WhiteSource サーバーリリースノート(WhiteSource Server Release Notes)
日本語ドキュメントの注意
古いリリースノートは重要度が低いと思われるため、機械翻訳のままになっている可能性があります。必要に応じて英語版を参照して下さい。
- 1 バージョン22.3.2 (2022年4月3日)
- 2 バージョン22.3.1.1(2022年3月31日)
- 3 Jiraサーバープラグインバージョン22.3.1(2022年3月29日)
- 4 バージョン22.3.1(2022年3月20日)
- 5 バージョン222.2.3 (2022年3月14日)
- 6 バージョン22.2.2.2(2022年3月10日)
- 7 バージョン22.2.2.1(2022年3月9日)
- 8 バージョン22.2.2(2022年3月6日)
- 9 バージョン22.2.1(2022年2月20日)
- 10 バージョン22.1.2(2022年2月6日)
- 11 バージョン22.1.1.1(2022年1月27日)
- 12 バージョン22.1.1(2022年1月23日)
- 13 バージョン21.12.2(2022年1月9日)
- 14 バージョン21.12.1(2021年12月26日)
- 15 バージョン21.11.2.1(2021年12月16日)
- 16 バージョン21.11.2(2021年12月12日)
- 17 バージョン21.11.1(2021年11月28日)
- 18 バージョン21.10.2(2021年11月14日)
- 19 バージョン21.10.1(2021年10月31日)
- 20 バージョン21.9.1.1(2021年10月25日)
- 21 Azure DevOps統合バージョン21.9.11(2021年10月18日)
- 22 バージョン21.9.1(2021年10月17日)
- 23 バージョン21.8.2(2021年10月3日)
- 24 バージョン21.8.1.1(2021年8月31日)
- 25 バージョン21.8.1(2021年8月29日)
- 26 Jira Cloudプラグインベータ版(2021年8月22日)
- 27 Azure DevOps統合バージョン21.7.21(2021年8月17日)
- 28 バージョン21.7.2(2021年8月15日)
- 29 バージョン21.7.1(2021年8月1日)
- 30 バージョン21.6.3(2021年7月18日)
- 31 Azure DevOps統合バージョン21.6.31(2021年7月14日)
- 32 Azure DevOps統合バージョン21.6.3(2021年7月8日)
- 33 バージョン21.6.2.2(2021年7月6日)
- 34 Azure DevOps統合バージョン21.6.2.1(2021年7月5日)
- 35 バージョン21.6.2(2021年7月4日)
- 36 バージョン21.6.1(2021年6月20日)
- 37 バージョン21.5.2(2021年6月6日)
- 38 バージョン21.5.1(2021年5月23日)
- 39 バージョン21.4.2.1(2021年5月11日)
- 40 バージョン21.4.2(2021年5月9日)
- 41 バージョン21.4.1(2021年4月25日)
- 42 バージョン21.3.2.2(2021年4月19日)
- 43 バージョン21.3.2.1(2021年4月13日)
- 44 バージョン21.3.2(2021年4月11日)
- 45 バージョン21.3.1(2021年4月4日)
- 46 バージョン21.2.2(2021年3月14日)
- 47 バージョン21.2.1(2021年2月28日)
- 48 バージョン21.1.2.1(2021年2月14日)
- 49 バージョン21.1.2(2021年2月14日)
- 50 バージョン21.1.1(2021年1月31日)
- 51 バージョン20.12.3(2021年1月17日)
- 52 バージョン20.12.2(2021年1月3日)
- 53 通知
- 54 バージョン20.12.1.1(2020年12月21日)
- 55 バージョン20.12.1(2020年12月20日)
- 56 バージョン20.11.2(2020年12月6日)
- 57 バージョン20.11.1(2020年11月22日)
- 58 バージョン20.10.2(2020年11月8日)
- 59 バージョン20.10.1.1(2020年11月4日)
- 60 バージョン20.10.1.1(2020年11月2日)
- 61 バージョン20.10.1(2020年10月25日)
- 62 バージョン20.9.2.2(2020年10月15日)
- 63 バージョン20.9.2.1(2020年10月15日)
- 64 バージョン20.9.2(2020年10月11日)
- 65 バージョン20.9.1(2020年10月4日)
- 66 バージョン20.8.2(2020年9月13日)
- 67 バージョン20.8.1.1(2020年9月2日)
- 68 バージョン20.8.1(2020年8月30日)
- 69 バージョン20.7.3.1(2020年8月24日)
- 70 バージョン20.7.3(2020年8月16日)
- 71 バージョン20.7.2(2020年8月2日)
- 72 バージョン 20.7.1.3(2020年7月26日)
- 73 バージョン20.7.1(2020年7月19日)
- 74 バージョン20.6.2(2020年7月5日)
- 75 バージョン20.6.1.1(2020年6月30日)
- 76 バージョン20.6.1(2020年6月21日)
- 77 バージョン20.5.2(2020年6月7日)
- 78 Version 20.5.1(2020年5月24日)
- 79 バージョン20.4.2(2020年5月10日)
- 80 バージョン20.4.1(2020年4月26日)
- 81 バージョン20.3.3、20.3.2(2020年4月12日)
- 82 バージョン20.3.2、20.3.1(2020年3月29日)
- 83 バージョン20.3.1、20.2.2(2020年3月15日)
- 84 バージョン20.2.1、20.2.2(2020年3月1日)
- 85 バージョン20.1.3(2020年2月16日)
- 86 バージョン20.1.2(2020年2月2日)
- 87 バージョン20.1.1(2020年1月26日)
- 88 バージョン19.12.2(2020年1月5日)
- 89 バージョン19.12.1(2019年12月22日)
- 90 バージョン19.11.2(2019年12月8日)
- 91 バージョン19.11.1(2019年11月24日)
- 92 バージョン19.10.1(2019年11月10日)
- 93 バージョン19.9.2(2019年10月27日)
- 94 バージョン19.9.1(22-September-2019)
- 95 バージョン19.8.1(8-September-2019)
- 96 バージョン19.7.3(2019年8月18日)
- 97 バージョン19.7.2(2019年8月4日)
- 98 バージョン19.7.1(2019年7月21日)
- 99 バージョン19.6.1(2019年7月7日)
- 100 バージョン19.5.3(2019年6月23日)
- 101 バージョン19.5.2(2019年6月2日)
- 102 バージョン19.5.1(19-May-2019)
- 103 バージョン19.4.2(2019年5月5日)
- 104 バージョン19.4.1(21-April-2019)
- 105 バージョン19.3.2(2019年4月7日)
- 106 Version 19.3.1 (24-March-2019)
- 107 Version 19.2.2 (10-March-2019)
- 108 Version 19.1.2 (10-February-2019)
- 109 Version 19.1.1 (27-January-2019)
- 110 Version 18.12.2 (13-January-2019)
- 111 Version 18.12.1 (30-December-2018)
- 112 Version 18.11.2 (16-December-2018)
- 113 Version 18.11.1 (2-December-2018)
- 114 Version 18.10.3 (18-November-2018)
- 115 Version 18.10.2 (4-November-2018)
- 116 Version 18.10.1 (21-October-2018)
- 117 Version 18.9.1 (7-October-2018)
- 118 Version 18.8.3 (16-September-2018)
- 119 Version 18.8.2 (2-September-2018)
- 120 Version 18.8.1 (19-August-2018)
- 121 Version 18.7.2 (5-August-2018)
- 122 Version 18.7.1 (22-July-2018)
- 123 Version 18.6.3 (8-July-2018)
- 124 Version 18.6.2 (24-June-2018)
- 125 Version 18.6.1 (17-June-2018)
- 126 Version 18.5.2 (10-June-2018)
- 127 Version 18.5.1 (27-May-2018)
- 128 Version: 18.4.2 (13-May-2018)
- 129 Version: 18.4.1 (29-Apr-2018)
- 130 Version: 18.3.2 (15-Apr-2018)
- 131 Version: 18.3.1 (01-Apr-2018)
- 132 Version: 18.2.2 (18-Mar-2018)
- 133 Version 18.2.1 (04-Mar-2018)
- 134 Version 18.1.2 (04-Feb-2018)
- 135 Version 18.1.1 (21-Jan-2018)
- 136 Version 17.12.4 (07-Jan-2018)
これらのリリースノートはWhiteSourceクラウドソリューション用であり、独自のリリースノートを持つオンプレミスソリューションには適用されません。
既知の問題を表示するには、ここをクリックしてください。
さらに、通知ページを定期的に確認して、最新情報を入手することをお勧めします。
注:リリースノートは、実際のリリース日まで変更される場合があります。
リリースノートは、実際のリリース日まで変更される場合があります。WhiteSourceは、このページのリリースを、バージョンの実際のリリースから最大48時間まで延期する権利を留保することに注意してください。
このページは「動的」であり、公式リリース間で変更される可能性があります。 WhiteSourceは、このページをさかのぼって変更する権利を留保します。 WhiteSourceの製品に対するすべての修正プログラム、変更、および追加について最新の状態になっていることを確認するために、公式リリースの合間にこのページを定期的にチェックしてください。
重要バージョン21.3.2以降、WhiteSourceはドキュメントのさまざまなトピックと全体的な構造を変更します。これには、使いやすさを向上させるための既存のコンテンツの編集と圧縮(したがって、特定のトピックのアーカイブ)、不要なコンテンツや重複するコンテンツの削除、論理フローのトピック階層の再構築が含まれます。このプロジェクトは不特定の期間「進行中の作業」となるため、WhiteSourceはこれによりご不便をおかけしますことを事前にお詫び申し上げます。 |
バージョン22.3.2 (2022年4月3日)
解決された問題
ユニファイドエージェント
Unified Agentは、ユーザ名が欠落しているプロキシ設定をサポートしていませんでした。
Jiraクラウドプラグイン
チケットの説明にあるライブラリパスの数は5つに制限されていました。
バージョン22.3.1.1(2022年3月31日)
Jiraデータセンターおよびサーバープラグイン
Spring4ShellCVE -2022-22965に対応。
Jiraサーバープラグインバージョン22.3.1(2022年3月29日)
JiraサーバープラグインのJiraデータセンター承認バージョンが利用可能になりました。
解決された問題
チケットの説明の依存関係階層は、3つの階層パスに制限されていました。
バージョン22.3.1(2022年3月20日)
解決された問題
ユニファイドエージェント
ローカル依存関係のあるBowerプロジェクトでは、UnifiedAgentは依存関係を検出できませんでした。
特定のケースでは、Unified AgentがGradleプロジェクトをスキャンしたときに、エラー情報なしでスタックトレース例外がスローされました。
Artifactoryプラグイン
プラグインの依存関係で特定されたセキュリティの脆弱性に対処しました。
バージョン222.2.3 (2022年3月14日)
Jiraクラウドプラグイン
Jira Cloudプラグインのチケット説明の依存関係階層は、3つの階層パスに制限されていました。
バージョン22.2.2.2(2022年3月10日)
ユニファイドエージェント
いくつかのユニークなエッジケースでのデータ表示の改善。
バージョン22.2.2.1(2022年3月9日)
解決された問題
ユニファイドエージェント
Pythonの解決策は、重複する依存関係の総数を減らすことで修正されました。
バージョン22.2.2(2022年3月6日)
新機能とアップデート
ユニファイドエージェント
NPMプロジェクトのファイルに依存関係が見つからない場合は、メッセージが表示されます。
package.json
アプリケーションAPI
ライブラリのリリース日(ある場合)を示す新しいパラメーターが、組織、製品、およびプロジェクトレベルでインベントリレポートに追加されました。
解決された問題
ユニファイドエージェント
Unified AgentでGoコマンドを実行して、キャッシュにない依存関係をダウンロードすると、警告メッセージが表示されていました。
Docker tarファイルをスキャンするときに、UnifiedAgentが拡張子の付いたレイヤーを抽出できませんでした。
.tar.gz
バージョン22.2.1(2022年2月20日)
新機能とアップデート
ユニファイドエージェント
Unified AgentでのYoctoプロジェクトのスキャンが、Pokyプロジェクトのベータステータスでサポートされるようになりました。
WhiteSourceコア
「PendingTasksApproval」ページのLibrariesテーブルに「MatchingPolicy」というタイトルの新しい列が追加され、保留中のリクエストでアクションをトリガーしたポリシーが強調表示されました。
Jiraサーバーとクラウドプラグイン
直接依存関係と推移的依存関係のためにJiraプラグインによって開かれたチケットを区別するために、新しいフィールド
WS-LibraryHierarchy
が追加されました。このフィールドには、値DIRECT
または。が含まれますTRANSITIVE
。
お知らせ
Azure DevOps Server(TFS)プラグインは、2022年9月1日に非推奨になります。
バージョン22.1.2(2022年2月6日)
新機能とアップデート
ユニファイドエージェント
fileSystemScan パラメーターに置き換えられた ignoreSourceFiles パラメーターは、リリースバージョン22.5.1から非推奨になります。
申し込み
新しいライセンスTTWLおよびAttribution-NonCommercial2.0Genericがサポートされるようになりました。
アプリケーションAPI
APIのパフォーマンスを向上させるために、新しいオプションのパラメーターがAPIリクエスト
includeOutdatedLibraryData
に追加されました。デフォルトでは、下位互換性を維持するために、値はです。値が、の場合、およびフィールドには情報が入力されません。getProjectInventoryReport
truefalseoutdatedModeloutdated
AzureDevOps統合
Azure DevOps拡張機能は、Azure DevOpsServerをサポートするようになりました。拡張機能の名前が「WhiteSourceforAzureDevOpsServices」から「WhiteSourceforAzureDevOps」に変更されました。
解決された問題
ユニファイドエージェント
Docker Containerスキャンは、コンテナーファイルシステムの一般的なスキャンを実行しませんでした。
申し込み
メンバーレポートで組織レベルを選択すると、データが読み込まれませんでした。
バージョン22.1.1.1(2022年1月27日)
解決された問題
ユニファイドエージェント
スキャンレポートを生成しようとすると、NPE例外が発生します。
バージョン22.1.1(2022年1月23日)
新機能とアップデート
ユニファイドエージェント
UnifiedAgentがJava17をサポートするようになりました。
WhiteSourceの優先順位付け
PrioritizeがJava17をサポートするようになりました。
WhiteSourceコア
お客様がサポートポータルに簡単にアクセスできるようにするために、WhiteSourceサポートポータル( support.whitesourcesoftware.com)に直接リンクするアイコン(レンチなど)がトップメニューに追加されました。
AzureDevOps統合
Azure DevOps統合内のWhiteSourceタスクは、セマンティックバージョニングに従うようになりました。これにより、顧客はリリースアップデートを自動的に受け取ることができます。
お知らせ
今後6か月以内に、WhiteSourceはJira DataCenterで承認されたバージョンのJiraプラグインをリリースすることを目標としています。
Jenkinsプラグインは非推奨になり、2022年8月1日から保守終了になります。
バージョン21.12.2(2022年1月9日)
新機能とアップデート
Issue Tracker Integration GenericPlatformとJiraプラグイン
