの一部として既存のカスタム属性を選択できるようになりました。

Unified Agent

  • 新しいCLIパラメーターdetectは、スキャンされたライブラリーとファイル(すべてのパッケージマネージャーに関連)に基づいて、構成ファイルを自動的に作成します。注:これは、新しい構成の推奨事項の最初のステップです。将来のバージョンには追加機能が含まれる予定です。

  • カスタムビルド環境のサポートによる柔軟性の追加:Unified Agentに、gradlewおよびgradle 'dependencies'コマンドに引数を渡す機能が追加されました。この目的のために、新しい構成パラメーターgradle.additionalArgumentsが追加されました

  • このバージョンは、依存関係マネージャーを必要とせずにGo 1.11プロジェクトのスキャンのサポートを追加します。

解決された問題

  • [修正] プロジェクトが32766行のエクスポートに限定されていた

  • [修正] [ ユーザー] ページでページを縮小すると、列名が非表示になる問題を修正しました。

  • [修正] 多数のライブラリでリスクレポートを生成すると、最後の桁が独自の行に表示されていました。

  • [固定] Pythonの依存関係を解決しようとすると、特定の条件下では、障害が発生しました。

  • [修正] Unified Agentの実行に非常に長い時間がかかりました。

  • [修正]リクエストを承認しようとして[上書きして承認]をクリックすると、管理者にホームページに戻り、権限が不十分であることを通知するメッセージが表示される

  • [修正] getProjectAlertsReportのAPIリクエストが送信されると、出力が.xlsxファイルになり、最後のタイトルのLibrary Typeとその下のエントリが同じ列になかった。

リリース 



バージョン19.5.3(2019年6月23日)

新機能とアップデート

WhiteSourceコア

GUI(Webインターフェイス)

  • ユーザー:「管理ユーザー」ページに、「通常の」ユーザーとサービスユーザーを区別するための改善されたUI表示があります。

  • ユーザーエクスペリエンスの向上:[ライブラリの詳細]ページで、表示するソースファイルが多い場合、システムは最初のXファイルをすぐに表示し、[すべてのソースファイルを表示]をクリックすると、関連するすべてのソースファイルを表示できます。

  • 製品レベルのカスタマイズ:製品管理ページで、WhiteSource製品の追加メタデータを定義できる製品タグ(または製品レベルのタグ)を定義できるようになりました。

報告書

  • 使いやすさの向上:アトリビューションレポートでは、リクエストされた製品/プロジェクトを最初に選択/入力する必要があるため、使いやすさが向上し、関連性のないデフォルトの製品/プロジェクト情報が表示されなくなりました。

  • 使いやすさの向上:アトリビューションレポートの著作権には、さまざまな年数と著作権の作成者が含まれています。

Unified Agent

  • 使いやすさとデバッグの強化: Unified Agent を実行している場合、CLI出力に現在の Unified Agent のバージョンが表示されるようになりました。

  • セキュリティの強化:Unified Agentでは、ユーザーとパスワードではなく、トークンを介してDocker Hub認証が有効になりました。

  • MavenおよびGradleプロジェクトのスキャンにおける柔軟性の追加:新しい構成パラメーターmaven.downloadMissingDependenciesおよびgradle.downloadMissingDependenciesにより、欠落している依存関係のダウンロードを制御および迅速化できます。

  • マルチモジュールのMavenおよびGradleプロジェクトでは、Unified AgentがMavenまたはGradleプロジェクトをスキャンする必要があるかどうかを自動的に検出するため、プロジェクト名を手動で入力する必要がありません。

  • 既存のパラメーターgradle.localRepositoryPathに、Gradle解決の場合に複数のGradleローカルリポジトリパスを検索する機能が追加されました。

  • 構成時間の改善:Unified Agent構成ファイルは、構成時間を節約し、考えられる各SaaSシステムの事前定義されたURLを「コメントアウト」状態でリストすることにより、誤ったURLを防止します。ユーザーは関連するものを選択するだけで済みます。

  • Unified Agentは、依存関係をフェッチし、「vendor」フォルダを含まないプロジェクトに階層ツリーを提供できます。これにより、VNDR、GoDep、およびDepパッケージマネージャーを使用してGoプロジェクトをスキャンするときの結果が改善されます。

API

  • 柔軟性の向上:API呼び出しのsaveProductTaggetProductTagsremoveProductTag、およびgetOrganizationProductTags により、商品レベルでタグを定義する機能が追加されました。

  • API経由でアラートを無視する新しい機能が追加されました。さらに、すべてのアラート関連API(AlertsおよびAlerts by Type)に、一意の識別子(alertUuid)が各アラートに追加されました(APIバージョン1.2にのみ関連)。

  • 同じパッケージ依存関係の複数のインスタンスがgetProjectLibraryDependencies APIに表示されるようになりました。注:このAPIの形式は変更されています。

開発者向けWhiteSource

  • Bitbucket統合に柔軟性を追加:新しいパラメーターfail.builds = trueが追加され、脆弱性が見つかった場合でも、BitBucketのビルドが成功する段階をユーザーが設定できるようになりました。

  • WhiteSource Advise for Chromeでは、CDNJS URLスキャンがサポートされるようになりました。

WhiteSource Prioritize(以前はEUAと呼ばれていました)

  • 新しい合理化されたマルチモジュールプロセス-マルチモジュールのPrioritizeで、新しいコマンドラインパラメーターoverrideExistingSetup = trueを使用すると、ユーザーはマルチモジュールステップ間の一時停止を削除できます。

解決された問題

  • [修正] インベントリレポートで、ファイル名による一致が選択されていなかった場合でも、ファイル名の一致が発生する。

  • [修正] 特定の状況下で、削除された脆弱性のアラートが削除されなかった。

  • [修正] 変更されたパスと脆弱性トレースタスクの処理が完了するまでに10時間以上かかりました。

  • [修正] 製品レベルのポリシーで[保留中の要求に適用] アクションを実行した後、「サーバーエラー」メッセージが表示されました。

  • [修正] いくつかの同一のライセンスが同じライブラリに割り当てられていた。

  • [修正] API呼び出しgetProductRiskReportの実行に非常に長い時間がかかった。

  • [固定] FacebookのBSD +特許をクリックすると、ライセンスの分析では、ダッシュボードでは、関連するライセンスが存在するにもかかわらず、空のレポートを表示します。