一般的なIssueTrackingPlatformとJiraServerおよびJiraCloudプラグインが一般提供になりました(GA)。
ユニファイドエージェント
Unified Agentは、Lernaプロジェクトのスキャンをサポートするようになりました。
検証と整合性を強化するために、Unified Agent JARファイルが、以前のMD5ハッシュチェックサムを置き換える対応するSHA256チェックサムとともにリリースされるようになりました。詳細については、https://whitesource.atlassian.net/wiki/spaces/WD/pages/1141277540/Unified+Agent+Advanced+Topics#Verifying-the-Integrity-of-the-Unified-Agentを参照してください。
申し込み
ソースファイルのさまざまなソースライブラリへの再マッピングは、速度を向上させ、エラーを防ぐためにリファクタリングされました。
解決された問題
ユニファイドエージェント
Unified Agentで、ライブラリのないプロジェクトをスキャンすると、スキャンレポートを生成しようとしたときにNPE例外が発生していました。
場合によっては、バウアー解決で、UnifiedAgentが依存関係ツリーから欠落している依存関係を削除したときにNPE例外が発生しました。
Jiraサーバープラグイン
Jiraサーバーで、構成ページの[保存]をクリックしても、デフォルトのJiraプロジェクト設定が正常に保存されたかどうかは示されませんでした。
お知らせ
一般的なIssueTrackingPlatformとJiraServerおよびJiraCloudプラグインのGAリリースに続いて、以前のJira統合は2022年7月1日に非推奨になります。
ドキュメントの更新
ユーザーが外部の問題追跡システムとの統合を実装できるようにするアプリケーションのパブリックAPI呼び出しについて説明する新しい記事が作成されました。詳細については、独自のIssueTrackerプラグインの作成を参照してください。
バージョン21.12.1(2021年12月26日)
新機能とアップデート
Artifactoryプラグイン
このリリースでは、新しく改善されたArtifactoryプラグインが導入され、パフォーマンスの向上、ダウンロードされたコンポーネントのよりきめ細かい制御、簡単なインストールなどの重要な更新が提供されます。プロパティは、ローカルリポジトリからのコンポーネントのダウンロードのみを制御するように更新されました
triggerBeforeDownload
が、新しいプロパティtriggerBeforeRemoteDownload
は、リモートリポジトリからのコンポーネントのダウンロードを制御します。さらに、userKey
プロパティは必須になりました。
ユニファイドエージェント
Gradleの解像度が改善されたため、この
gradle.wrapperPath
パラメーターは非推奨になりました。
アプリケーションAPI
ライブラリのUuidパラメーターがgetProjectSecurityAlertsByLibraryReportAPI応答に追加されました
Issue Trackerプラグインを有効にして、指定されたライブラリの集約されたシールド表示を取得します。
Jiraサーバープラグイン
該当する場合、Jiraチケットの一部として、すべてのセキュリティ脆弱性に対して優先シールドが表示されるようになりました。
解決された問題
ユニファイドエージェント
メンバーリストでワイルドカードが使用されている場合、貨物ワークスペースは正しく処理されませんでした。
効果的な使用状況分析は、
appPath
末尾が。のPythonプロジェクトのみをサポートしrequirements.txt
ます。プレステップエラーが原因で優先スキャンが失敗した場合、スキャンログにタイプミスが表示されます。
ユニファイドエージェントでは、Pipfileで複数のextra -index-urlが定義されている場合、pipenvの解決は失敗します。
バージョン21.11.2.1(2021年12月16日)
解決された問題
WhiteSourceの優先順位付け
反射メカニズムの優先順位付けのマイナーな修正。
バージョン21.11.2(2021年12月12日)
新機能とアップデート
ユニファイドエージェント
OCI Dockerイメージのスキャンが、パラメーターを介してサポートされるようになりました
docker.scanTarFiles
アプリケーションAPI
新しいパラメータは、
resolvedType
次のAPIに追加されました:getOrganizationLicenses
、getProductLicenses
、getProjectLicenses
AzureDevOps統合
WhiteSourceマッピングの解像度を決定するために、Azure DevOpsServices拡張機能の組織設定が更新されました。
ApacheLog4j2で識別されたアドレス指定されたCVE- 2021-44228。
Jiraクラウドプラグイン
該当する場合、Jiraチケットの一部として、すべてのセキュリティ脆弱性に対して優先シールドが表示されるようになりました。
ApacheLog4j2で識別されたアドレス指定されたCVE- 2021-44228。
解決された問題
ユニファイドエージェント
UnifiedAgentがpipenvの依存関係を解決しようとしたときに例外が発生しました。
場合によっては、SBTリゾルバーが依存関係を検出できませんでした。
PIP依存関係マネージャーを使用してPythonプロジェクトでGitHubコミットを解析すると、GitHub依存関係を解析するときにエラーが発生しました。
Unified Agentで、バージョンのないローカルNPMパッケージが例外を引き起こしました。
Unified AgentでDockerイメージをスキャンすると、削除されたファイルで検出された脆弱性がスキャン結果に含まれていました。
アプリケーションAPI
脆弱性ベースのアラートモードに移行した組織の場合、更新通知メールの[アラート]セクションをクリックすると、アクセス許可エラーが表示されます。
通知
Gradle解像度の改善に伴い、このパラメーターは、UnifiedAgent
gradle.wrapperPath
の次のリリースで廃止される予定です。Unified Agentリリースバージョン21.12.2以降、MD5チェックサムは、リリースされたJARの隣に公開されるSHA256チェックサムに置き換えられます。
Jira Serverプラグインリリースバージョン21.12.2以降、JiraServerバージョン7.13はサポートされなくなります。
ドキュメントの更新
メインAPIページHTTPAPI v1.3が更新され、WhiteSourceで現在サポートされているAPIリクエストのリストが含まれるようになりました。
バージョン21.11.1(2021年11月28日)
新機能とアップデート
アプリケーションAPI
新しいパラメータ
resolvedType
がAPIに追加されましたgetProductAlertByType
。組織レベルのポリシーを別の所有者に再割り当てする新しいHTTPv1.3APIが追加されました。
JiraサーバーとJiraクラウドプラグイン
Jira Serverプラグインは、最新のJiraServerバージョン8.20と互換性があります。
依存関係階層情報が、JiraServerプラグインまたはJiraCloudプラグインによって作成されたJiraチケット内に表示されるようになりました。
AzureDevOps統合
ポリシー違反に基づくパイプラインビルドの失敗がサポートされるようになりました(Unified Agentのポリシー関連の設定を利用することにより)。
オープンソースのリスクレポートがAzureDevOps Extensionパイプラインビルドの一部として保持されるようになり、ビルド履歴の監査、レポートの取得の高速化、ユーザーエクスペリエンスの向上が可能になりました。
解決された問題
ユニファイドエージェント
特定の形式のファイルを含むYarnプロジェクトをスキャンする
yarn.lock
と、UAはロックファイルの解析に失敗し、結果の依存関係にはnull値が含まれます。ファイルで「replace」ディレクティブが使用された場合、UnifiedAgentのGo解決で依存関係が失われることがありました
go.mod
。統合エージェントは、に表示されるコメントを無視しませんでした
requirements.txt
。Unified Agentで、Packratプロジェクトをスキャンすると、ディレクトリが見つからないかアクセスできないために例外が発生しました
packrat/lib
。ユニファイドエージェントでは、詩の依存関係ツリーの解析が正しくないと、更新要求で送信される依存関係ツリーが正しくありませんでした。
Unified Agentでは、1.14より前のバージョンのGoを使用すると、Goプロジェクトのスキャンが失敗していました。
アプリケーションAPI
APIをJSON形式でエクスポートすると、getProjectLicenses
すべてのライブラリにダウンロードリンクが表示されません。
アプリケーション統合
GitHubEnterpriseの秘密鍵フィールドは5,000文字に制限されていました。
組織の名前に英数字以外の文字が含まれていると、アクティベーショントークンの生成に失敗します。
通知
Artifactoryプラグインの次のリリース(12月26日に予定)では、パフォーマンスの向上、ダウンロードされたコンポーネントのよりきめ細かい制御、インストールの容易さなどの重要な更新が導入されます。 triggerBeforeDownloadの 新しいプロパティながらプロパティは、唯一のローカルリポジトリからコンポーネントのコントロールのダウンロードに更新されます triggerBeforeRemoteDownloadが リモートリポジトリからのコンポーネントのダウンロードを制御します。さらに、このリリース以降、 userKey プロパティは必須になります。
ドキュメントの更新
「AzureDevOpsServices統合のデフォルト設定をオーバーライドするときに使用される統合エージェントパラメーター」ページがアーカイブされ、使用されなくなりました。そのコンテンツはAzureDevOps ServicesIntegrationに移動されました。
バージョン21.10.2(2021年11月14日)
新機能とアップデート
ユニファイドエージェント
Dockerized Unified Agentは、Condaのサポートを含む最新バージョンに更新されました。
スキャンされたプロジェクトのzip形式のオフラインリクエストをアップロードするオプションがサポートされるようになりました。
JiraサーバーとJiraクラウドプラグイン
JiraサーバーとJiraクラウドプラグインの構成ページの[詳細設定]で、クローズされた問題のアラートを無視するかどうかを選択できるようになりました。
解決された問題
脆弱性ベースのアラートモードの組織の場合、コンテナダッシュボードに誤ったデータが表示されます。
場合によっては、さまざまなスコープの脆弱性レポートが生成に失敗したか、空の応答が返されました。
新しいアラートが作成されていないときに、新しいアラートの通知メールが送信されることがありました。
一部のAPI呼び出しでは、応答JSONが誤った文字セットエンコーディングを返しました。
projectSecurityVulnerabilityのキーが重複していると、プロジェクトに対して誤ったアラートが表示されていました。
場合によっては、社内ルールを再計算した後、アラートが削除されませんでした。
Unified Agentは、ローカルワークスペースにあるNPMパッケージのSHA-1の計算に失敗しました。
Dockerized Unified Agentをビルドすると、エラーが発生しました。
EssentialsユーザーがAzureDevOps Services拡張機能を使用している場合、[組織の設定]ページは表示されませんでした。
拡張機能がAzureDevOps Servicesからアンインストールされた後、組織が非アクティブの場合、サービス拡張機能のその後のインストールとオンボーディングは失敗しました。
Azure DevOps ServicesからBolt拡張機能を削除すると、WhiteSource組織は非アクティブ化されます。
ドキュメンテーション
新しいトピック「WhiteSource入門」がユーザーガイドに公開されました。このトピックは、ユーザーがWhiteSource GUIダッシュボードとメニューオプションをナビゲートして、WhiteSourceをすばやく起動して実行できるようにすることを目的としています。WhiteSourceホームページの上部にあるメニューバーからユーザーがアクセスできるオプションの概要を提供します。
バージョン21.10.1(2021年10月31日)
新機能とアップデート
ユニファイドエージェント
UnifiedAgentがYarn3をサポートするようになりました。
ユニファイドエージェントのスキャンからDockerレイヤーを除外することは、docker.excludeLayersByLabel構成パラメーターを介してベータステータスで利用できるようになりました。
JiraサーバーとJiraクラウドプラグイン
WhiteSourceポリシーとライブラリへのリンクがJiraチケットに追加されました。
解決された問題
Dockerレイヤーの依存関係は、UIのプロジェクトを反映しません。
通知
Azure DevOps統合の改善は、リリース21.11.1で導入されます。オープンソースのリスクレポートはパイプラインビルドの一部として保持されるため、ビルド履歴の監査、レポートの取得の高速化、ユーザーエクスペリエンスの向上が可能になります。
ドキュメンテーション
Linuxディストリビューションの脆弱性検出に関する新しいドキュメントが公開されました。こちらをご覧ください。
メインAPIページHTTPAPIv1.3が更新されました。
バージョン21.9.1.1(2021年10月25日)
解決された問題
Unified AgentがマルチモジュールGradleプロジェクトをスキャンした場合、プロジェクト名にはバージョンが含まれます。
ユニファイドエージェントがバージョンのない依存関係を含むGradleプロジェクトをスキャンすると、依存関係が見つからず、例外がスローされました。
Unified AgentがWindowsマシンでプロジェクトをスキャンしたときに、「-d」パラメーターの末尾に空白がある場合、例外がスローされます。
UnifiedAgentがGoModulesプロジェクトをスキャンしたときに、テストの依存関係が誤って識別されました。
Azure DevOps統合バージョン21.9.11(2021年10月18日)
解決された問題
Azure DevOps統合(サービスとボルトの拡張機能)で、誤ったリダイレクトにより、拡張機能の組織とプロジェクトの設定を読み込むことができませんでした。
バージョン21.9.1(2021年10月17日)
新機能とアップデート
ユニファイドエージェント
スキャン中にUnifiedAgentによって実行されるすべてのコマンドのタイムアウトを制御するために、新しい設定パラメータcommandTimeoutが使用できるようになりました。
解決された問題
グローバル検索を実行してライブラリインベントリのCVEの脆弱性を確認すると、実際には脆弱性があったにもかかわらず、結果に「インベントリ内に脆弱なファイルはありません」と表示されます。
識別されなかった詩の更新された依存関係は、アーティファクトIDが欠落しているため、アプリケーションにまったく表示されませんでした。
SCM GitHubリポジトリをスキャンするときに、UnifiedAgentがデフォルトのブランチ名の変更に準拠していませんでした。
バージョン21.8.2(2021年10月3日)
注意
アプリケーションのリリースは、メンテナンスと安定化の改善により10月10日に延期されます。
新機能とアップデート
ユニファイドエージェント
Conda依存関係の検出がデフォルトで有効になりました-conda.resolveDependenciesパラメーターのデフォルト値はtrueに設定されています。
Gradleの依存関係の検出メカニズムが大幅に改善されました。その結果、次のGradleパラメーターは廃止されました。
gradle.runAssembleCommand
gradle.runPreStep
gradle.localRepositoryPath
gradle.downloadMissingDependencies
gradle.wrapperPath
さらに、スキャン結果を改善し、Gradleのベストプラクティスに合わせるために、gradle.preferredEnvironmentのデフォルト値がラッパーに変更されました。
UnifiedAgentがYarn2をサポートするようになりました。
JiraサーバーとJIRAクラウドプラグイン
Jiraプラグインは、WhiteSourceで識別された変更に続くチケットの自動更新をサポートするようになりました。ポリシーがプロジェクトに影響を与えなくなったか、ライブラリがプロジェクトのインベントリに存在しなくなったかは関係ありません。
解決された問題
Unified Agentでは、npm.removeDuplicateDependenciesパラメーターがtrueに設定されていると、一部のNPM依存関係が失われていました。
ライブラリの依存関係を管理するためにCocoapodsをインストールしようとすると、スキャナーDockerfileのビルドが失敗します。
ユニファイドエージェントでは、pyproject.tomlが見つかった場合、PIP解決が失敗していました。
バージョン21.8.1.1(2021年8月31日)
解決された問題
UnifiedAgentのjarファイルから到達不能なライブラリを削除しました。
バージョン21.8.1(2021年8月29日)
新機能とアップデート
ユニファイドエージェント
Unified Agentは、environment.ymlファイルで指定されたConda依存関係のスキャンをサポートするようになりました。Conda依存関係の検出は、デフォルトで有効になっている新しいパラメーターconda.resolveDependenciesによって制御されます。注:WhiteSource Condaの脆弱性の対象範囲は、現在Pythonの依存関係のみに限定されており、今後のリリースで拡張される予定です。
含まれて今のパラメータをユニファイドエージェントの設定方法(環境変数、設定ファイルなど)すべてに適用されるデフォルト値(WhiteSource拡張機能をサポートしているすべて含ん)を持っています。
除外のパラメータは現在のデフォルト値があります。
**/.*, **/node_modules, **/src/test, **/testdata, **/*sources.jar, **/*javadoc.jar
Go依存関係の検出により、デフォルトでGoモジュール用に最適化されたリゾルバーが有効になりました。さらに、Go解決はGoソースファイルによってトリガーされなくなり、パッケージマネージャーのマニフェストファイルによってのみトリガーされるように他のリゾルバーに調整されます。
NPMの依存関係の検出にパフォーマンスの改善が導入されました。
Jiraサーバープラグイン(ベータ版)
Oracleデータベースの使用時に発生した問題を解決しました。
解決された問題
Unified Agentでは、excludesパラメータは、プロジェクトディレクトリごとではなく、フォルダ内のすべてのプロジェクトに対して呼び出されていました。
Unified Agentで、jarファイルの抽出中にターゲットフォルダをスキャンすると、nullポインタ例外が発生しました。
SHA-1ライブラリの依存関係がないため、優先スキャンはEUAエラーで失敗します。
Artifactoryプラグインのスキャンでは、SHA-1ライブラリの依存関係を取得できませんでした。
Jira Cloudプラグインベータ版(2021年8月22日)
WhiteSourceとJiraの新しい統合の一環として、JiraCloudの新しいプラグインがベータステータスでリリースされます。
Azure DevOps統合バージョン21.7.21(2021年8月17日)
解決された問題
Azure DevOps Services Integrationでは、認証の問題により、拡張機能で使用されるazure-devops-node-apiNPMライブラリをダウングレードする必要がありました。
バージョン21.7.2(2021年8月15日)
新機能とアップデート
Jiraサーバープラグイン(ベータ版)
サポートは最新のJiraServerバージョンに拡張されました。
解決された問題
[ライブラリのセキュリティの脆弱性]ページで、同じライブラリが複数のプロジェクトに表示されると、間違ったシールドが表示されました。
特定の条件下で、脆弱性レポートを使用すると、エラーが発生しました。
Unified Agentで、SCMモードでスキャンすると、リポジトリのクローンを作成する前にデバッグ例外が発生しました。
Unified Agentで、yarnプロジェクトをスキャンするときに、階層ツリーが重複排除されなかったため、メモリの問題が発生しました。
Artifactoryプラグインでランタイムエラーが発生しました。
WhitesourceService.classのクローン作成中の分からミリ秒への変換により、wss.connectionTimeoutMinutesに無効な値が発生しました。
Githubスキャナーを介してスキャンする場合、(ブランチではなく)タグでリポジトリをスキャンすると、クローン作成フェーズでスキャンが失敗しました。
通知
Unified Agentの次の2つのリリースでは、Gradleの依存関係の検出メカニズムが大幅に改善されます。これにより、次のGradleパラメーターが廃止されます。
gradle.runAssembleCommand
gradle.runPreStep
gradle.localRepositoryPath
gradle.downloadMissingDependencies
この変更の一環として、gradle.preferredEnvironmentのデフォルト値が ラッパーに 変更され 、スキャン結果が改善され、Gradleのベストプラクティスに合わせられます。 さらに、 gradle.wrapperPath パラメーターも非推奨になります。
ドキュメンテーション
New Versions Alertsのコンテンツは、Understanding the Project Pageに移動され、ページは非推奨になりました。
Advanced Searchingのコンテンツは、Understanding and Managing Vulnerabilitiesに移動され、ページは非推奨になりました。
バージョン21.7.1(2021年8月1日)
新機能とアップデート
ユニファイドエージェント
php.removeDuplicateDependencieのデフォルトがTrueに変更されました。
WhiteSourceの優先順位付け
WhiteSource Prioritizeスキャンは、java-11-openjdk-develがインストールされているRed Hat EnterpriseLinux環境で公式にサポートされています。
最新のMulti-ModuleAnalyzerバージョンは、21.7.1から永続的なリンクで利用可能になり、将来のアップグレードで同じリンクから自動的にダウンロードできます。
Jiraサーバープラグイン(ベータ版)
Jiraサーバープラグインによって作成されたJiraチケットの説明がより明確になり、整理されました。
AzureDevOps拡張機能
Azure DevOps Services拡張機能は、インストール後のアクティベーションキーの更新をサポートするようになりました。
レポート
新しいレポート、早期警告レポートがリリースされました。このレポートには、研究者によって認定される前であっても、WhiteSourceによって自動的に識別された脆弱性の当日の兆候が表示されます。このレポートは、一部のお客様の利用が制限されています。ゆっくりと展開されており、数週間以内にすべてのお客様と環境で利用できるようになります。GAのリリースノートで別の通知が発表されます。
6月6日に発表されたように、8月15日に、複数ライブラリバージョンレポートが複数ライブラリバージョンのアラートに置き換わり、すべてのお客様に対して無効になることに注意してください。複数のライブラリバージョンのアラートで利用可能だったすべての情報は、過去と将来のスキャンの両方について、専用のレポートで利用可能になります。
解決された問題
csprojとnuspecの両方で同じNuGet依存関係が定義されている場合、アプリケーションに2回表示されました。
ユニファイドエージェントでは、「-d」引数に複数のアーカイブを設定すると、誤った結果が生じることがありました。
failErrorLevelがALLに設定されているときに関連するパッケージマネージャーがインストールされていない場合、Unified AgentのMaven、OCaml、Modules、およびRリゾルバーはスキャンに失敗しませんでした。
Unified Agentでは、パラメータgradle.additionalArgumentsは、すべてのGradleコマンドではなく、Gradleコマンドのサブセットにのみ適用されていました。
Unified Agentを使用してプロジェクトをスキャンし、archiveIncludesとarchiveExtractionDepthが設定されている場合、zipファイルが破損すると、特定のJavaバージョンでnullポインター例外が発生しました。
統合エージェントでは、Mavenログが変更されたときに、Mavenリゾルバーが依存関係ツリーパスを検出しませんでした。
通知
ユニファイドエージェントの次の二つのリリース内の挙動が 含まと除外及びパラメータは、の使用に対して固定されるprojectPerFolderのメインルートパスに対してそれらの値を照合することによって、パラメータ。
Unified Agentの次の2つのリリースでは、デフォルト設定にいくつかの改善が導入されます。
含まれるパラメータは、すべてのUnified Agentの設定方法(などの環境変数、設定ファイル)に適用されるデフォルト値を(すべてWhiteSourceの備える拡張機能をサポート)があります
除外のデフォルト値を持つことになりますパラメータ
**/.*, **/node_modules, **/src/test, **/testdata, **/*sources.jar, **/*javadoc.jar
Unified Agentの次の2つのリリースでは、Goモジュールの最適化されたリゾルバーをデフォルトで有効にすることにより、Goの依存関係の検出が改善されます。さらに、Go解決はGoソースファイルによってトリガーされなくなり、パッケージマネージャーのマニフェストファイルによってのみトリガーされるように他のリゾルバーに調整されます。
WhiteSource Cure(ベータ版)
新製品WhiteSourceCureがベータ版でリリースされました。WhiteSource Cureは、プロプライエタリコードの検出ツールによって特定された脆弱性の修正提案と提案された修正を自動的に生成します。「レポート」と呼ばれる修復の提案は、脆弱なコード自体に表示され、IDEでそのまま使用できます。
ドキュメンテーション
グローバル組織/組織/製品/プロジェクトレベルのAPIと製品およびプロジェクトレベルのAPIについて、新しく更新されたドキュメントが公開されました。
「セキュリティの脆弱性の利用に関する情報」の情報は「セキュリティの脆弱性の理解と管理」に移動され、このページは非推奨になりました。
メインAPIページであるHTTPAPI v1.3は、2021年9月1日に非推奨になります。このページに含まれるすべての情報は、製品やプロジェクトレベルのAPIなどのAPIサブトピックにすでに表示されています。
バージョン21.6.3(2021年7月18日)
新機能とアップデート
Unified Agent Linuxパッケージマネージャースキャン(scanPackageManager)のセキュリティ脆弱性の検出精度が向上しました。
CircleCI orbexecutorのベースイメージがUbuntu18.04に更新されました。
BitbucketのWhiteSource統合のイメージが更新されました。
Jiraサーバープラグイン(ベータ版)
ライブラリパスがJiraチケットに追加されました。
解決された問題
セキュリティアラートレポートでは、組織に部分的なデータプロパティがあるかどうかを判断するためのチェックはありませんでした。
Jiraサーバープラグイン:WhiteSourceの問題タイプを関連するプロジェクトにのみ割り当てるのではなく、ユーザーのJira環境のすべての画面に追加されました。
ドキュメンテーション
ReportsAPIとLicenseand Library APIについて、新しく更新されたドキュメントが公開されました。
Azure DevOps統合バージョン21.6.31(2021年7月14日)
解決された問題
Azure DevOps Services Integrationでは、拡張機能の破損した設定が正しく処理されませんでした。
Azure DevOps統合バージョン21.6.3(2021年7月8日)
解決された問題
Azure DevOps Services Integrationで、問題によりWhiteSourceタスクの実行が妨げられました。
バージョン21.6.2.2(2021年7月6日)
解決された問題
Unified Agentで、gradle.preferredEnvironment パラメーターがwrapperに設定されている 場合、 gradlewコマンドの代わりにgradleコマンドが実行されました。
Azure DevOps統合バージョン21.6.2.1(2021年7月5日)
解決された問題
Azure DevOps Services Integrationで、問題によりプロジェクト設定の更新が妨げられました。
通知
次のUnifiedAgentリリースでは、Gradleの解像度が改善され、結果から解決できない依存関係が削除されます。
バージョン21.6.2(2021年7月4日)
新機能とアップデート
AzureDevOpsサービスの統合
AzureDevOps統合の主な改善点が導入されました。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになりました。この変更の一環として、次の更新が導入されました。
拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[組織の設定] セクションに移動しました 。
[プロジェクト] > [パイプライン]の下の[WhiteSource]タブは非推奨になりました。
WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非推奨です。
Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、現在唯一のスキャンオプションです。
Jiraサーバープラグイン(ベータ版)
WS_BOTの誤った初期化に続いてチケットが作成されない問題を解決しました。
Bitbucket統合
UnifiedAgentのJARを実行するJavaコマンドのオプションを指定するための新しい変数がBitbucket統合で利用できるようになりました。
解決された問題
WhiteSourceプラグインを使用してMavenプロジェクトをスキャンすると、IntelliJIDEが機能しなくなります。
サーバーが停止したときに、すでに開始されているスキャンを続行する際に問題が発生しました。
データベースロック例外の後、PersistManagedResourceが失敗しました。
すべてのソースファイルを手動で再マッピングしても、古いソースライブラリに対する保留中の要求は閉じられませんでした。
統合エージェントで、projectPerFolderIncludesがサブフォルダーの検出に失敗しました。
Unified Agentを使用してYarnプロジェクトをスキャンするときに、yarn.lockファイル内の依存関係について「解決済み」セクションが欠落している場合、Nullポインター例外が発生しました。
WhiteSourceは、同じディレクトリでバウアーとヤーンを実行する機能をサポートするようになりました。
GitHub.com統合の場合、SCMスキャナーはクローンフォルダーではなくルートフォルダーをスキャンし、スキャナーが追加のライブラリをスキャンするようにしました。
通知
2021年8月1日以降、UnifiedAgentバージョンはリリース後1年間利用可能になります。
Unified Agentの次の2つのリリースでは、php.removeDuplicateDependenciesパラメータのデフォルト値がfalseからtrueに変更されます。
Unified Agentの次の2つのリリースでは、エージェントによって実行されるGradleコマンドに追加する追加の引数を指定するためのgradle.additionalArgumentsパラメーターがすべてのGradleコマンドに適用されます(gradle依存関係コマンドだけでなく)。
Unified Agentの次の2つのリリースでは、関連するパッケージマネージャーがインストールされていない場合、スキャンに失敗してfailErrorLevelがALLに設定されている場合、Maven、OCaml、Modules、およびRリゾルバーは他の検出器の動作に合わせて調整されます。
ドキュメンテーション
新規および更新されたAVMドキュメントが公開されました
1)アラートおよび2)グループとユーザーの新しい更新されたAPIドキュメントが公開されました
以下のトピックの内容が移動されます。これらのトピックのページは非推奨になります。移動後、含まれる情報は変更されないことに注意してください
Bitbucketでの新しいスキャンのトリガーの内容は、BitbucketServerのWhiteSourceに移動されます。
バージョン21.6.1(2021年6月20日)
新機能とアップデート
ユニファイドエージェント
このバージョンから、Cargoワークスペースのサポートが追加されました。
解決された問題
fromDateパラメーターからのみ定義された場合、getXXXXAlertsByTypeAPI呼び出しはVBAモードで空のリストを返しました。
脆弱性レポートは、非部分モードの組織でも部分モードの免責事項で始まりました。
ユニファイドエージェントでは、NPM6はregistry.npm.tabao.orgから発生した依存関係を解決できませんでした。
バージョン21.5.2(2021年6月6日)
新機能とアップデート
レポート
新しいレポートがベータフェーズで導入されました-複数ライブラリバージョンレポート。このレポートには、選択したプロジェクト/製品で使用されている同じライブラリの複数のバージョンに関する情報が表示されます。このレポートのリリースに伴い、2021年8月15日に、複数ライブラリバージョンのアラートがすべてのお客様に対して無効になることを発表します。複数ライブラリバージョンのアラートで利用可能だったすべての情報は、過去の両方の専用レポートで利用可能になります。および将来のスキャン。
解決された問題
ライブラリロケーションレポートの特定の条件下で、同じファイルロケーションが同じライブラリに対して複数回表示されました。
「テスト」スコープと「コンパイル」スコープの両方に対して宣言された推移的な依存関係は、スキャン結果から省略されました。
NPMスキャンは、名前またはバージョンが欠落しているpackage.jsonを識別したときに、nullポインターで失敗しました。
Unified Agentで、Maven依存関係のダウンロード中にnullポインタ例外が発生しました。
ドキュメントの更新
次のページは非推奨になりました。
[イメージレジストリ]セクション:
UA-Amazon Elastic Container Registry(ECR)-Docker統合
UA-Azure ContainerRegistryの統合
UA-Dockerイメージの統合
UA-Google Container RegistryDocker統合
UA-JFrog ArtifactoryDockerレジストリ統合
でAVMのセクション:
Fortify / ThreadFixエージェントのAVMエージェントへの移行