  • [修正] 特定の条件下でGittaのキャッシュされた結果を取得すると、NullPointerExceptionが表示されていました

  • [修正] 更新リクエストを処理すると例外  が発生する

  • [修正]  Unified Agent でメモリの問題が発生した。

  • [修正] ソース管理管理(SCM)設定を使用してGitLabリポジトリをスキャンすると、エラーメッセージが表示されました。

  • [修正] AzureのWhiteSource BoltレポートがAzure DevOpsマルチステージパイプラインプレビューで利用できなかった。

  • [修正] PrioritizeをGradleと統合すると、サブモジュールのログ分析プロセスが失敗する。

  • [修正] 特定の条件下で、設定ファイルがすべての設定をビルドディレクトリに含めるのではなく、誤って新しいWhiteSourceディレクトリを作成していた。

  • [固定] Rリゾルバライブラリ名はDESCRIPTION依存ファイルパッケージに応じていません。

  • [修正] イメージの取得時にDockerスキャンがハングする問題を修正しました

  • [修正]  Unified Agent のログで、異なるパラメータの名前が同じでした。

  • [修正]ライブラリのホワイトリストが拒否ポリシー違反をブロックしなかった。

  • [修正] Unified Agentが.jsファイルをスキャンした後、一部のファイルが別のバージョンのSHA-1バージョンに置き換えられました。

  • [修正]特定の条件下で、WhiteSourceアプリケーションがNuGetパッケージを識別しなかった。

  • [修正]特定の条件下で、Unified AgentをNuGetで実行すると、パッケージディレクトリがクリアされず、2回目の実行で失敗する。

  • [修正] Unified Agent ログに、無関係なURLへの何千回ものアクセス試行が表示されていました。

  • [修正]デバッグログレベルのPythonエラーに関する適切なエラーメッセージが生成されなかった。

  • [修正] Pythonの依存関係が階層モードで解決されなかった

リリース

バージョン19.5.2(2019年6月2日)

新機能とアップデート

開発者向けWhiteSource:

  • GitHub.com統合アプリには、Bolt for GitHubアプリの既存の登録フローと区別するための新しいリンクが用意されています。https://github.com/apps/whitesource-for-github-comを参照して  ください

  • WhiteSource Advise for Chrome-「R」言語パッケージのライセンスおよび脆弱性情報を表示するためのサポートが追加されました。

コンテナーのWhiteSource

  • Webhookを使用したKubernetesリソースのより柔軟なスキャンをサポート-クラスターに作成したい新しいポッドをスキャンに含める/スキャンから除外するかどうかを制御する機能。



WhiteSource Prioritize(以前はEUAと呼ばれていました)

  • 柔軟性の追加:WhiteSource Prioritize(EUA)が構成ファイルなしで実行されているときに自動CIツール(Jenkins CIなど)を使用しているお客様向けに、maven.ignoreMvnTreeErrors、maven.runPreStep false、gradle.runPreStep false、analyseFrameworksReferenceのパラメーターがCLIでサポートされるようになりました。 、npm.resolveMainPackageJsonOnly、npm.identifyByNameAndVersion、npm.ignoreNpmLsErrors = false、viaDebug。

  • マルチモジュール分析の拡張サポート:

    • JavaScriptのサポートが追加されました。

    • 次のパラメーターがCLIでサポートされるようになりました:productName、Mode 。

GUI(Webインターフェイス)

  • 拡張通知:ポリシーの変更/作成/削除/再注文や製品/プロジェクトの削除など、主要な監査ログイベントの生成時に新しい電子メール通知ルールを有効にするサポート。[管理]→[通知設定]ページから利用できます。

報告書

  • インベントリレポート:一括アクションメニューをサポートすることで、選択したライブラリのリストでアクション(「ライセンスの割り当て」など)を実行する時間を最小限に抑えます。

Unified Agent

  • 拡張JFrog Artifactory統合-

  •  

    • 脆弱性とWhiteSourceスキャンからのライセンス情報でアーティファクトのJFrog Artifactoryの「プロパティ」タブの更新をサポートします。

  •  

    • セキュリティを強化するためにトークンを使用してJFrog Artifactoryリポジトリへのアクセスをサポートします。次の構成パラメーターが追加されました:「artifactory.accessToken」、「artifactory.url」。 

  • スキャンの最後に、より有益な要約統計をサポートします- バイナリ/ソースファイルが見つかったさまざまな言語拡張機能と、各拡張機能に対してスキャンされたソース/バイナリファイルの数を表示します。 

解決された問題

  • [修正]アラートレポートの特定のシナリオで、レポートでフィルターを使用すると、画面に「データの読み込み中」というメッセージが表示されてハングしました。[修正] JIRA統合-ポリシーアクションの一部としてJIRAチケットを作成しようとしたときに、JIRA資格情報セットが見つからないためにエラーが返された

  • [修正]特定のシナリオで、アプリケーションのリクエスト処理時間がAzure EUシステムで非常に長くなりました。

  • [修正]特定のシナリオで、2つの異なるライブラリの元のライブラリを手動で連続して変更すると、2番目のライブラリの「一部のオプションを表示」の結果が数秒後にのみ更新される。

  • [修正] HTMLリゾルバー-特定のシナリオで、HTMLの依存関係を解決するときにエラーが発生する。

  • [修正] Androidプロジェクトをスキャンすると、インベントリに重複したエントリが作成されることがあった。

  • [修正] Azure DevOps Server 2019のWhiteSource Boltアクティベーションが登録フェーズエラーのため失敗しました。

  • [修正]特定のシナリオで、一部のjarファイルとwarファイルでアーカイブの抽出が正しく機能しませんでした。

  • [修正]コンテナのWhiteSource- 'docker.includes'パラメータで設定されたDockerイメージがスキャンされなかった。

  • [修正] デバッグモードでUAを使用してスキャンを実行すると、ログで報告されたパスがファイルパスではなく実行可能パスでした。

  • [修正] 「。」を含むコマンドラインパラメータでUAを実行すると PowerShellを使用した名前では、解析エラーが返されました。

  • [修正] UA設定ファイルでプロキシが設定されている特定のシナリオで、スキャンからエラーが返される問題を修正しました。

リリース

  • Unified Agent バージョン 19.5.2をリリース

  • WhiteSource Advise バージョン19.5.2をリリース

バージョン19.5.1(19-May-2019)

新機能とアップデート

開発者向けWhiteSource:

  • WhiteSource for Developersは、WhiteSource Coreオファリングを補強する新しい有料バンドルであり、4つの拡張機能が含まれています。

  •  

    • WhiteSource Remediate-リポジトリを継続的に追跡して脆弱なオープンソースコンポーネントを特定し、修正プルリクエスト(PR)を自動的に生成して、修正プロセスを自動化します。