通知
Azure DevOps統合の主な改善点は、2021年7月に導入されます。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになります。この変更の一環として、次の更新が導入されます。
拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[ 組織の設定] セクションに移動します。
[プロジェクト] > [パイプライン]の下の[WhiteSource]タブは非推奨になります。
WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非推奨になります。
Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、唯一のスキャンオプションになります。
バージョン21.5.1(2021年5月23日)
新機能とアップデート
Web UI
脆弱性ベースのアラートモードで作業している場合、[詳細]列がエクスポートされたライセンスおよびコンプライアンスアラートレポートに返され、アラートに関するより具体的な情報が提供されます。
新しいライセンス、Saucy2.0が追加されました。詳細はこちらをご覧ください。
脆弱性ベースのアラート組織では、保留中のタスクページの[詳細情報]に新しいボタンが追加されました。リスト(最大50)からタスクを選択してこのボタンをクリックすると、新しいポップアップ画面が表示され、選択した各タスクのライブラリの脆弱性の数とライセンスに関する情報が表示されます。ユーザーはポップアップでタスクの選択を変更でき、[保存]をクリックすると新しい選択が保存されます。その後、ユーザーは元の保留中のタスク画面に戻り、ポップアップで提供された情報に基づいて、タスクを承認するか拒否するかを選択できます。
解決された問題
まれに、[ライブラリ]ページに表示される脆弱性の数とアラートレポートに表示される脆弱性の数の間に不一致がありました。
組織の名前に文字「。」が含まれている場合、課題追跡システム統合のアクセスキーの作成に失敗しました。
一致タイプの計算に使用されるクエリは、製品/プロジェクトのすべてのプロジェクトリソース使用量をフェッチし、サーバー応答を返すのに長い時間がかかりました。
Unified Agentは、Gradleアーティファクトの再配置を正しく処理しませんでした。
場合によっては、ArtifactoryプラグインがTempフォルダーを削除したときに、すべてのフォルダーが削除されたわけではありません。
ドキュメントの更新
次のバージョン(バージョン21.5.2)では、次のページが非推奨になります。
[イメージレジストリ]セクション:
UA-Amazon Elastic Container Registry(ECR)-Docker統合
UA-Azure ContainerRegistryの統合
UA-Dockerイメージの統合
UA-Google Container RegistryDocker統合
UA-JFrog ArtifactoryDockerレジストリ統合
でAVMのセクション:
Fortify / ThreadFixエージェントのAVMエージェントへの移行
バージョン21.4.2.1(2021年5月11日)
新機能とアップデート
Jiraサーバープラグイン(ベータ版)
WhiteSource課題タイプは、一般的に使用されるJIRAフィールドのデフォルト値で作成されるようになりました。
バージョン21.4.2(2021年5月9日)
新機能とアップデート
ユニファイドエージェント
npm.runPreStep = trueの場合に検出されたロックファイル(yarn.lockまたはpackage-lock.json)に基づいて、関連するプレステップ(npminstallまたはyarninstall)を自動的に実行することにより、NPMとYarnの構成が最適化されるようになりました。
このバージョン以降、nuget.runPreStepとnuget.restoreDependenciesが結合されます。これは次のように機能します。nuget.runPreStep= trueの場合、見つかった.csprojファイルに対してドットネットの復元が実行されます。このマージの結果、nuget.restoreDependenciesは非推奨になります。
通知
TeamCityプラグインは、2021年11月1日から保守終了に達します。この日付以降、WhiteSourceは、非推奨のプラグインの更新や修正を含む標準サポートを提供しなくなります。構成とサポートのトラブルシューティングに限定された拡張サポートは、2022年5月1日まで継続されます。この日付以降、TeamCityプラグインはWhiteSourceでサポートされなくなります。製品の完全なサポートを維持するために、2021年11月1日に標準サポートが終了する前に必ずUnifiedAgentに移行してください。
ドキュメンテーション
次のページは非推奨になりました。
任意のファイルを要求する
GitHub関連トピック
ライセンス識別ページ-その内容はと合併したライブラリのライセンスを変更します
ライセンス解析ページ-その内容はと合併して理解するリスクスコアの帰属
ポリシーAPIのページには、推奨されていませんし、新規および更新ポリシーAPIページには、それを交換しました。
バージョン21.4.1(2021年4月25日)
新機能とアップデート
ユニファイドエージェント
Unified Agentは、Ant依存関係検出の一部としてApacheIvyをサポートするようになりました。
解決された問題
WhiteSourceへのログイン中にユーザーでエラーが発生しました。
プロジェクト名またはプロジェクトトークンは、Dockerスキャンの必須パラメーターでした。
ロールが残っていない場合、ユーザーはロールを削除できませんでした。
インベントリレポートがMSExcelにエクスポートされたとき、プロジェクト名と直接依存関係の間に余分な空白がありました。
パスワードの複雑さの検証が有効になっている場合、ユーザーはパスワードをリセットできませんでした。
NPM / Yarnでダウンロードされたアーティファクトは、UnifiedAgentスキャンの終了時に常に削除されるとは限りませんでした。
Unified Agentで、空のzipファイルを使用してANTベースのプロジェクトをスキャンすると、nullポインタ例外が発生しました。
ドキュメンテーション
新規および更新されたWhiteSource優先順位付けドキュメントがリリースされました。こちらをご覧ください。
R統合ページは廃止され、その内容はに移動したユニファイドエージェントの設定パラメータのページ。
次のバージョンでは、次のページが非推奨になります。
任意のファイルを要求する
GitHub関連トピック
ライセンス識別ページ-その内容はとマージされますライブラリのライセンスを変更します
ライセンス解析ページ-その内容はとマージされます理解リスクスコアの帰属
アラート新しいバージョンのページには、 -その内容はとマージされますプロジェクトページ
バージョン21.3.2.2(2021年4月19日)
解決された問題
JiraServerプラグインのセキュリティ問題を解決しました。
バージョン21.3.2.1(2021年4月13日)
解決された問題
「-v」を指定してUnifiedAgentを実行すると、そのバージョンがコンソールログメッセージヘッダーで出力される問題を解決しました。
バージョン21.3.2(2021年4月11日)
新機能とアップデート
Web UI
お客様は、同じIDプロバイダー(IDP)を持つ複数のグローバル組織のSAML統合を構成できるようになりました。
製品およびライブラリの優先度スコアリングレポート:新しいレポートは、さまざまな脅威および影響要因を考慮に入れて、ライブラリまたは製品の優先度に関する情報を提供します。詳細はこちらをご覧ください。
このバージョン以降、SmartMatchは、新しいWhiteSource組織が作成されたときに一致するソースファイルに使用されるデフォルトのアルゴリズムです。
名前Sunのライセンスに変更された日Public Licenseの。
ユニファイドエージェント
Go Modulesの依存関係の検出に大きな改善が加えられ、モジュール用に最適化された新しいリゾルバーが追加されました。これは、個別のパラメーターセットによって制御されます。2つの個別の設定がサポートされるようになりました。新しいモジュールの解像度を制御するための新しいパラメーターと、モジュールおよびその他のGoパッケージマネージャーを制御するための既存のGoパラメーターです。新しいモジュールリゾルバーは、アクティブに使用されている依存関係のみを検出し、次の新しいパラメーターを含みます。
go.modules.resolveDependencies
go.modules.ignoreSourceFiles
go.modules.removeDuplicateDependencies
go.modules.includeTestDependecies。
拡張モジュール依存関係検出を使用するには、go.modules.resolveDependencies = trueを設定して新しいリゾルバーをオンにし、go.resolveDependencies = falseを設定して現在のGoリゾルバーを無効にすることをお勧めします。
セキュリティアドバイザリ
Red Hat EnterpriseLinuxディストリビューションで見つかった脆弱性の検出精度が向上しました。
新しいセキュリティアドバイザリのサポートが追加されました。
上記の機能拡張は段階的に展開され、一部のWhiteSource組織では来月中に脆弱性アラートの変更が発生する可能性があります。
ドキュメントの更新
次のドキュメントの変更が実装されました。
非推奨の機能トピックは非推奨になり、コンテンツは通知ページに移動されました。
ホームページの設定トピックは非推奨になり、コンテンツはWhiteSourceホームページトピックに移動されました。
重大度の高いバグ報告トピックが廃止されました。
ファイルシステムのトピックが廃止されました。
ログイン/ホームページのドキュメントから始めて、最初のドキュメントセクションに構造上の変更が実装されました。その結果、次のページは非推奨になりました。
入門
セットアッププロジェクト
統合エージェントを使用してプロセスを自動化する
次のバージョンでは、R統合ページは非推奨になります。
解決された問題
Zstandard形式のRPMファイルのアーカイブ抽出に失敗しました。
重複する依存関係の不適切な処理が原因で、NPMを使用した優先スキャン中にシールドが欠落する問題が発生しました。
logLevelパラメータを設定するときに、一部のUnifiedAgentのログメッセージが考慮されませんでした。
デューデリジェンスレポートの生成を実行すると、レポートが空白になりました。
Jira ServerがPostgreSQLに接続されているときに、テーブルに新しい行を追加しようとすると、Jiraプラグインで例外が発生しました。
通知
次のUnifiedAgentリリースでは、次のことが計画されています。
次の2つのリリースでは、npm.runPreStep =のときに検出されたロックファイル(yarn.lockまたはpackage-lock.json)に基づいて、関連するプレステップ(npminstallまたはyarninstall)を自動的に実行することにより、NPMとYarnの構成が最適化されます。true。
次の2つのリリースでは、nuget.restoreDependenciesをnuget.runPreStepフラグにマージすることにより、NuGet構成が改善されます。この変更後、nuget.runPreStep = trueを設定すると、csprojファイルで見つかった依存関係が自動的にダウンロードされます。
バージョン21.3.1(2021年4月4日)
新機能とアップデート
Azure DevOps Servicesの統合:
WhiteSourceタスクを含むパイプラインが実行されている場合、次の2つのタグがビルドに追加されます。
ws_support_token(このタグにはサポートトークン値が含まれます)
ws_scan_start_time(このタグには、UTC時間でのWhiteSourceスキャン開始時刻が含まれます)
Jiraサーバープラグイン(ベータ版)
JiraサーバープラグインがAtlassianマーケットプレイスで利用できるようになりました。Jiraサーバープラグインは現在ベータ版であることに注意してください。
解決された問題
オペレーティングシステムのルートをスキャンしようとしたときにUnifiedAgentのArchiveExtractorを使用すると、nullポインタ例外が発生しました。
AVMで、Fortifyから脆弱性情報をフェッチするときにタイムアウトが発生しました。
ドキュメンテーション
NuGetプラグインのページが廃止されました。
次のバージョン21.3.2では、次の変更が実装されます。
非推奨の機能トピックは非推奨になり、コンテンツは[通知]ページに移動します
重大度の高いバグレポートのトピックが廃止されます
ファイルシステムのトピックが廃止されます
ログイン/ホームページのドキュメントから始めて、最初のドキュメントセクションに追加の変更が実装されます。
通知
次のUnifiedAgentリリースでは、Go Modulesの依存関係の検出に大きな改善が加えられ、モジュール用に最適化された新しいリゾルバが追加され、個別のパラメータセットによって制御されます。この変更後、2つの個別の設定がサポートされます。新しいモジュールの解像度を制御するための新しいパラメーターと、モジュールおよびその他のGoパッケージマネージャーを制御するための既存のGoパラメーターです。新しいモジュールリゾルバーは、アクティブに使用されている依存関係のみを検出し、テストの依存関係と重複する依存関係を含めるかどうかを制御できるようにします。
バージョン21.2.2(2021年3月14日)
新機能とアップデート
ユニファイドエージェント
このバージョンでは、NPM7のサポートが導入されています。
新しいパラメータfileSystemScanは、間もなく廃止されるignoreSourceFilesに置き換わるものです。
API
手動で割り当てられた社内ライブラリのマークを解除するための新しいAPIが利用可能になりました-unmarkManualInHouseLibrary。
解決された問題
場合によっては、ソースライブラリに関する情報が正しく表示されませんでした。たとえば、空のプロジェクトがまだ一部のソースライブラリに表示されていたり、一部のソースライブラリが空として表示されていたりします。
MacコンピューターでのDockerスキャン中にgcloudauthコマンドの実行に失敗しました。
管理者やアラート無視者とは異なる役割を持つユーザーは、VBAモードでアラートを無視することができました。
更新ポリシーアラートの一部としてライセンスを割り当てようとしたときに例外が発生しました。
Unified Agentで、NPMをスキャンするときに、package.jsonに名前/バージョン属性が含まれていない場合、NPMの依存関係が解決されませんでした。
欠落しているjarファイルをダウンロードすると、UnifiedAgentが誤って成功メッセージを生成しました。
アトリビューションレポートの概要に著作権の参照がないことを示す表示を追加しました。
Gradleで内部モジュール(プロジェクト)を除外すると、スキャンによって誤った依存関係ツリーが返されていました。
Azure DevOps Servicesの統合:場合によっては、WhiteSource構成タスクパラメーターにnpm.resolveMainPackageJsonOnly = trueを追加すると、スキャンが失敗しました。
ドキュメンテーション
このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。
WhiteSourceはVisualStudioコードスペースについてアドバイスします
バージョン21.2.1(2021年2月28日)
新機能とアップデート
Unified Agent
該当する場合は sbt-dependency-graph プラグインをサポートすることにより、Scala の依存関係の検出が改善されました。
解決された問題
脆弱性ベースのアラートモードで作業している場合、アラートを無視/再アクティブ化するときにユーザーロールが検証されていませんでした。
新機能
WhiteSourceは、イシュートラッカーシステム統合用の新しい汎用プラットフォームと Jira Server のプラグインのベータリリースを開始します。 新しいプラットフォームは、ポリシーの一致が発生したときにイシューを自動的に作成するために、イシュートラッカーシステムと統合する機能を提供します。Jira Server プラグインは、新しいプラットフォームを使用して開発された最初の統合であり、すぐに使用できるプラグインがさらにリリースされる予定です。
ドキュメンテーション
次のトピックは非推奨になりました。
Fortify ソフトウェアセキュリティセンターの統合
バージョン21.1.2.1(2021年2月14日)
Unified Agent が Docker.tar ファイルをスキャンすると例外が発生する問題を修正しました。
バージョン21.1.2(2021年2月14日)
解決された問題
Azure DevOps Services の統合:セルフホストエージェントからパイプラインビルドを実行すると、WhiteSource で生成された .encrypted ファイルが各WhiteSource ビルドタスクの実行の最後に削除されませんでした。
注: 2月14日より前にトリガーされたセルフホストエージェントビルドには、WhiteSource で生成された .encrypted ファイルのトレースが含まれている場合があります。これらのファイルは、セルフホストエージェントの作業フォルダから手動で削除する必要があります。まれに、脆弱性の同期後にライブラリアラートが作成されないことがありました。
ハッシュされたソースファイルが重複しているため、2番目のファイルは一致しないと見なされました。
Linux では、解決に使用されるコマンドの1つを実行する際にスペースが不足しているため、Python スキャンが失敗しました。
Unified Agent では、特定の pipfile 形式を解析するときに例外がありました。
ドキュメンテーション
次のトピックは非推奨になり、すべてのコンテンツが Unified Agent のドキュメントに統合されました。
統合するプラグインの選択
Unified Agent スキャンでプロジェクト名のみを提供する
構成推奨モード
Unified Agent スキャンの手順と概要
Unified Agent JSON レポートの例
次のトピックは完全に非推奨になりました。
ドキュメントのヒント
Kubernetes FAQ
ThreadFix 統合
Ruby プラグイン
Python プラグイン
NAnt プラグイン
Gradle プラグイン
Bower プラグイン
Bamboo プラグイン
Ant プラグイン
Fortify ソフトウェアセキュリティセンターの統合
既知の問題点
ドキュメントリポジトリのデフォルトの色が、特定の場所でダークブラウンに変更されました。ただし、特定のページで目次が依然として青いままです。WhiteSourceは問題を認識しており、Atlassianと協力して問題を解決しています。それ以外は、コンテンツへの影響は一切ありません。
バージョン21.1.1(2021年1月31日)
新機能とアップデート
Web UI
このバージョン以降、サービスユーザーの監査ロールをUIからユーザーに割り当てることができます。
Azure DevOps サービスの統合
WhiteSourceタスクのバージョンを20から21に更新しました。拡張機能の新しいバージョンを使用するには、パイプライン定義内でタスクを WhiteSource@20 から WhiteSource@21 に更新する必要があります。
[Project Settings] > [Extensions] > [WhiteSource] ページから、新しい WhiteSource 製品を作成するだけでなく、Azure プロジェクトを既存のWhiteSource 製品にマップする機能が追加されました。
解決された問題
Docker レイヤーに関していくつかの問題が解決されました。
同じ SHA1 を持つレイヤーは、1つのリソースとして表されました。
以前のスキャンで「不明」としてすでに作成された SHA1 を持つレイヤーはそのリソースとして認識されたため、表示名はレイヤーを反映していませんでした
SHA1 のあるレイヤーがインデックスで不必要に検索された
アラートウィジェットとライブラリページの間に不一致が見つかりました。
脆弱性ベースのアラート:[Security Vulnerability(セキュリティの脆弱性)] ページの [Vulnerable Libraries(脆弱性ライブラリ)] セクションで、ライブラリは特定のCVEによってフィルタリングされませんでした。その結果、CVEは無視され、フィルターは組織内のすべての脆弱なライブラリを返していました。
通知
Unified Agent の今後のリリースでは、Go モジュールの依存関係検出に対する主要な改善が導入されます。個別のパラメーターセットによって制御される、Go モジュール用に最適化された新しいリゾルバーがアクティブになり、Go 依存性解決をより具体的に制御するための道が開かれます。
バージョン20.12.3(2021年1月17日)
新機能とアップデート
Unified Agent は、GoogleDistrolessイメージのスキャンをサポートするようになりました。
npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係検出になりました。
解決された問題
Azure DevOps Services の統合:オープンソースリスクレポートの [Security vulnerabilities(セキュリティの脆弱性)] タブを開いたときに、データが重大度で並べ替えられませんでした。
Azure DevOps Services の統合:パラメーターを設定せずに WhiteSource タスクをYAMLベースのパイプラインに追加すると、エラーが発生しました。この修正の一環として、cwd パラメーターにデフォルト値が追加されました。
artifactVersion は有効な長さを超えるとインベントリの更新に失敗する不具合を修正しました。
Unified Agent は、小文字以外の設定値の解析に失敗していました。
project.assets.json ファイルが標準の場所に見つからなかった場合、UnifiedAgent は NuGet の依存関係を解決できていませんでした。
別のライブラリによって推移的な依存関係としても使用されていた Python の直接依存関係は、Unified Agent によって直接依存関係としてリストされていませんでした。
yum を使用せずにインストールまたは削除された RPM パッケージは、Unified Agent によって正しく識別されていませんでした。
バージョン20.12.2(2021年1月3日)
新機能とアップデート
Web UI
このバージョン以降、すべての新しい組織は、新しい脆弱性ベースのアラートモードで作成されます。
新しく拡張されたソースファイルマッチングアルゴリズムであるSmartMatchは、[Integrate] タブの [Advanced Settings] からアクティブ化できます。デフォルトは Weight のままです。
2つの新しいライセンスが追加されました。
GLWTPL
ODC-By-1.0
Unified Agent
開発者の依存関係を管理する機能を提供するために、新しいパラメーター python.includePipenvDevDependencies が追加されました。デフォルト値は true です。
解決された問題
グローバル検索でライブラリを検索し、同じ検索で脆弱性を検索すると、ページがライブラリ検索ページにリダイレクトされていました。
複数の requirments.txt ファイルを解決するときに、異なる依存性解決で依存関係のキャッシュがクリアされませんでした。
Unified Agentを実行しているときに、ArchiveExtractor は空のスペースで終わっているファイルの抽出に失敗していました。
Source File Inventory レポートで、ユーザーが権限のないファイルのライブラリを変更することを選択した場合、ライブラリの変更アクションは効果がなく、メッセージが表示されませんでした。現在、このアクションは、目的のファイルを選択してから、[Actions] > [Change Library] メニューを選択することによってのみ実行できます。ユーザーの権限が検証され、適切なメッセージが表示されます。
[AssignYourself] を繰り返し使用した後、ポップアップウィンドウが空白で表示され、ユーザーは必須フィールドを表示するために [AddLicenseReference]または [OverrideAll] をクリックする必要がありました。
SBT Coursier を実行している場合、プレステップフラグがアクティブ化されていても、Unified Agent はプレステップコマンドを実行していませんでした。
インデックス(libraryDataSync API)または管理コンソールのいずれかで更新されているライセンスを変更しても、アラートの計算がトリガーされていませんでした。
Unified Agent は packages.dbRPM データベースをサポートしていませんでした。
ドキュメントの更新
以下の統合ページはアーカイブされているため、使用されなくなります。そこに含まれるすべての資料は、Unified Agent パラメータのドキュメントに含まれます。
Gradle
Maven
Python
通知
次の UnifiedAgent リリースでは、npm.resolveLockFile フラグによって制御される最適化された NPM の依存性解決方法が、NPM のデフォルトの依存関係検出になります。これは、npm.resolveLockFile フラグの現在のデフォルト値を false から true に変更することで適用され ます。NPMプロジェクトのスキャン時間を改善することに加えて、このメカニズムによってより正確な結果が生成されます。以前の依存関係の検出で考慮されなかった、満たされていないオプションの依存関係やピアの依存関係は、ロックファイルで見つかったときに結果の一部になります。
バージョン20.12.1.1(2020年12月21日)
最新バージョン(20.11.2)で導入された、一致しないソースライブラリがプロジェクト/製品ページから欠落していた問題を修正しました。
バージョン20.12.1(2020年12月20日)
新機能とアップデート
Web UI
忘れたパスワードのリセットは、CAPTCHA テストで検証されるようになりました。
Go の依存関係の一時的な一致について、[Library Details] ページに免責事項が追加されました。
解決された問題
一部のライブラリでは、[Impact Analysis] ページに結果が表示されませんでした。
アトリビューションレポートでライブラリでフィルタリングしても、すべての結果が表示されるわけではありません。
Web UI では、ライブラリにライセンスが含まれていない場合は表示されませんでした。注:このバージョン以降、レビューが必要であることを示す表示が表示されます。
Azure 環境で、SAML 統合(ドメインおよびグローバルアカウントレベル)を保存/更新すると、HTTPエラー 500 が表示されてました。
脆弱性レポートでは、画面の凡例が不明確でした。
ドキュメントの更新
以下の統合ページはアーカイブされているため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。
Bower
Cargo
Cocoapods
Haskell
Hex (Erlang/Elixir)
Ocaml
Paket
php
Poetry
Ruby
SBT
さらに、次のページがアーカイブされています。
以下の統合ページはリリース20.12.2でアーカイブされるため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。
Gradle
Maven
Python
バージョン20.11.2(2020年12月6日)
新機能とアップデート
Web UI
Product ページと Project ページは、Libraries パネルでのフィルタリングとページ付けの改善を特徴とし、1000を超えるライブラリを持つプロジェクトのパフォーマンスとユーザーエクスペリエンスを改善します。
API
アトリビューションレポート:APIを介してエクスポートされたアトリビューションレポートからバージョンを除外できるようになりました
解決された問題
グローバルアカウントポリシーの保存時に例外が発生しました。
Unified Agent のスキャンログに、特定の Gradle 構成がありませんでした。
Azure DevOps Servicesの統合:場合によっては、200 MBを超えるビルドアーティファクトにより、次のいずれかのエラーが発生していました。
##[error]RangeError: Maximum call stack size exceeded
##[error]Error: "toString()" failed
Azure DevOps Servicesの統合:場合によっては、npmプロジェクトを含むプロジェクトをスキャンすると、次のエラーが発生していました:
##[error]Error: ENOTDIR: not a directory, scandir '/home/....../node_modules/.bin/acorn'
ドキュメントの更新
バージョン20.12.1以降、次の統合ページがアーカイブされるため、使用されなくなります。そこに含まれるすべての資料は、UnifiedAgentパラメータのドキュメントに含まれます。
Bower
Cargo
Cocoapods
Haskell
Hex (Erlang/Elixir)
Ocaml
npm
Paket
php
Poetry
Ruby
SBT
さらに、次のページがアーカイブされます。
バージョン20.11.1(2020年11月22日)
新機能とアップデート
Unified Agent
archiveExtractionDepth で構成されている最大抽出深度が10に増加しました。
Web UI
アトリビューションレポート:ユーザーは、 [include versions] チェックボックスをオフにすることで、アトリビューションレポートのエクスポートされたファイルのアーティファクトの名前からバージョンを除外できるようになりました。
API
読み取り専用のアクセス許可:setOrganizationAssignments APIを介してサービスユーザーに新しい監査ロールを割り当て、特定の組織のスコープ内で読み取り専用のアクセス許可を付与できるようになりました。
解決された問題
SBT sbtVersion コマンドから受信した例外のない出力 により、Unified Agent が例外をスローしていました。
Unified Agent は、SBT 組織コマンドの可能な出力を正しく処理しませんでした。
Unified Agent は、Linux で特殊文字で作成された .tar ファイルを抽出できませんでした。
新しいプロジェクトを作成するインベントリの更新リクエストを実行すると、getProjectVitals / getProductProjectVitalsAPI リクエストに Unified Agent のバージョンが表示されませんでした。
グローバル管理者ページから新しい管理者を追加しようとすると、ユーザーリストが空でした。
JSON ファイルを介して SCM を構成する場合、Unified Agent は現在のディレクトリをスキャンしました。
プロジェクトアソシエーション:製品リストのアイテム数の制限が削除されました。
バージョン20.10.2(2020年11月8日)
新機能とアップデート
Prioritize
Prioritize で C# のサポートが追加されました。
Prioritize に Java の高速スキャン分析モードを追加しました。
Azure DevOps サービスの統合 (2020年11月10日追加)
WhiteSource タスクログに WhiteSource サポートトークンを追加しました。
ドキュメントの更新
Unified Agent
使いやすさの向上、既存のコンテンツの更新、不足しているギャップの埋め合わせ、線形フローの作成を目的として、変更されたUnifiedAgentドキュメントリポジトリがリリースされました。
ドキュメントは、次の順序で4つの連続したトピック(ページ)にまたがっています。
概要ページ
前提条件、ダウンロード情報、構成情報などを含む入門ページ。
パラメータページ
高度なトピック(付録と同様)
ポリシー
既存のコンテンツを更新し、不足しているギャップを埋め、線形フローを作成することを目的として、変更されたポリシーページが起動されます。このページでは、2つの既存のポリシートピック(自動化されたポリシーとSDLC 全体でのポリシーの管理)をマージします。後者はアーカイブされているため、現在は使用されていません。
解決された問題
Unified AgentのArtifactoryスキャナーは、英数字以外の文字を含む文字列からURLを作成できませんでした。
感嘆符のサフィックスが付いたgemfile.lockファイルで定義された依存関係が誤って解決されました。
アクションが問題として定義されているポリシーは、作業項目の問題を作成できませんでした。
特定の条件下で、問題タイプのポリシーを操作しているときに、作業項目データの読み込み中に例外が発生しました。
解決された問題-AzureDevOpsサービスの統合(2020年11月10日追加)
管理者以外の権限を持つユーザーがWhiteSourceオープンソースリスクレポートを表示できない場合がある問題を修正しました。 既存のすべてのWhiteSourcefor Azure DevOps Services拡張機能ユーザーは、このバージョンで適用された拡張機能のアクセス許可の変更を承認する必要があります。 新しい変更を承認するには、次のようにします。
[Organization Settings] > [Extensions] > [Installed] > [WhiteSource for Azure DevOps Services] に移動します。
[Review] をクリックします。[Authorize WhiteSource for Azure DevOps Services] ポップアップが表示されます。
[Authorize] をクリックします。
GitHubリポジトリに基づいてプロジェクトをスキャンすると、RangeErrorエラーが発生しました。
バージョン20.10.1.1(2020年11月4日)
setProductAssignments リクエストの処理終了時に、エラーコード3000と無効な リクエスト パラメータ エラーメッセージが表示される問題を修正しました。
バージョン20.10.1.1(2020年11月2日)
Azure DevOps Services の統合:場合によっては、WhiteSource タスクを含むパイプラインビルドを実行すると、toString() 失敗エラーが WhiteSourceビルドタスクログに表示され、スキャンが失敗しました。
バージョン20.10.1(2020年10月25日)
新機能とアップデート
WhiteSource コア
WhiteSourceは、業界標準に準拠するために、ドラッグアンドドロップでライブラリを検索するオプションを削除することを決定しました。ライブラリの検索は、ライブラリの名前を入力することによってのみ実行できるようになりました(2020年11月1日追加)。
Azure DevOps サービスの統合
特定のパイプラインビルドで使用されるカスタム UnifiedAgentConfiguration パラメータを指定する機能が追加されました。このために、新しいフィールド WhiteSourceConfiguration が WhiteSource タスクに追加されました。詳細については、こちらを参照してください。
ドキュメントの更新
Unified Agent
バージョン20.10.2(おおよそのリリース-11月8日)から、使いやすさの向上、既存のコンテンツの更新、不足しているギャップの埋め合わせ、線形フローの作成を目的として、変更されたUnifiedAgentドキュメントリポジトリが起動されます。