    • IDE統合 -IDE UI内でのコーディング中に脆弱なオープンソースコンポーネントについて開発者に警告するため、開発者はアプリケーションを切り替えたり、コードがコミットされるまで待つ必要がありません。

    • リポジトリ統合-リポジトリ内のすべてのオープンソースコンポーネントを検出し、アラートを提供し、コンプライアンスを実施し、ビルドとプルリクエストに失敗し、修正ガイダンスを自動化するネイティブ統合。

    • ブラウザ統合(旧称Web Advisor)-開発者がコンポーネントをダウンロードして製品に組み込む前に、StackOverflow、Maven Central、GitHubなどのWebページを閲覧しながらコンポーネントの詳細のスナップショットを表示できるChrome拡張機能。

            詳細については、ここをクリックしてください

コンテナーのWhiteSource

  • Docker Hubとの統合-選択したDockerイメージのリストをプルすることにより、Docker HubからのDockerイメージのシームレスなスキャンをサポートします。次の構成パラメーターが追加されました:「docker.hub.enabled」、「docker.hub.userName」、「docker.hub.userPassword」、「docker.hub.organizationsNames」、「docker.pull.images」。

  • クラスタ全体またはより具体的なコンテキストをスキャンする機能を提供することにより、Kubernetesリソースのより柔軟なスキャンをサポートします。

  • Kubernetesクラスタ全体または特定のコンテキストで脆弱性検証を実施する機能をサポートします。 

  • Kubernetesノードでアフィニティを使用するときに、役割ベースのアクセス制御をサポートします。

  • WhiteSourceで同じプロジェクトを使用するためにスキャンする柔軟なイメージ名をサポートします(ビルド間でimageIDが変更されるため)。新しい設定パラメーター ' docker.projectNameFormat'が追加されました。


報告書

  • 製品の比較レポート:製品(ソースとターゲットの両方)を検索する時間を最小限にして、アルファベット順にソートされたドロップダウンで比較します。

  • プロジェクト比較レポート:ある製品のプロジェクトを別の製品のプロジェクトと比較する機能を提供することにより、プロジェクト比較の柔軟性をサポートします。 

Unified Agent

  • UA拡張カバレッジ:

    • 「R」言語「RStudio」および「Packrat」パッケージのサポートが追加されました。次の構成パラメーターが追加されました: ' r.resolveDependencies'、 'r.runPreStep'、 'r.ignoreSourceFiles'、 'r.cranMirrorUrl'

    • Artifactory APIを使用したJFrog Artifactoryのスキャンをサポートします(将来的にはArtifactoryプラグインの代替となる予定です)。次の構成パラメーターが追加されました:「artifactory.accessToken」、「artifactory.url」、「artifactory.repoKeys」、「artifactory.enableScan」。

  • 関連トピックごとに構成パラメーターを整理することにより、UA構成ファイルのより読みやすい構造をサポートします。新しいテンプレートファイルはここからダウンロードできます

  • 空のプロジェクトをスキャンし、パラメーターfailErrorLevel = ALL を使用する場合のUAスキャン障害の動作を修正しました。

  • より正確な階層ツリーを表示する機能を提供することにより、GoDepパッケージマネージャーが強化されました。 

  • 新しい構成パラメーター ' updateEmptyProject' を使用して、スキャンされた空のプロジェクトのWhiteSourceで空のプロジェクトの作成をサポートします。この動作はすべてのリゾルバーを指します。

雑多

  • Mavenプラグイン:  新しい構成パラメーター ' updateEmptyProject' を使用して、モジュールの一部が空の場合に、マルチモジュールを含むmavenプロジェクトのWhiteSourceで空のプロジェクトの作成をサポートします。

解決された問題

  • [修正]特定のシナリオで、一致するソースファイルのリクエストが非常に大きい場合(1Mを超えるソースファイル)、Gittaルックアップからエラーが発生しました。

  • [修正]特定のシナリオで、ライブラリがセキュリティの脆弱性で誤って識別されるか、コメントが無視されるという問題がいくつか削除されました。

  • [修正]アトリビューションレポート- ヘッダーテキストを追加するときに追加の区切り線を追加しました。

  • [修正] Alert Ignorersの情報テキストが製品レベルの[管理]→[割り当て]ページに表示されない

  • [修正]保留中のリクエストに社内ルールを適用する特定のシナリオで、プロセスに長い時間がかかりました。パフォーマンスの改善が行われた。 

  • [修正] UAが外部Antパラメータが原因でAntの依存関係を解決できない 新しい構成パラメーターが追加されました: 'ant.external.parameters'には、<key = value>ペアのコンマ区切りリストを含める必要があります。

リリース

バージョン19.4.2(2019年5月5日)

新機能とアップデート

GUI(Webインターフェイス)

  • サービスユーザーを管理するための簡単なメンテナンス:リンクにより、サービスユーザーキーをローテーションできます。正常に使用すると、「ユーザートークンが正常に変更されました」というメッセージが画面の上部に表示されます。 

  • 組織、製品、およびプロジェクトスコープの保留中のタスク:すべてのフィールドを介してソートおよびフィルタリングする機能を追加することにより、相互ライブラリーを持つ複数のタスクを処理するための処理時間を最小限に抑えました。

報告書

  • 変更ログ履歴レポート:組織、製品、およびプロジェクトのスコープに関連するポリシー管理アクティビティの変更に関するデータを提供することにより、ポリシーの拡張監査機能。

Unified Agent

  • モジュールを含むApache Antベースのプロジェクトの統合のサポート。 

  • 公式のPypiリポジトリではなく、ローカルのPypiリポジトリURLを定義できるようにする設定パラメーター 'python.indexUrl'を追加しました(デフォルト値はnull)。

  • Unified Agent は、環境変数から「userKey」と「apiKey」の値を読み取ることができます。 

  • レジストリからのダウンロード時のNPM解決機能の向上:HTTP応答が401または403(認証/承認)の場合、このリポジトリからの追加の依存関係のダウンロードはキャンセルされます。

API

  • 組織レベルまたは製品レベルでサービスユーザートークンを取得するためのAPI呼び出し「getOrganizationServiceUsers」と「getProductServiceUsers」を追加しました。

  • API呼び出し「getOrganizationDetails」は、組織名、作成日、製品の数、プロジェクトの数、グループの数、およびユーザーの数を取得します。

雑多

  • GitHub統合:スキャンの完了後に未解決の問題の作成を有効/無効にする機能が追加されました。

解決された問題

  • [修正]特定のシナリオで、[トップ10製品]パネルに表示されるライブラリの数が、特定の製品ページに表示されるライブラリの数と異なる場合があります。

  • [修正]無視されたアラートレポート:プロジェクトがフィルタリングされた後、コメントが表示されない。 

  • [修正] Unified Agent :特定のシナリオで、構成パラメータ「npm.includeDevDependencies」が「true」に設定されている場合、スキャンはこの設定を無視します。