ドキュメントは、次の順序で4つの連続したトピック(ページ)に分散されます。
概要ページ
前提条件、ダウンロード情報、構成情報などを含む入門ページ。
パラメータページ
高度なトピック(付録と同様)
詳細については、次のリリースノートで説明します。
ポリシー
バージョン20.10.2(おおよそのリリース-11月8日)以降、既存のコンテンツを更新し、不足しているギャップを埋め、線形フローを作成することを目的として、変更されたポリシーページが起動されます。このページでは、2つの既存のポリシートピック(自動化されたポリシーとSDLC全体でのポリシーの管理)をマージします。後者はアーカイブされるため、使用されなくなります。
解決された問題
プロジェクト情報オブジェクトの座標にバージョンがない場合、Unified Agent の実行に失敗していました。
大規模なPHPプロジェクトを解決しようとしたときに、Unified Agent が失敗していました。
Azure DevOps Services の統合:Linuxビルドエージェントを使用している場合、WhiteSource タスクを使用したパイプラインビルドが GitHub リポジトリのスキャンに失敗しました。
npm.resolveLockFile パラメーターによって制御される最適化された NPM の依存性解決メソッドは、重複する依存関係を正しく処理しませんでした。これにより、Unified Agent によって送信される要求のサイズが増加しました。
[問題の作成]ポリシーを適用すると、組織内のすべてのプロジェクトで問題が誤って作成されました(2020年11月1日追加)。
グループ割り当てを更新するときに、SAML はドメインからユーザーを誤って削除していました(2020年11月1日追加)。
setProductAssignments と setOrganizationAssignments API 呼び出しにおいて、groupAssignments または userAssignments いずれかに複数の値を入力していると、すべての値が無視されていました。修正により、今後は最初の値が割り当てられます(2020年11月1日追加)。
コメント付きの既存のマッピングがすでに存在する場合、ユーザーはソースファイルライブラリを変更できていませんでした(2020年11月1日追加)。
バージョン20.9.2.2(2020年10月15日)
WhiteSourceコア
社内/ホワイトリストから削除されたライブラリに適用された製品スコープで定義された CREATE_ISSUE ポリシーにより、組織のスコープに CREATE_ISSUE ポリシーがない場合、組織のすべてのプロジェクトでチケットが作成されました。
バージョン20.9.2.1(2020年10月15日)
Unified Agent
新しい最適化された NPM 依存性解決方法を使用して、Unified Agent の要求サイズに異常が見られたため、デフォルトの NPM 依存関係検出方法が「npmls」コマンドの実行に変更されました。
バージョン20.9.2(2020年10月11日)
新機能とアップデート
WhiteSource コア
npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係検出方法になりました。この変更は、以前の既定値の切り替えによって導入された npm.resolveLockFile のフラグの現在のデフォルト値を false から true に変更することで適用されています。これにより、NPMプロジェクトのスキャン時間が大幅に改善され、より正確な結果が得られます。
機能の変更
Oracle Development License のライセンス名(以前にアプリケーションに表示されていたもの)は、正式な名前である Oracle Technology Network LicenseAgreement に従って表示されます。
解決された問題
Kubernetes エージェントのスキャン中に、スキャンされたコンポーネントに同じ画像が複数回含まれていると、不正とみなされ例外が発生していました。
アトリビューションレポートで、例外ライセンスのある GPL 2.0 が、GPLv2 ライセンスの挿入テキストとして誤って表示されていました。
PHP をスキャンするときに、1つ(または複数)のパッケージのロックファイルに「ソース」要素がない場合、Unified Agent が例外をスローしていました。
バージョン20.9.1(2020年10月4日)
新機能とアップデート
WhiteSource コア
現在、カスタム属性レポートにアクセスすると、レポートのデータが自動的に取得されます。組織に多くのライブラリと多くのカスタム属性が定義されている場合、これには時間がかかる可能性があります。 このバージョンから、[Apply] ボタンが追加され、ユーザーはオンデマンドでのみデータを取得できるようになりました。
Unified Agent
このバージョン以降、コンフィギュレーションファイルを使用して Unified Agent を実行しなければならないという厳密な要件が削除されました。必須パラメータが Unified Agent に渡されると、サポートされているいずれかの方法で、設定ファイルが欠落している場合でも、Unified Agent を失敗させることなく実行できます。
このバージョン以降、スキャン中にYarnロックファイル(yarn.lock)が見つかった場合、npm.yarnProjectフラグを明示的に設定しなくても、依存関係の検出に使用されます。
解決された問題
組織のポリシーページから既存のインベントリにポリシーを適用する場合、製品とプロジェクトのポリシーが無視されていました。
ユーザーの保留中のすべてのタスクをユーザーに再割り当てすると、インベントリへのリクエストの承認者が適切に更新されていませんでした。
2つの Maven プロジェクトが同じ名前で定義された場合、両方のプロジェクトが部分的なデータでしか作成されませんでした。導入された修正により、同じ名前のプロジェクトが複数ある場合に備えて、プロジェクト名にサフィックス(_1、_2)が追加されるようになりました。
バージョン20.8.2(2020年9月13日)
新機能とアップデート
Helm バージョン3 のサポートが、Kubernetes 統合のために正式に導入されました。
解決された問題
hex.ignoreSourceFiles が trueに設定されている場合、Unified Agent が .erl ソースファイルを無視しませんでした。
グループが SAML 統合を介して作成され、ダッシュボードから手動で削除された場合、例外が発生しました。
注意事項
Unified Agentの次の2つのリリースでは、NPM依存関係の検出が大幅に改善されます。npm.resolveLockFile フラグによって制御される最適化された NPM 解決方法が、NPM のデフォルトの依存関係の検出方法になります。これは、npm.resolveLockFile フラグの現在のデフォルト値を false から true に変更することで適用されています。これにより、NPMプロジェクトのスキャン時間が大幅に改善され、より正確な結果が得られます。
バージョン20.8.1.1(2020年9月2日)
解決された問題:
NuGet バージョン標準に従って不正確なバージョンの packages.config または .csproj で定義された NuGet パッケージは認識されることなくスキャン結果が表示されます("Requires Review" になります)。この修正により、これらのパッケージはスキャン結果に表示されなくなります。
バージョン20.8.1(2020年8月30日)
新機能とアップデート
Unified Agent
Docker プロジェクト名の新しいフォーマットがサポートされました- repositoryName Docker リポジトリ名のみに基づいています- 。この形式は、docker.projectNameFormatパラメーターをrepositoryNameに設定することで適用できます。
また、名前の既にサポートされているフォーマットrepositoryFormatはに変更されましたrepositoryNameAndTag(それが廃止されますが、正式な名前の形式はまだサポートされています)。
現在、3つのサポートされている形式があります。
デフォルトのフォーマットは、Dockerリポジトリの名前、タグ、IDで構成されています。
repositoryNameAndTag(以前として知られているrepositoryFormatは) Docker リポジトリ名とタグで構成されています。
repositoryNameは唯一 Docker リポジトリで構成されています。
Prioritize
集約モジュールモードがサポートされています(-aggregateModules フィールドを使用)。
機能の変更
プロジェクトの関連付けページで、製品列が選択列からテキスト列に変更されました。現在、プロジェクトの関連付けは、目的のプロジェクトをチェックして[製品に割り当て]を選択し、ドロップダウンリストから目的の製品を選択することによってのみ利用できます。
「APPEND」更新要求を使用する場合、TRANSITIVE依存関係のみが追加されているまれなケースで、新しい推移的依存関係が直接依存関係として追加されるため、アラートやポリシーなどのアプリケーションのすべてのメカニズムがそれに適用されます。これは、現在の動作に対する変更です。新しい依存関係を推移的に追加するために、ユーザーは追加要求の後に別の「上書き」更新要求を実行できます。
解決された問題
Gradleリゾルバーを実行しているときに、依存関係がない場合、Unified Agentは.jar依存関係のみをダウンロードしようとします。
アーティファクトのGAV座標が変更されるというまれなユースケースでは、Gradleスキャンはこのアーティファクトの正しい署名を生成しませんでした。
リクエスト解決ステータスレポートで、レポートの上部に間違ったパスが表示されました。
脆弱性レポートで、JSON形式にLocations列がありませんでした。
Haskellプロジェクトのplan.jsonファイルをスキャンすると、1つの子に依存関係がない階層を構築するときにnullPointerExceptionが発生しました。
アプリケーションのホーム画面で、保留中のタスクの承認/拒否の一括アクションがタイムアウトしました。これにより、UIがハングし、リクエストはレビュー済みとしてマークされませんでした。
ソースライブラリを使用してDockerイメージをスキャンすると、「階層」ツリーには、それらのソースファイルと一致するソースライブラリの複製が含まれていました。
バージョン20.7.3.1(2020年8月24日)
解決された問題:
依存関係の階層が深いGradleプロジェクトを解決すると、インデックスの範囲外の例外が発生しました。
バージョン20.7.3(2020年8月16日)
新機能とアップデート
Web UI
このバージョン以降、現在サポートされていないタイプの必須フィールドを持つJiraプロジェクトに基づいてポリシーを作成/編集するときに、Jiraでデフォルト値が定義されている場合、操作は成功します。
API
同じプロジェクトのスキャンが同時に実行されているときにプロジェクトのスキャンが要求された場合、新しいスキャンはスキップされます。このバージョン以降、スキャンのために返されるJSONファイルは、FINISHEDではなくSKIPPEDステータスを指定します。
解決された問題
Debian Dockerイメージのステータスファイルが空の場合、スキャンの結果、依存関係はありませんでした。
ポリシー画面で、すべての変更が適切に保存されていても、変更が保存されないことを示すポップアップが表示されました。
DependencyNodeRepositoryImplクラスのメソッドupdateNodesParentAndMrを呼び出すと、TimeoutExceptionがスローされました。
優先度フィールドと担当者フィールドは、Jiraプロジェクト自体で定義されていない場合でも、Jiraベースのポリシー作成に表示されました。
Jfrog Artifactoryバージョン7での変更により、プロパティ名haAwareEtcDirがetcDirに変更されたため、WhiteSourceアーティファクトリープラグインで例外がスローされました。
既知の問題点
ソースファイルを含むDockerイメージをスキャンすると、階層ビューでソースライブラリが重複して表示されます。
お知らせ
次の2つのリリースでは、すべての必須パラメーターが設定されている(コマンドラインパラメーターとして、または環境変数によって渡される)場合、WhiteSourceは構成ファイルを用意する必要をなくすことにより、Unified Agent構成を改善します。
バージョン20.7.2(2020年8月2日)
新機能とアップデート
WhiteSourceコア
SAMLセッショントークンの継続時間(IDP認証からWhiteSourceログインまでの時間)が10分から5分に変更されました。
API
新しいAPI setNoticeにより、ライブラリの通知の値を設定できます。
Unified Agent
Linux RPMベースのイメージのDockerスキャンが改善されました。
ユーザーは、環境変数を使用してUnified Agentパラメータを設定できるようになりました。
GoプロジェクトのBazelサポートがWindowsに拡張されました。Unified Agentは、Bazel Gazelleによって生成されたgo_repositoryルールを使用して、LinuxとWindowsの両方のGoプロジェクトをスキャンできるようになりました(こちらを参照)。
解決された問題
組織が削除されると、データ、特にアラートが削除されました。これにより、テーブルがロックされている場合にタイムアウト例外が発生しました。
特定のシナリオで、製品の割り当てを読み込むときにnullポインタ例外が発生しました。
特定の条件下では、yarn.lockからの依存関係の解決に問題がありました。
Unified Agent Dockerスキャンの特定の条件下で、類似したファイル名はあるが内容や形式が異なる場合に例外が発生しました。
Kubernetesのデプロイメント手順では、初期構成された遅延は考慮されていませんでした。
Gradleの優先順位付けマルチモジュールアナライザーを実行すると、build.gradleがないモジュールが正しく処理されませんでした。
特定の条件下で、policyRejectionSummaryファイル内のリンクフィールドの形式に問題がありました。
特定の条件下で、[プロジェクトの関連付け]ページの読み込みが遅くなり、404エラーが発生しました。
バージョン 20.7.1.3(2020年7月26日)
解決された問題:
特定の状況下で、ライブラリ階層ビューが期待どおりに機能しませんでした。
特定の状況下で、組織/プロジェクトの削除が非常に遅くなるか、エラーで終了しました。
バージョン20.7.1(2020年7月19日)
新機能とアップデート
Unified Agent
dockerイメージをスキャンするユーザーは、パッケージに関する情報をレイヤー単位で受け取ることができます。docker.layersパラメーターをtrueに設定することにより、新機能を有効にすることができます。レイヤーの粒度は、階層表示(階層として表示)の下のUIで表示できます。
npm.resolveLockFileフラグによって制御される最適化されたNPM解決方法の改善が導入されました。改善には、精度の向上に加えて、スキャン時間の短縮が含まれます。この機能を有効にするには、npm.resolveLockFileをTrueに設定します。
新しいフラグnpm.ignoreDirectoryPatternsにより、ユーザーは無視されたディレクトリのリストを特定できます。
BazelのサポートがGoプロジェクトに拡張されました。Unified Agentは、Bazel Gazelleによって生成されたgo_repositoryルールを使用してLinuxマシンのGoプロジェクトをスキャンできるようになりました(こちらを参照)。
WhiteSourceコア
特定の条件下で、アプリケーションに脆弱性がない場合、AVMエージェントによって更新されませんでした
一般的な機能強化
「解決要求ステータス」レポートには、[レポート]メニューからアクセスできるようになりました。
解決された問題
特定の条件下では、Dockerイメージのスキャン時にパッケージデータベースの解析に失敗した後、Unified Agentは依存関係を返しません。
ソースファイルウィジェットで、ページを更新した後、[ライブラリの変更]列が表示されませんでした。
特定の条件下では、有効利用分析の要約レポートに不正確さがありました。
特定の条件下で、Gradleの依存関係をダウンロードしようとすると、リダイレクト後にユニファイドエージェントに問題が発生しました。
バージョン20.6.2(2020年7月5日)
新機能とアップデート
WhiteSourceコア
Unified Agent
Unified AgentのcheckPolicies-json.txtファイルには、この情報が利用可能な場合、各コンポーネントのシステムパスとマニフェストファイルパスが含まれるようになりました。
新しいパラメーターpython.localPackagePathsToInstallを使用すると、ユーザーは、必要に応じて、前のステップでインストールされるローカルパッケージパスのリストを構成できます。
API
getProjectVitalsの新しい応答であるLast Scan Commentは、ユーザーのスキャンコメントを返します。
一般的な機能強化
以下をアップグレードしました:
WildFlyからバージョン10.1.0へ
jQueryをバージョン3.5.0に
Unified AgentのバージョンがWebアプリケーションのProject Vitalsに表示されます。
Docker画像検索メカニズムが改善され、UAスキャン時間が短縮されました。
解決された問題
リスクレポートの一般概要パネルで、製品を選択すると、誤ったタイトルとリンクが表示されました。
getOrganizationInHouseLibrariesリクエストの処理中に、Nullポインタ例外が発生しました。