  • [固定]ユニファイドエージェント  Gogradle環境で行くコード:  とき問題が発生することがあります  wはユニファイドエージェントに情報を渡し hile (「ビルドinner.gradle」)と設定ファイル(「設定-inner.gradle」)カスタムビルドファイルを使用して 

  • [修正] Alert Ignorersの情報テキストが[管理]→[割り当て]ページに表示されない 

リリース

バージョン19.4.1(21-April-2019)

新機能とアップデート

GUI(Webインターフェイス)

  • きめ細かな通知設定:高度な通知管理-プロジェクトタグに基づいて通知を設定するオプションが追加されました。

  • プロジェクトページ:詳細な比較が可能になりました。スキャンごとにプロジェクトを維持しているお客様は、新しいボタンを介して比較する2つのプロジェクトとレポートを選択することで、異なるスキャンを比較できます。

報告書

  • 管理アクションの強化された監査:製品/プロジェクトの削除を追跡するための拡張監査機能。アクションごとに、変更ログ履歴レポートに新しいレコードが書き込まれます。

  • アトリビューションレポートの機能強化:著作権データが利用できない場合、概要表に欠落していることが明示されます。

Unified Agent

  • すべての依存関係を含むApache Antベースのプロジェクトのスキャンのサポート。関連する構成パラメーター「ant.resolveDependencies」および「ant.pathIdIncludes」が追加されました(デフォルトでは、両方のパラメーターがコメント化されています)。

  • GoのDepパッケージマネージャー:階層ツリーの表示が最適化されました。

API

  • リリース管理の自動化:APIリクエスト「getProductAttributionReport」および「getProjectAttributionReport」を介してアトリビューションレポートを取得する機能が追加されました。

  • 'getProjectComparisonReport' APIは、Excel形式のプロジェクト比較レポートを提供します。

解決された問題

  • [修正]ソースファイルを新しいソースライブラリに移動した後、アラートレポートが常に更新されないことがある。

  • [修正]特定のMicrosoft ASP.NETライブラリの分類が誤っている場合がある

  • [修正]ライブラリの詳細ページ:アラートテーブルのライブラリタイプ列が常に入力されるとは限らない。

  • [修正]リクエストの更新中にJIRA課題が作成されると、リクエストが時々一時停止することがある

  • [修正] 'go.dependencyManager'パラメータが定義されていない場合、Unified Agentがサポートされているすべてのリゾルバを通過しない場合がある。

リリース

バージョン19.3.2(2019年4月7日)

新機能とアップデート

Unified Agent

  • プロジェクトで多数のスコープが無視される場合のスコープ構成の簡略化: 'gradle.ignoredScopes'構成パラメーターが正規表現をサポートするようになりました。

  • ログの詳細:ログファイルには、Gradle / Mavenプロジェクトの無視されたスコープに関する詳細が含まれています。これにより、ユーザーはすべての「ignored_scopes」依存関係が解析されていないことをすばやく確認できます。

  • 柔軟性の追加:新しい「npm.resolveMainPackageJsonOnly」構成パラメーターが「true」に設定されている場合(デフォルトは「false」)、スキャンは、JSONパッケージが「-d」フォルダーパラメーターで定義されている場合にのみ開始されます。  

  • セキュリティの強化:このバージョン以降、すべてのUnified Agent JARファイルはデジタル署名されます。

  • 構成パラメーター 'scanReportFilenameFormat'は、JSONレポートのファイル名にタイムスタンプを追加するかどうかを示します。

GUI(Webインターフェイス)

  • 同じSHA-1を持つ複数のライブラリーを含むMavenプロジェクトの解像度が向上しました。これらの場合、ライブラリページには、「このSHA-1には複数の一致があります:ここをクリックして元の一致を上書きしてください」という新しいハイパーリンクが表示さ  れます。 ハイパーリンクをクリックするとポップアップウィンドウが開き、ユーザーはリストから代替GAV座標を手動で選択できます。 

  • Security Trends Dashboardの最適化されたデータ精度:

  •  

    • グラフをクリックした後、関連するアラートレポートには、セキュリティ脆弱性アラートのみが表示されます。 

    • ダッシュボードは、別のGUIページに移動した後、事前定義されたコンテキストを保持します。 

有効利用分析(EUA)

  • EUAは、オープンソース開発フレームワークの脆弱性の発見をサポートするように拡張されました。この機能は、Spring、Hibernate、Strutsなどのフレームワークを使用しているお客様に役立ちます。新しいパラメーター 'analyzeFrameworks'は、報告された脆弱性のフレームワークコードの分析を有効/無効にします。

報告書

  • 「アラート解決期間」、「アラート」、および「無視されたアラート」レポート:間隔を選択できるタイムフレームメニューが追加されました:「すべての時間」、「先月」、「過去3か月」、「過去6か月」、そして「過去12ヶ月」。 

API

  • 動的通知セットアップ:API呼び出し「setProjectSetupNotificationConfig」により、新しいタスク、ポリシーによってクローズされたリクエスト、およびプロジェクトセットアップの完了に関する電子メール通知を送信するためのルールを定義できます。

  • サービスユーザーの柔軟性: 'regenerateUserKey' API呼び出しにより、既存のサービスユーザーのユーザーキーを再生成できます。このAPI呼び出しにより、各サービスユーザーをグループの一部として保持し、必要に応じて、資格情報を取り消したり追加したりするときに、それらのユーザーの権限を再割り当てすることができます。

  • 「getProjectDueDiligenceReport」APIコールを使用すると、プロジェクトレベルのデューデリジェンスレポートを取得できます。

  • 'getRequestState' API呼び出しは、Product Integratorでも使用できます。 

雑多

  • GitHubの統合:脆弱性のあるライブラリからの依存関係ファイルのパスに関する情報が、パッケージの依存関係に由来する場合に追加されました。 

  • Artifactoryプラグイン:「archiveExtractionDepth」パラメーターを使用すると、Java、Ruby、およびPythonアーカイブファイルの最大ドリルダウン階層レベルを定義できます(デフォルト値は2、最大値は7です)。