「レビューが必要」が組織/製品/プロジェクトで最も一般的でないライセンスである状況では、ライセンスダッシュボードが機能しなくなります。
アトリビューションレポートでは、ヘッダーの配置に問題がありました。
HTML依存関係の解決におけるプロキシ設定に問題がありました。
TeamCityプラグインは、チェックポリシーリクエストの結果として常に失敗しました。
特定の条件下で、SBTの依存関係をスキャンするとエラーが発生しました。
Pythonプロジェクトで使用されるローカルライブラリが検出されませんでした。この機能はこのリリースで導入され、python.localPackagePathsToInstallフラグによって制御されます。
既知の問題点
フィールドの最後のスキャンコメントに複数の行が含まれている場合、最初の行のみがプロジェクトの重要領域に表示されます。
お知らせ
次のリリースでは、npm.resolveLockFileフラグによって制御される最適化されたNPM解決方法の改善が導入されます。改善には、精度の向上に加えて、スキャン時間の短縮が含まれます。この機能を有効にするには、npm.resolveLockFileをtrueに設定します。
バージョン20.6.1.1(2020年6月30日)
解決された問題
特定の状況下で、csprojファイルのNuGet依存関係の検出により、依存関係のバージョンが不正確になりました。
バージョン20.6.1(2020年6月21日)
新機能とアップデート
WhiteSourceコア
Web UI
アトリビューションレポートでは、次のようないくつかの機能強化が行われています。
レポートに含める/レポートから除外するフィールドを選択します
レポートにフィルターを適用する
レポートにカスタム属性を含める
レポートをJSON形式にエクスポートする
空の値を含むフィールドを非表示にする
このバージョンから、脆弱性ページの表示に、前月に変更された脆弱性が表示されます。
このバージョン以降、WhiteSource Expert Fixは、推奨される修正のリストでお客様に推奨される最初のソリューションです。
Unified Agent
このバージョンでは、Dockerized Unified Agentが導入されています。詳細については、こちらをご覧ください。
Bazel解像度がデフォルトで有効になりました。UAはBazel for Javaプロジェクトをサポートするようになりました。次の2つのルールがサポートされています:maven_install、maven_jar。
このバージョンでは、Unified Agent Dockerスキャンによる OpenSUSE Leap イメージのサポートが導入されています。
解決された問題
リモートリポジトリが含まれていると、Artifactory Docker仮想リポジトリスキャンが失敗しました。
特定の条件下では、UAは適切なログメッセージなしで終了します。
特定の状況下で、C#パッケージの識別に問題がありました。
[ライブラリの詳細]ページでは、脆弱性が有効なライブラリのみが表示されませんでした。
脆弱性の有効性に基づいてポリシーを定義するときにJiraの問題を作成しようとすると、例外が発生しました。
Webアプリケーションのアラートレポートで、EUAの「シールド」が表示されませんでした。
Jiraサーバーの問題は、間違った割り当て先パラメーターのために作成されませんでした。
NuGetスキャン中に、欠落ファイルへの参照に続いて例外が発生しました。
バージョン20.5.2(2020年6月7日)
WhiteSourceコア
Web UI
Prioritizeがインストールされているお客様の場合:このバージョンから、ポリシーを作成するときに、脆弱性の重大度と効率で照合できます。
[Originライブラリの変更]画面の新しいオプションである[ すべてのソースファイルに一致するリポジトリのみ ]は、ユーザーがすべてのソースファイルが存在するライブラリのみを表示できるようにすることで、リクエストをより効率的にします。
APIとアトリビューションレポートでカスタム属性がサポートされるようになりました。
API
Prioritizeがインストールされているお客様の場合: ポリシーAPIのVULNERABILITY_SEVERITYに「effectiveVulnerabilitiesOnly」フラグが追加されました。
解決された問題
特定の状況下で、nuspecファイル内の特定の形式のパッケージバージョンが原因で、NuGetの解決に失敗しました。
特定の状況下で、packages.configが存在する場合、NuGet解決で誤ったコマンドが実行されました。
他のcsprojファイルを参照するときに、csprojファイルにフルパスを指定するオプションはありませんでした。
Jira APIパラメータ「クエリ」(「ユーザー名」に置き換わりました)は、すべての顧客に対して機能しませんでした。
wss_resourceVulnerabilitiesテーブルでは、sourceFileHashesマッピングがない場合、セキュリティアラートは計算されません。
特定の状況下で、Rubyスキャンが失敗しました。
Unified Agent では、ヤーンスキャンの依存関係に2つのバージョンがあると、スキャンが失敗しました。
既知の問題点
ライブラリの詳細ページでは、脆弱性が有効なライブラリのみが表示されません。
Version 20.5.1(2020年5月24日)
新機能とアップデート
WhiteSourceコア
Web UI
ADD / EDITポリシー関数では、文字列、文字列配列、ユーザー、数値の必須フィールドもサポートされるようになりました。プロジェクトで課題のタイプを選択すると、必須フィールドが表示され、それらを入力する必要があります。
一部のレポートでは、複数の選択を含むすべてのパネルに以下が追加されました
データグリッドパネルの行を選択するときに表示される、選択された行の数のカウントインジケーター。このカウンターは、行を選択/選択解除すると自動的に更新されます。
カウンターの横にある「選択のクリア」ボタンをクリックすると、選択したすべての行がクリアされます。
Unified Agent
このリリースから、Nuget のライブラリ解決が向上し、デフォルトでシステムパッケージをスキャン結果から除外することにより、他のリゾルバーに合わせられます。
このバージョン以降、npm.ignoreSourceFiles が設定されている場合、.coffeeソースファイルは考慮されません。
解決された問題
ラムダサーバーレス実装のHTTP呼び出しの1つにプロキシサポートがありません。
Gradle ライブラリ解決の特定の状況下で、空のファイルでハッシュが計算されました。
プロトコルを含まないライセンスリンクは、サイト内の相対的なリソースと見なされたため、ベースURLが href に追加されました。
インベントリレポートでアクションを実行した後、選択がクリアされませんでした。
データベースに重複があるソースライブラリを同期しようとしたときに、既存のソースライブラリを削除しようとしました。
複数の選択があるチェックボックスなどの一部のレポートには、選択したアイテムに対して実行するアクションがありませんでした。
担当者が存在するが、Unified Agentの初期リストに表示されなかった場合、ユーザーは課題タイプのポリシーを作成できませんでした。
特定の条件下では、Artifactory プラグインはチェックポリシーのコンプライアンスリクエストでリポジトリ名として製品パラメーターを送信します。
既知の問題点
Jira ベースのポリシーを作成する際、選択したプロジェクトの課題タイプにフィールド「担当者」または「優先度」が含まれていない場合、ポリシーは正常に作成されたように見えますが、チケットは生成されません。
バージョン20.4.2(2020年5月10日)
新機能とアップデート
WhiteSourceコア
Web UI
[ライブラリの詳細]画面の新しい[ 集計データ]タブには、ライセンス、ポリシー、脆弱性、およびライブラリデータの集計データが表示されます。
Unified Agent
このバージョンでは、yarn の npm.ignoreScripts パラメーターのサポートが導入されています。
Goプロジェクトのスキャンが改善されました。
API
ライセンス SPDX 名とライブラリの著作権が getProjectLicenses、getOrganizationLicenses および getProductLicenses APIに追加されました。
機能の変更
現在、setProductAssignments API呼び出しに無効なロールを入力すると、「製品の割り当てが正常に設定されました」という応答が返されます。 このバージョンから、API呼び出しによって正常に設定された割り当てを含むように応答が変更されました。 また、さまざまな警告メッセージを含む「warningMessages」という名前の追加リスト(APIバージョン1.3以降で利用可能)も含まれています。
次のUnified Agentリリースでは、デフォルトでシステムパッケージをスキャン結果から除外することにより、NuGet のライブラリ解決が改善され、他のリゾルバーに合わせられます。
解決された問題
ライセンス互換性レポートは、手動で上書きされたライセンスを認識しませんでした。
アンインストールされたOSパッケージがスキャンに含まれていました。
特定の状況下で、setProductAssignments APIにAlert ignorers ロールがありませんでした。
スキャンレポートの「policyStatistics」セクションと「vulnerabilityStatistics」セクションのセキュリティ重大度の計算が揃っていません。
Linuxの循環シンボリックリンクを含むスキャンされたプロジェクトに関する問題。
Azure レジストリイメージがスキャンされるときに、Unified Agentのログに不要な情報が出力される問題。
既知の問題点
ライブラリーが直接依存関係と推移依存関係の両方として表示される場合に、ライブラリーの集約データが表示されないという問題が存在します。
バージョン20.4.1(2020年4月26日)
新機能とアップデート
WhiteSourceコア
Web UI
リスクスコアがライセンスOpen LDAP 2.4に追加されました。
Unified Agent
このバージョンは、Poetry のグローバルパッケージのサポートを提供します。
Unified Agent は、yarn の依存関係の解析/収集に加えて、依存関係(直接および推移的)を持つ yarn のワークスペースを階層ツリーとして追加できるようになりました。
Bambooプラグイン
このバージョンでは、バージョン7.0.3までのBambooサーバーのサポートが導入さ れています。
機能の変更
このバージョン以降、すべてのケースで、ignoreSourceFilesが最上位フォルダーで考慮されます。
このバージョン以降、ignoreSourceFilesが設定されている場合、Mavenリゾルバーは.jar、.war、.ear、.zipファイルを無視しません。
レポーターを必要とする問題にレポーターを設定する場合、レポーター名と表示名を挿入するためのテキストボックスがあった以前の方法ではなく、リストからレポーターが選択されます(担当者の選択と同じ)。
Unified Agent 設定maven.ignoredScopes = NONEは、Mavenプロジェクトで優先度を実行するための前提条件ではなくなりましたが、デフォルト設定のままです。 Unified Agent 構成ファイルのパラメーター設定に関係なく、優先順位付け分析はテストスコープの依存関係を無視します。
解決された問題
特定の条件下で、MultiModuleAnalyzerが大規模なGradleマルチモジュールプロジェクトで実行されると、特定のモジュールが無視されました。
優先順位付けで、Maven前提条件がmavenIgnoredScopesを誤って使用していました。
特定の条件下で、Unified Agentがオフライン要求で空の依存関係値を送信しました。
Jira課題を開くために必須フィールドを取得する際、Jiraプロジェクトは考慮されませんでした。
特定の条件下で、一部のDockerイメージパッケージ(centos)に同じハッシュ値キーがありました。
Rマネージャーパッケージャが関係する場合、ライブラリの一致フラグがオンで、パッケージにsha1がない場合、このパッケージの追加のsha1は無視されました。
最後のRVI同期試行をフェッチすると、別のプロセスが同じオブジェクトを更新しているため、OptimisticLockException(AbstractSyncServiceImpl:78)がスローされます。したがって、バージョンが変更されます。
RVI同期タスクが初めて作成されたとき、タスク名なしで作成されました。
特定の条件下で、RedHatライブラリが顧客データベースから欠落していました。
特定の条件下で、Dockerイメージ(Centos:8)のrpmスキャンを実行した後、解決する必要のあるアイテムが110個以上残っていました。
Jiraでは、特定の条件下で、Jira APIの変更が原因で以下が発生しました:
課題は担当者なしで作成されました
レポーターが必須として定義されている場合、問題は作成されませんでした
APIを介して課題ポリシーを追加できませんでした
この修正は、新しいポリシーに自動的に適用されます。既存のポリシーの場合、顧客がレポーターまたは担当者を定義した場合、それらのポリシーを編集し、担当者とレポーターを再入力して保存する必要があります。
バージョン20.3.3、20.3.2(2020年4月12日)
新機能とアップデート
WhiteSourceコア
Web UI
ライブラリの詳細ページで、ユーザーはライセンステキストをライブラリの特定のライセンステキストに手動で上書きできるようになりました。新しいライセンステキストは、UIとAPIの両方で、アトリビューションレポートとリリース管理ダッシュボードに表示されます。
アトリビューションレポートで、コメント付きの手動で割り当てられた著作権について、ライブラリの著作権セクションのコメントと呼ばれる新しいセクションにコメントが表示されるようになりました。
Unified Agent
Unified AgentはScala sbt-coursierとsbt 1.3.xをサポートするようになりました。
ACRレジストリへのDocker Azureログインがサポートされるようになりました。
Prioritize
新しいxModuleAnalyzerコマンドラインパラメーターであるEuaMaxTotalMemAllocを使用すると、ユーザーはマルチモジュール分析を実行するためのメモリ割り当て設定を指定でき、次のオプションから選択できます。カスタム指定のメモリ割り当て。利用可能なすべてのメモリの割り当て。WhiteSourceによって設定されるデフォルトの最小設定。
新しいxModuleAnalyzerコマンドラインパラメーターignoreEuaNoticesにより、ユーザーは、xModuleAnalyzerによるモジュールの分析後に返されるEUAコードを無視するための設定を指定できます。
新しい指定されたxModuleAnalyzerログファイルは、各モジュールの分析後に返されたEUAコードの集約された要約をキャプチャし、以前は独立したモジュールログでのみキャプチャされた詳細を特徴としています。
分析エラーが原因ではなく、マルチモジュール設定の1つ以上のモジュールが実行/完了に失敗した場合、新しいxModuleAnalyzerメッセージが表示され、キャプチャされます。
機能の変更
アトリビューションレポートでは、著作権セクションにライセンステキストが表示されなくなりました。
プラグインリクエスト履歴レポートで、「fs-agent」が「unified-agent」に変更されました。
解決された問題
ソースファイルインベントリレポートがユーザー特権に従ってプロジェクトをフィルタリングしない、つまり、プロジェクトAのメンバーではないユーザーがそのプロジェクトのソースファイルとライブラリを引き続き表示できるというアクセス許可の問題がありました。
[すべての製品]ドロップダウンリストはアルファベット順に並べ替えられていませんでした。
大規模なNPMプロジェクトの特定の条件下で、2つのスキャンを実行すると、StackOverflowErrorが発生しました。
特定の条件下で、modules.txtファイルに解析の不規則性がありました。
特定の条件下で、「paket.lock」ファイルを解析するときに例外が発生しました。
特定の条件下で、パケットスキャンの結果にNuGetに関する情報が表示されました。
特定の条件下で、Unified Agentで、failErrorLevelとimpactAnalysisをマージしたため、Gradleが失敗しました。
AVMのFortifyクライアントで、「ssc」を含むURLを持つクライアントの解析中にエラーが発生しました。
特定の条件下で、maven.ignoredScopesフラグが期待どおりに機能しませんでした。
Mavenスキャンにより、Maven依存関係が失われました。
ライセンス互換性レポートには、オーバーライド機能を使用した後でも複数のライセンスが表示されていました。
ignoreSourceFilesが「includes / excludes」スキャン結果に影響を及ぼしました
デフォルトのpaket.exeパスに誤ったパスが誤って割り当てられていました。
特定の条件下で、NuGetリゾルバーに誤ったバージョンが含まれていました。
バージョン20.3.2、20.3.1(2020年3月29日)
新機能とアップデート
WhiteSourceコア
Unified Agent
Cabalバージョン3のサポートが提供されます。
Prioritize
新しいパラメーターignoreEuaNoticesを使用すると、ユーザーは、一般的にEUAコードを無視するか、または「情報」問題(つまり、重大なエラーではない)を示唆するコードのみを無視するかを指定できます。
機能の変更
以前は、ライブラリロケーションレポートでは、ライブラリにパスがない場合、UIに「N / A」と表示されていました。これは空の文字列に変更されました。
次の2つのスプリント内で、WhiteSourceは、主にMavenの解決に関して、 Unified Agent のスキャン結果を改善します。ignoreSourceFilesが設定されている場合、.jar、.war、.ear、.zipなどのバイナリがスキャンに含まれます。