  • ユーザーロールの最適化:ユーザーは、次のいずれかである場合にのみ、ライセンス/著作権を割り当てることができます。

  •  

    • ライセンスおよび著作権譲渡人

    • 組織管理者

    • 組織のデフォルトの承認者

:「製品​​のデフォルトの承認者」または「製品管理者」としてのライセンス/著作権を割り当てる機能は削除されました。

解決された問題

  • [修正]特定の設定で 'getVulnerabilitiesBetweenDates' API呼び出しが正しく機能しないことがある

  • [修正]アトリビューションレポート:一部のブラウザでは、[ライブラリ]列が正しく表示されない場合があります。

  • [修正] SAMLで[ホームページに設定]オプションが機能しない

  • [修正]プロジェクトページ:[フラットリスト]ビューと[階層]ビューを切り替えると、ライブラリペインのサイズが変わる場合があります。

  • [修正]アトリビューションレポート:レポートを「.txt」ファイルとしてエクスポート中に問題が発生する場合があります。

  • [修正] Gradleベースのプロジェクト:プロジェクトにソースファイルがない場合に、スキャン中に問題が発生することがある。

非推奨の機能

リリース

Version 19.3.1 (24-March-2019)

新機能とアップデート

コンテナの環境

  • 新しいコンテナダッシュボードを使用すると、セキュリティの脆弱性をさまざまなレベルで特定でき、Kubernetesのリソースが明確に表示され、クラスタ内のポッドとイメージごとの脆弱性をフィルタ、ソート、および表示できます。コンテナダッシュボードも参照してください。

Unified Agent

  •  

    • コンテナスキャン範囲の向上:Google Container RegistryからDockerイメージをスキャンするオプションが追加されました。 Google Container Registry Dockerの統合も参照してください。

    • NPM: 'package.json'依存関係ファイルからブール構成パラメーター 'npm.projectNameFromDependencyFile'を介してプロジェクト名を取得する機能が追加されました。

    • ファイル拡張子 '.jl'を持つJuliaソースファイルのサポートを追加しました。 

    • ファイル拡張子が '.car'のカーアーカイブファイルのサポートを追加しました。 

    • スキャンポリシーの精度を高めるために、既存の「failErrorLevel」パラメータに動作ルールを追加しました。このパラメータが「ALL」の場合、「productName」と「productToken」がなく、「projectToken」がないとスキャンは失敗します。構成ファイルに定義されています。Unified AgentのfailErrorLevelパラメータも参照してください。

    • JSON形式のレポートをスキャンします。

    •  

      • 正確なレポートの時間枠:日付に加えて、タイムスタンプもJSONベースのスキャンレポートのファイル名に追加されました。 たとえば、「ProjectA-2019-03-01T130102 + 0200-scan_report.json」のようになります。

      • カスタム属性データを追加しました。各ライブラリについて、関連するカスタム属性値が表示されます。

      • ローカルスキャンレポートにポリシーと脆弱性の統計データを追加しました。Unified Agent JSONレポートの例も参照してください。 

GUI(ウェブインタフェース)

  • より速いナビゲーションとしおり:ユーザーがログインした後、デフォルトのホームページとして 'Home'または 'All Products'ページを設定する機能を追加しました。ホームページの設定も参照してください。

  • ライブラリーのライセンス割り当てワークフローの改善:複数のライセンス・ライブラリーのうちの1つが手動で変更された後に、複数のライセンス・ライブラリーが単一のライセンス・ライブラリーに自動的に変更されることを明確なメッセージで説明します。さらに、各ライセンスの「change」リンクが、関連パネルの単一の「override」ボタンに変更されました。

  • Security Trends Dashboard:セキュリティ管理ビューの詳細なデータを強化するために、表示されているチャートのいずれにもドリルダウンオプションが用意されています。ユーザーがチャートをクリックすると、チャートと同じ範囲と間隔の設定で関連レポートが表示されます。 

  • Policies:プロジェクトレベルでのコンプライアンスの強化を可能にするために、ポリシーの細分性が向上しました。 

レポート

  • 新しいEffective Usage Analysis Summary Reportは、Effective Usage Analysis(EUA)で検査されたプロジェクトに関する情報を提供します。Effective Usage Analysis Summary Reportも参照してください  。

API

  • 強化されたサービスユーザー自動化:新しいAPI呼び出し 'createServiceUser'により、サービスユーザーを追加することができます。

  • 以下のAPI呼び出しは、プロジェクト/製品/組織レベルで各ライブラリーのすべてのカスタム属性のリストとそれらの値のセットを取得することを可能にします: 'getOrganizationCustomAttributeValues'、 'getProductCustomAttributeValues'、 'getProjectCustomAttributeValues'。

  • きめ細かいポリシー適用のための自動化の向上:プロジェクトレベルでポリシーを管理するためのAPI呼び出しが追加されました。 これらのAPI呼び出しには、「getProjectPolicies」、「addProjectPolicy」、「updateProjectPolicy」、「removeProjectPolicies」、「reorderProjectPolicyPriorities」があります。

解決された 問題

  • [Fixed] Library Version Comparisonページ:特定のライブラリでページの読み込みエラーが発生することがありました。

  • [Fixed]特定のライブラリでは、ライブラリに対する警告は 'ignored'とマークされていますが、それでもスキャンは失敗します。

  • [Fixed]インベントリレポート:ライセンス順に並べ替えても、レポートが正しい順序で表示されない場合があります。

  • Unified Agent

    • [Fixed]ストップウォッチクラスに関するエラーを修正しました。 

    • [Fixed]特定のケースでは、一時的なWhiteSourceディレクトリの名前が長すぎてパスが260文字を超えることがある。

リリース

Version 19.2.2 (10-March-2019)

新機能とアップデート

GUI(ウェブインタフェース)

  • Service Users」を定義することで、新しいレベルの自動化が可能になります。これらのプログラムユーザーは、APIを介してのみWhiteSourceにアクセスすることが許可されています。サービスユーザーはGUIにログインできず、自動化とCI / CDの目的でAPIを介してWhiteSourceと通信できます。組織管理者はサービスユーザーを管理できます(Home Page → Admin → Users)。サービスユーザの管理も参照してください  。

  • プロジェクトページのナビゲーションを改善しました:

    • プロジェクトの範囲を維持しながら、「Licenses 」ウィジェットからデューデリジェンスレポートに直接アクセスするための「View Licenses」リンクを追加しました。

    • プロジェクトの範囲を維持しながら、「Library Vulnerability」ウィジェットから直接脆弱性レポートにアクセスするための「View Vulnerabilities」リンクを追加しました。

API

  • 特定のプロジェクトスコープのリスクレポートをPDF形式で取得するための新しい「getProjectRiskReport」APIリクエストが追加されました。

  • コンテナの脆弱性レポートを取得するための新しい「getOrganizationContainerVulnerabilityReport」および「getClusterVulnerabilityReport」APIリクエストが追加されました。これらの要求はExcelおよびJSON形式をサポートしています。

Unified Agent

  • 統合と自動化の向上:JSON形式のサマリーレポートは、各スキャンの最後に自動的にローカルに生成されます。このレポートには、脆弱性、ポリシー違反、トップフィックス、および在庫の詳細に関する情報が含まれています。新しい ' generateScanReport '構成パラメーターは、trueに設定されている場合にこのレポートを生成することを可能にします(デフォルトはfalse)。 

  • 自動化と追加のAPI要求を呼び出す機能が強化されました。新しい設定パラメータ 'generateProjectDetailsJson'が 'true'に設定されている場合、Unified AgentはprojectTokenとprojectNameを含むJSONファイルをscanProjectDetails.jsonとして生成します。最後に実行されたスキャン(デフォルト値はfalse) 

  • スキャンの細分性の向上:パラメータ 'excludeDependenciesFromNodes'を介して特定の直接的または推移的な依存関係を除外するスキャンを実行する機能が追加されました。このパラメーターの値には、1つ以上の成果物IDを含めることができます。また、正規表現を使用して、除外する成果物IDを定義することもできます。

  • 透明性と予測可能性のスキャン:スキャンの一環として実行されたステップを簡単に表示し、各ステップの所要時間を把握します。スキャンステップごとに開始/終了の指示が表示されます。各ステップに関するすべての関連情報を含むスキャン終了時の要約も表示されます。Unified Agentのスキャン手順と概要も参照してください。 

  • 'nuget.packagesDirectory'という名前のNuGetの新しい設定パラメータは、WhiteSourceの一時ファイルが作成されるディレクトリへのパスを提供することを可能にします。

  • Artifactory:Artifactory Docker Registryに保存されているDockerイメージをスキャンするオプションを追加しました。次の関連Unified Agent設定パラメータが追加されました: 'docker.artifactory.url'、 'docker.artifactory.userName'、 'docker.artifactory.userPassword'、 'docker.artifactory.repositoriesNames'。

  • 新しい設定パラメータ 'nuget.preferredEnvironment'を使用すると、ユーザはnuget依存関係の解決を実行するための適切な 'restore'コマンドを定義できます。利用可能な値は 'nuget'と 'dotnet'です。

レポート

  • 新しいEffective Usage Analysis Detailed Results reportでは、組織、製品、およびプロジェクトの各レベルについてのEUA分析に関する包括的な詳細を取得できます。これには、製品およびプロジェクトに関する高レベルのリスクおよびEUAスコアが含まれており、XMLおよびExcel形式での分析に関する詳細のエクスポートをサポートしています。

  • Containers Vulnerabilitiesレポートは、ExcelおよびJSON形式でエクスポートできます。

  • リスクレポートの粒度の向上:プロジェクトレベルのレポートを生成する機能が追加されました

Effective Usage Analysis

  • xModuleAnalyzerを実行するときに 'productName'パラメータがCLIでサポートされるようになりました。関連資料も参照してください  。

解決された問題

  • [Fixed]Ignored Alerts report:手動コメントが正しく表示されない

  • [Fixed]Attribution report:[Reference generic license]オプションを選択してレポートをエクスポートすると問題が発生することがあります。

  • [Fixed]Security Trends Dashboard:すべての製品を閲覧する権限を持っていないユーザーを含む、全組織データがすべてのユーザーに対して表示されます。

  • [Fixed]Effective Usage Analysis(EUA): GradleとMavenの両方の関連パラメータを有効にしてUnified Agentを実行すると、Java例外が発生することがあります。

リリース



Version 19.2.1 (24-February-2019)

新機能とアップデート

コンテナ環境

  • 新しい WhiteSource Kubernetes Controller は、Kubernetesクラスタの指定ポッドです。インストール時に、将来の変更のベースラインとしてクラスタ全体をスキャンし、ライブラリ、イメージ、アラート、脆弱性、およびライセンスの全体像を表示します。その後、このポッドはクラスター内の変更(新しい展開やイメージの変更など)を追跡し、コンテナーイメージをスキャンして、ポッドごとの脆弱性などのセキュリティ関連のクラスター情報を報告します。ドキュメントページ
    も参照してください。注:この機能は現在制御リリースです。詳細については、product @ whitesourcesoftware.com お問い合わせください。

GUI(ウェブインタフェース)

  • 特定のユーザーが要求した要求の数と条件に関する指示を追加しました。Admin usersページには、リクエストの割り当てを変更するためのオプションがあります。

Unified Agent

  • 'Go'用の 'vgo'( 'Go Modules')パッケージマネージャのサポートを追加しました。関連資料も参照してください。

  • サーバーレススキャン:サーバーレス機能をスキャンするときにコンポーネントを含めたり除外したりするためのサポートが追加されました( 'serverless.includes'および 'serverless.excludes')。

  • 構成ファイルを保守する必要なしに、Effective Usage Analysis(EUA)機能を実行する機能が追加されました。

API

  • 'getProjectHierarchy'および 'getProjectInventory' API要求:新しい(オプションの)ブールパラメータ 'includeInHouseData'を追加しました。'false'に設定すると、インハウスライブラリデータはAPI応答に返されません(デフォルトは 'true')。

  • 以下のAPIリクエストには、「format」という新しいオプションパラメータが含まれています。デフォルトのフォーマットは 'xlsx'で、有効なオプションは 'json'と 'xlsx'です。

レポート

  • 新しいContainers vulnerabilities report は、ポッド、ネームスペース、およびクラスタごとの脆弱性が表示されます。これにより、ユーザーはクラスター内のコンテキストに従って特定のリソースをフィルター処理できます。 関連資料も参照してください。 

  • Attribution report:欠落している著作権の参照は現在、アスタリスク( '*')文字でマークされています。 

  • 次のレポートは、GUIまたはAPIリクエストを介してJSON形式でエクスポートできます。アラートレポート、および脆弱性レポート。

  • Vulnerabilities report:特定の製品に加えて、特定のプロジェクトのレポートデータのみを表示するオプションを追加しました。

解決された問題

  • [FixedUnified Agent:  Microsoft TFSとの統合:「Invalid diff JSON structure(無効なdiff JSON構造)」エラーが特定の設定で表示されることがあります。

  • [Fixed] 'Create User(ユーザーの作成)'機能を使用してユーザーを作成しようとしたときに、同じEメールアドレスを持つ既存のユーザーのEメールアドレスを指定してもエラーメッセージが表示されません。

  • Inventory report

    • [Fixed]レポートのエクスポート結果に 'Primary Attribute'が含まれていませんでした。

    • [Fixed]製品名で検索したときに検索ドロップダウンメニューのいくつかのオプションが表示されない。

    • [Fixed] 特定のシナリオで、「Suspected unspecified license(不特定ライセンスの疑い)」フィルタが誤って結果にレコードを表示しない。

  • [Fixed]Risk report:選択した製品のレポートをエクスポートするとPDF出力に問題が発生することがある

  • [Fixed]ドラッグアンドドロップのUIで新しいライブラリを送信している間、時々一時停止することがある。

  • [Fixed] [Admin]→[Users]ページ→[Invite Users]ボタン:アドレスの末尾にスペースを含むメールアドレスは処理されず、エラーメッセージが表示されます。

  • [Fixed]プロジェクト名を変更する処理が比較的長い時間を要することがあり、処理がいつ完了するかについて何も表示されない

  • [Fixed] SAML:証明書更新後にシングルサインオン(SSO)が正しく動作しない場合がある。

  • [Fixed]特定の設定では、スキャン後にソースライブラリがそのソースファイルなしでアップロードされることがありました。

  • [Fixed]セキュリティトレンドダッシュボード:3ヶ月と6ヶ月の時間枠を選択したときに出力に問題が発生することがある。

  • [Fixed]特定の設定では、 'Match libraries by filename(ライブラリをファイル名で一致させる)'チェックボックスがオフになっていても、ライブラリが名前で一致することがあります。

リリース



Version 19.1.2 (10-February-2019)

新機能とアップデート

GUI(ウェブインタフェース)

  • ProjectProductページ:[Libraries]ペインに[Project/Product]コンテキストを維持しながらInventory reportを開く[View Inventory]リンクを追加しました。

  • Product navigation menu(製品ナビゲーションメニュー):特定の製品の上にマウスを移動すると、関連プロジェクトのリストが使用された順に表示されます(最後に使用されたものがリストの上に表示されます)。

Unified Agent

  • コンテナスキャンのサポートを追加しました。次の関連設定パラメータが追加されました: 'docker.scanContainers'、 'docker.containerIncludes'、 'docker.containerExcludes'。'Includes'および 'Excludes'パラメータ値は、コンテナID、コンテナ名、イメージ名のうちの1つ以上である可能性があることに注意してください。

  • 「Glide」、「GoDep」、および「GoPm」パッケージマネージャの階層ツリーサポートが追加されました。これにより、直接および推移的な依存関係を表示できます。

  • NuGetパッケージ:パッケージの階層を見るためのサポートを追加しました。この機能には、直接および推移的な依存関係を表示する機能が含まれています。

API

  • ユーザーを招待してWeb Advisorをダウンロードして使用できるようにするための新しい「inviteUserToWebAdvisor」API要求が追加されました。これにより、組織はWeb Advisorユーザーをセルフプロビジョニングし、このセルフプロビジョニングをセルフサービスポータルに統合することができます。このAPIリクエストはAPIバージョン1.1でのみ利用可能です

  • 'getProjectLibraryLocations' APIリクエスト:各ライブラリのマニフェストファイルのパスを格納する 'dependencyFile'パラメータを追加しました。

レポート

  • GUIまたはAPI要求を介して、インベントリレポート、ソースファイルインベントリレポート、およびデューデリジェンスレポートの各レポートをJSON形式でエクスポートできます。以下のAPIリクエストには、「format」という新しいオプションパラメータが含まれています。フォーマットはデフォルトで 'xlsx'であり、有効なオプションは 'json'と 'xlsx'です。 'getProductDueDiligenceReport'。

  • Risk Report:選択された範囲(組織または製品)に[適用]ボタンが追加されました。これを押すとレポートが生成されます。

  • Attribution Report:ライセンスの参照が取得できない場合、新しいオプションを使用すると、ユーザーは次のいずれかの出力を選択できます。

  •  

    • ライセンスを空白のままにします

    • ジェネリックライセンスを参照する

解決された問題

  • Jiraの統合:

  •  

    • [Fixed]Issue TrackerのURLが不正な場合、不明なエラーメッセージが表示されるようにしました。

    • [Fixed]特定のシナリオで、Jiraの必須フィールドを取得すると例外が発生することがある

  • [Fixed]手動によるコメント: '&'と '%'は不正な文字として分類されるため、一部のURLを入力できない

  • [Fixed]Attribution reportはUnicodeの外国語文字を完全にはサポートしていません。

  • [Fixed] 'getOrganizationProjectVitals' APIリクエストが完了するまでに比較的長い時間がかかる場合があります。 Unified Agent :

  •  

    • [Fixed]リモートリポジトリをスキャンするとき(SCM設定を使用)、Unified AgentはUnified Agentが実行されたディレクトリもスキャンします。  

    • [Fixed]特定のYarnベースのプロジェクトで、パラメータ 'npm.includeDevDependencies'が 'false'に設定されていても、devの依存関係が解決されています。

    • [Fixed] '-requestFiles' CLIパラメーターを指定してUnified Agentを実行すると、 'productToken'パラメーターは常に無視されます。

    • [Fixed] Unified Agentがターゲットフォルダを定義していないSBTプロジェクトで実行されている場合、返される出力メッセージが文脈から外れる。 

リリース



Version 19.1.1 (27-January-2019)

新機能

  • EUA(Effective Usage Analysis):Multi-Module Analysisに、Unified Agentが有効な「appPath」候補と見なすべきではないファイルの自動/デフォルトおよび手動除外をサポートするための除外ルールを含めることができるようになりました。新しいUnified Agent CLIパラメータ '-analyzeMultiModuleExclusions'を使用すると、ユーザは分析すべきではないファイル名のパターンを指定できます。

アップデートと機能強化

  • GitHub統合のためのAPIサポートをチェックします: 「Neutral」の結論で完了のサポートを追加しました。関連資料も参照してください。この結論は、「プッシュ」コマンドが無効な場合に表示されます。関連資料も参照してください。

  • Attribution Report:HTMLとテキストの両方のエクスポート形式のサマリーレポートでコンポーネントに指定されたカスタム属性を追加しました。

  • Risk report:「比較方法」を追加このレポートのPDFエクスポートのセクション。 

  • License compatibility report:レポートをExcelおよびXML形式でエクスポートするオプションを追加しました。

  • Unified Agent

    • 次の更新は、単一のスキャンインターフェイスに移行するための全体的な計画の一環として行われました。

      • JARファイルが 'wss-unified-agent- <xxx> .jar'に変更されました

      • 設定ファイルが 'wss-unified-agent- <xxx> .config'に変更されました

      • ライセンスがOpen Source(Apache)からWhiteSource Commercialライセンスに変更されました。

      • GitHub上の新しい配布レポ(Unified Agent の配布

      • 下位互換性(fs-agent-distributionおよびfs-agentリポジトリは、以前のオープンソースバージョンのUnified Agentで引き続き使用可能)

    • [Add project to default product when only project name is provided(プロジェクト名のみが指定されている場合にプロジェクトをデフォルト製品に追加する)]チェックボックスが[Integrate(統合)]タブに追加されました。
      構成ファイルで 'projectName'のみが指定され( 'projectToken'、 'productName'、 'productToken'は空のまま)、チェックボックスが選択されていない場合(デフォルト)、同じ名前の最初に見つかったプロジェクトは上書きされます。同じシナリオでチェックボックスが選択されている場合、プロジェクトはデフォルトで 'My Product'という名前の製品に追加されます。

    • 追加の シナリオを「success」ではなく「error」に設定する構成パラメーター「failErrorLevel」を追加しました。

解決された問題

  • Unified Agent

    • [Fixed]マルチモジュールSBTプロジェクトのスキャン中に問題が発生することがある

    • [Fixed] Bambooで複数のプロジェクトをスキャンしているときに問題が発生することがある

  • Effective Usage Analysis (EUA)

    • [Fixed]マルチモジュール機能を使用しているとき、サブモジュールが同じ名前のために上書きされていた。セットアップファイルの更新に関する関連ドキュメントも参照してください。

    • [Fixed]有効ライブラリと無効ライブラリの概要が、製品レベルとプロジェクトレベルで比較した場合、必ずしも一致しない場合があります。

  • [Fixed]High Severity Bugs report:特定のシナリオでレポートの生成にエラーが発生することがある。

  • [Fixed]Attribution report:レポートのHTMLエクスポートは漢字をサポートしていません。

  • API:

    • [Fixed]非ラテン文字を含む名前の商品を作成できない

    • [Fixed] Excel形式で取得したデューデリジェンスレポートのフォーマットが正しくない場合がある

リリース

Version 18.12.2 (13-January-2019)

新機能

  • Security Trends Dashboardは、時間経過に伴う組織のセキュリティ体制の概要をユーザーに提示します。ダッシュボードは、主に組織の管理者、セキュリティ担当者、およびアプリケーションの研究開発管理者を対象としています。関連する資料も参照してください。 

  • Effective Usage Analysis:JavaScriptのサポートが追加されました。 

  • Risk report:「比較方法」を追加組織のリスクおよびコンプライアンスレベルの選択された測定値がWhiteSourceの顧客について計算された全体の平均統計とどのように比較されるかを表示するセクション。関連する資料も参照してください。

  • WhiteSource Serverless Integration:Unified AgentおよびEffective Usage Analysisテクノロジを利用して、展開されたFaaSをスキャンおよび監視できます。WhiteSourceは、サーバーレス関数から呼び出されたオープンソースコンポーネント内の脆弱なコードへの効果的な参照を理解することができます。WhiteSourceのサーバーレス統合により、デプロイされたLambda関数をスキャンおよび監視することができます。関連する資料も参照してください。 

  • License Compatibility Report:このレポートは、プロジェクトレベルまたは製品レベルでのライブラリライセンスの互換性の問題に関する情報を提供します。関連する資料も参照してください。

アップデートと機能強化

  • Effective Usage Analysis (EUA)

  •  

    • Policies:Effective Usage Analysisシールドに基づいてポリシーを作成するためのオプションが追加されました。関連する資料も参照してください。

    • Security Vulnerabilities画面に表示されるCVEの詳細には、EUAの分析結果を含む 'Top Fix'列があります。 

  • Due Diligence report:「Open Source(オープンソース)」、「Commercial(商用)」、「Closed Source(クローズドソース)」、および「Unknown(不明)」のいずれかのライセンスタイプを示す「License Type」列を追加しました。  

  • Attribution reportには、プロジェクトおよびコンポーネント(ライブラリ)ごとにレポートデータをエクスポートするオプションが追加されました。 

  • 依存関係の解決は、バイナリまたはソースファイルの拡張子がリポジトリに存在しない場合でも実行されます。 

  • Visual Studio 2017の新しいフォーマットの '.csproj'ファイルのサポートが追加されました。

リリース

Version 18.12.1 (30-December-2018)

新機能

  • New Report:各ライブラリの発行ライセンス、著作権、および通知データの属性レポート。

    • Extended granularity options(拡張粒度オプション)

      • 製品レベルまたはプロジェクトレベルでレポートを生成します。

      • レポートの特定のセクション(例:summary(概要), licenses(ライセンス), copyrights(著作権), notices(通知))をエクスポートします。

      • レポートのタイトル、ヘッダー、およびフッターを定義します。

    • 複数の形式(HTML、テキスト)にエクスポートします。 
      関連する資料も参照してください。

  • Unified Agent

    • ElixirおよびErlang言語用の 'Hex'パッケージマネージャと 'Mix'ビルドツールがサポートされています。

    • サポートされている 'gemfile.lock'ファイルに加えて、ruby bundlerの 'gems.locked'ファイルもサポートされています。

アップデートと機能強化

  • ログインページ:SAMLを有効にした組織でのログインプロセスを容易にするために、「SSOでサインイン」(シングルサインオン)リンクが追加されました。

  • 説明責任と監査を改善するために、追加の役割が追加されました。'Product Integrator'は、割り当てられた製品内の新規または既存のプロジェクトに対してスキャンを実行できます。また、製品やそのプロジェクトに関するデータを表示したり、必要に応じてライブラリのチケットを開くこともできます。

  • 'resolveAllDependencies' という名前の新しい設定パラメータは、 'false'に設定するとすべての依存関係リゾルバを非アクティブ化し、明示的にtrueに設定されている特定のパッケージマネージャのみを有効にできます。パラメータのデフォルト値は 'true'です。trueに設定すると、特定の 'resolveDependencies'パラメーターが 'false'に設定されていない限り、スキャンはすべての依存関係を解決します。

  • Source File Inventory Report:製品レベルでの表示に加えて、指定されたプロジェクトのレポートを表示できるようにするために「project」スコープが追加されました。

  • JIRA integration→[Issue Assignee(課題の担当者)]ウィンドウ:[Name]フィルタを使用したJIRAユーザーの検索は、1,000ユーザーという結果に制限されなくなりました。 

解決された問題