さらに、pomファイルにパッケージが表示されると、ignoreSourceFilesが最上位フォルダーで考慮されます。
解決された問題
一部のnupkgライブラリでは、バージョンセパレータとして表示名にダッシュ( '-')が含まれていないライブラリは、同じライブラリとして認識されなかったため、複数のライブラリバージョンが生成されませんでした。
.PDFに生成すると、リスクレポートの同じライブラリの異なるバージョンの使用セクションのタイトルが異なりました。
特定の状況で、goGradleスキャンがnullポインタ例外で失敗しました。
リゾルバーのbomファイルの重複により、リゾルバーの順序が変更されました。
脆弱性は存在しましたが、Effective Usage Analysisダッシュボードに0%のカバレッジが表示されました。
特定の条件下で、更新リクエスト中に製品の承認者を取得すると、NoSuchElementExceptionが発生しました。
特定の条件下で、Go 1.14の解析機能が正しく機能しませんでした。
特定の条件下で、Dockerイメージのスキャンで例外が発生しました。
特定の条件下で、新しいバージョンのアラートが作成されませんでした。
バージョン20.3.1、20.2.2(2020年3月15日)
新機能とアップデート
WhiteSourceコア
Unified Agent
新しいパラメーターpython.resolvePipEditablePackagesは、編集可能モード(-e)でのpipのサポートを有効にし、PythonプロジェクトのWhiteSourceに追加の依存関係を提供します。
新しいパッケージマネージャーのサポート:このバージョンでは、Gradle Kotlin DSLのサポートが導入されました。
Web GUI
アトリビューションレポートで、著作者情報に著作者名が表示されるようになりました。
API
新しいAPIリクエスト「getProjectLicensesTextZip」により、getLicensesTextZip APIのプロジェクトレベルのスコープが有効になり、法的なビジネスニーズに対してより詳細な結果が提供されます。
新しいAPIリクエスト「getProjectCopyrightsTextFile」により、getCopyrightsTextFile APIのプロジェクトレベルのスコープが有効になり、法的なビジネスニーズに対してより詳細な結果が提供されます。
解決された問題
マルチモジュールアナライザーが少なくとも12のプロジェクトをスキャンしたときに、一部のプロジェクトでランダムに失敗することがありました。ただし、単一のプロジェクトをスキャンする場合、そのような問題はありませんでした。
バージョン20.2.1、20.2.2(2020年3月1日)
新機能とアップデート
WhiteSourceコア
Unified Agent
[ライブラリの詳細]ページが再設計され、情報が4つの個別のタブに整理されるようになりました。
Unified Agent はSBT 1.3.x以降をサポートするようになりました。
解決された問題
優先順位付けの脆弱性分析ペインで、分析カバレッジが100%を超えました。
Unified Agentは、virtualenvコマンドを使用してPythonの依存関係を解決できませんでした。
一部のPythonライブラリについて誤った説明がありました。
Debianインポーターは、リリース日がないとファイルをダウンロードできませんでした。
特定の状況下で、脆弱なすべてのソースファイルをブラックリストに登録した後でも、CVEがWebアプリケーションに表示されました。
有効利用分析では、マルチモジュールアナライザーが複数のプロジェクトをスキャンしたときに、それらのプロジェクトの一部がランダムに失敗することがありましたが、単一のプロジェクトをスキャンした場合は問題は発生しませんでした。
「ベースディレクトリ」は、古いユニファイドエージェントと新しいユニファイドの間で異なり、それにより顧客に誤った結果を引き起こしていました。
バージョン20.1.3(2020年2月16日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
ポリシー機能では、バグレーティングとバージョンアクティビティの一致タイプが削除され、これらのタイプの新しいポリシーを追加する方法がなくなりました。ただし、これらのタイプの既存のポリシーは編集可能です。
API
WhiteSourceで可能な脆弱性が関連付けられているソースファイルを可能な限り入手したいお客様のために、getProjectAlertsByType APIの新しいオプションのパラメーターを使用して、応答に脆弱なソースファイルを含めることができます。
解決された問題
優先順位付けで、有効な脆弱性ウィジェットの分析カバレッジが100%を超えました。
特定の条件下で、ScalaプロジェクトのスキャンがSBTの依存関係で失敗しました。
特定の条件下で、Unified Agentで「gradle」コマンドが失敗したときに、Unified Agentが「gradlew」コマンドを実行しませんでした。
特定の条件下で、ライブラリフォルダーが間違ったモジュールに表示されていました。
帰属レポートでは、提供されたライセンス参照は必ずしもライセンステキスト自体ではありませんでした。
特定の状況下で、顧客が組織を削除した後、それは顧客のシステムに残りました。
新しいNPMバージョンのアラートには、プレリリースバージョンが含まれていました。
バージョン20.1.2(2020年2月2日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
このバージョンでは、CentOSのDNFパッケージマネージャーのサポートが導入されています。
解決された問題
[修正] 特定の条件下で、Microsoft Azureを介してWhiteSourceアプリケーションにログインするときに問題が発生した。
バージョン20.1.1(2020年1月26日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
このバージョンでは、Pythonの新しいパッケージマネージャーであるPoetryのサポートが導入されています。
レポート
ライセンス列には、プレビュー画面でライセンスによってフィルタライブラリにユーザーを可能に帰属レポートに追加されました。
追加されたレポートの柔軟性:アトリビューションレポートで、ユーザーはレポートの出力に含める複数のプロジェクトを選択できるようになりました。
解決された問題
[修正] メール通知を無効にした顧客に新しいアラートメールが送信されるようになりました
[修正] 特定の状況下で、ライセンス互換性レポートに結果が表示されなかった。
バージョン19.12.2(2020年1月5日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
NPM解像度:最適化されたスキャン動作とスキャン時間の短縮。新しい機能は、NPMコマンドではなくpackage.jsonのみに依存し、フラグnpm.resolveLockFile = trueを使用して有効にできます。
Unified Agentは、Maven構成のより多くのケースをカバーするように拡張されました(つまり、Mavenツリー出力に異なるフォーマットを使用するお客様向け)。
その他
帰属レポートデータの改善- ライブラリにライセンスリファレンスがない場合、一般的なライセンスが表示されます。
解決された問題
特定の条件下で、ライブラリ名が切り捨てられ、インターフェースに正しく表示されませんでした。
[修正] 特定の状況で、Yarn Devの依存関係がインベントリから除外されなかった。
[修正] Bowerプロジェクトで、特定のエッジケースの結果から一部の依存関係が欠落していた。
[修正] ポリシーページで特定の場合に予期しないエラーが表示される問題を修正しました 。
[修正] 特定の条件下で、スキャン後にPythonの依存関係がインベントリから欠落していた
リリース:
Unified Agent バージョン 19.12.2をリリース
バージョン19.12.1(2019年12月22日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
「R」プログラミング言語スキャンの柔軟性の追加:このバージョンでは、メインパッケージマネージャーであるPackratを使用していないお客様にRプログラミング言語のサポートが提供されます。
Unified Agentは、Maven構成のより多くのケースをカバーするように拡張されました(つまり、Mavenツリー出力に異なるフォーマットを使用するお客様向け)。
Web GUI
複数のライセンスを持つライブラリを管理するための柔軟性が追加されました:Web UIで、特定のライセンスを削除し、新しいライセンス参照をライセンスに追加できるようになりました。
このバージョン以降、WhiteSourceの各セキュリティ脆弱性をクリックすると、CVEをNVDにポイントする代わりに、ユーザーはWhiteSourceの脆弱性ラボにリダイレクトされます。 URL形式は次のとおりです。https: //vuln.whitesourcesoftware.com/vulnerability/ < vulnerabilityID >
[ライブラリの詳細]ページの[アラート]パネルが強化され、さまざまなカテゴリごとのアラートの概要を視覚的に表示できるようになりました。
その他
アトリビューションレポートデータの改善-さまざまなケースで、以前に使用されたJSON / XMLの代わりに、有効なライセンステキストがレポートに表示されます。
解決された問題
特定の条件下で、ライブラリ名が切り捨てられ、インターフェースに正しく表示されませんでした。
[修正] LEFT JOIN FETCHを使用してJPAクエリでライセンス参照をフェッチすると、クエリが「javax.persistence.EntityNotFoundException」で失敗する
[修正]特定の条件下で、getImageTagsメソッドからNullポインタ例外エラーがスローされるため、Dockerスキャンが失敗する問題を修正 しました。
[修正] ChromeのWS Adviseで、バージョン管理されていない、脆弱性のないコンポーネントと脆弱性のあるバージョン管理されたコンポーネントを切り替えると、違反の問題が表示されていました。
[修正] 特定の条件下で、添付されたPodfile.lockファイルのスキャン結果を変換してJSONオブジェクトに変換すると、メモリ不足の例外が発生する
リリース:
Unified Agent バージョン 19.12.1をリリース
バージョン19.11.2(2019年12月8日)
新機能とアップデート
WhiteSourceコア
Unified Aagent
JFrog Artifactory Docker統合のより簡単なオンボーディング:このバージョンから、Unified AgentはDockerイメージをアーティファクトからアーカイブファイルとしてダウンロードし、抽出してスキャンできるようになりました。
JFrog Artifactory Docker イメージのスキャンの柔軟性が向上:二つの新しいパラメータ、artifactory.includes と artifactory.excludes によりそのリポジトリにスキャンするイメージをフィルタリングする機能を顧客に提供します。
新しいパラメーター php.ignoreSourcefiles は、ソースファイルのスキャンを無視するかどうかをユーザーが決定できるようにすることで、PHPを使用しているお客様により広範な結果を提供します。
Web GUI
新しい画面オプションのネストされたライセンスは、サードパーティのライセンスなど、ネストされたライセンスがライブラリのリポジトリで使用されている複雑なケースに追加の細分性を提供します。
デューデリジェンスレポートで、ライブラリの著作権の年の範囲(from-to形式)が[著作権]列に表示されるようになりました。さらに、著作権別フィルターでは、from-to値に従ってフィルタリングできるようになりました。
解決された問題
[修正]特定の条件下で、新しくインポートされたJavaScriptライブラリがGittaルックアップに含まれていました。
[修正]ソースライブラリのリクエストを閉じた後、スキャン後に新しいリクエストが再度開かれるようになりました。
[修正]特定の条件下で、CVSS 3のextraDataフィールドがnullのときにnullポインタ例外が発生する問題を修正しました
[修正] float値をクライアントに渡すと、これらの値が元の値を変更し、不正なデータが表示されることがあった。
[修正] Gradleの依存関係のシステムパスが原因で、EUA分析の適用範囲が不正確だった。
[修正] デューデリジェンスレポートに著作権の日付範囲を挿入すると、レポートが適切にフィルタリングされなかったため、結果が不正確だった。
[修正]実行中にUnified Agent .jarファイルが抽出されると、Unified Agentが機能しなくなる問題を修正しました 。
Unified Agent バージョン 19.11.2をリリース
バージョン19.11.1(2019年11月24日)
新機能とアップデート
WhiteSourceコア
Unified Agent
検出モード-拡張された環境ベースの推奨構成機能:生成された構成ファイルで「includes」パラメーターがサポートされるようになりました。
Unified Agent の実行に問題がある場合(ポリシー違反など)、Bitbucketパイプはそれを反映し、ビルドに失敗します。
このバージョンでは、より良いカスタマイズと制御が導入されており、お客様はUnified Agentのログが保存されるデフォルトの場所を変更できます。
統合
CircleCIとの統合-柔軟性の追加:コマンドファイルがCircleCI Orbs統合に追加され、ユーザーがパッケージマネージャーを解像度に簡単に追加できるようになりました。
拡張されたCircleCI Orbは、WhiteSource Unified Agent の最新バージョンを使用するようになりました。
CodeFreshマーケットプレイスでのWhiteSourceのCodeFresh統合が正式に公開されました。WhiteSourceの顧客は、WhiteSourceスキャンをネイティブのCodeFreshワークフローに簡単に統合できます。
開発者向けWhiteSource
このバージョンから、開発者向けのWhiteSourceには独自のリリースノートがあります。こちらをご参照ください。
解決された問題
[修正] app.whitesourcesoftware.comの特定の条件下で、更新リクエストに含まれているライブラリがいくつか欠落していた。
[修正]サーバーが、ライセンス名はあるがライセンスタイプがないインポートされたライセンスを受信したため、ライセンスが作成されない
[修正]特定の条件下で、Unified Agentが紡績プロジェクトのすべての依存関係を収集しなかった。
[修正] 特定の条件下で、Jira統合を使用してサブタスクの問題を作成できなかった。
[修正] 年を入れずに新しい著作権テンプレートを作成しようとすると、エラーが表示されていました。
[修正] 部分的なデータ構成でプロジェクトごとにHTMLアトリビューションレポートをエクスポートすると、エラーが表示されていました
[修正] 特定の条件下で、Unified Agent Docker Hubスキャンが結果を返さなかった。
[修正] Yarnでメモリ不足の問題が発生した。
[修正] GOプロジェクトで検出設定が正しく機能しなかった。
Unified Agent バージョン 19.11.1をリリース
バージョン19.10.1(2019年11月10日)
新機能とアップデート
WhiteSourceコア
Unified Agent
Unified Agent は、OCamlプログラミング言語のopamパッケージマネージャのスキャンをサポートするようになりました。
Unified Agent をMavenプラグインの動作に合わせる: Unified Agent の新しいブールパラメータmaven.projectNameFromDependencyFileは、依存関係ファイルからプロジェクト名を取得するかどうかを制御します。
Unified Agent をNPMプラグインの動作に合わせる:既存のパラメーターnpm.projectNameFromDependencyFileは、プロジェクト名を依存関係ファイルから取得するかどうかを制御します。
柔軟性の向上: Unified Agent のコマンドラインと Unified Agent 構成ファイルを介して、プロジェクトタグ(キーと値)を使用してプロジェクトメタデータ情報を設定できるようになりました。
Dockerイメージをスキャンしていて、NPMが利用できない場合、グローバルな依存関係を抽出するために、新しいnpm.resolveGlobalPackagesパラメーターにより、インストールされて利用可能なNPMに依存する必要がなくなります。
統合
CodeFreshユーザーは、CodeFresh CI / CDパイプラインからオープンソースを直接スキャンできるようになりました。
WhiteSource Kubernetes Agentバージョン2.0の最新リリースが利用可能です。このバージョンでは、ネイティブのKubernetes APIが使用され、権限が削減され(セキュリティが向上)、パフォーマンスが向上しています。
雑多
Unified Agent は、npm.includeDevDependenciesがfalseに設定されている場合でも、有効利用分析を実行するようになりました。
解決された問題
[修正]問題を作成した後、JiraからのJSON応答を解析しようとすると例外が発生し、同じプロジェクトの同じライブラリに対してJiraの問題が複数回作成されました。
[修正]帰属レポートに、XMLは、(例えば、XMLタグが除去された)適切に表示されませんでした。
[修正]特定の状況で、Gradleリゾルバーが完全な依存関係ツリーを作成しなかったため、Dockerイメージスキャンからライブラリが欠落することがありました。
[修正]特定のGradle依存関係を持つオフラインリクエストをアップロードしようとしたときに、依存関係がインベントリで見つかりませんでした
[固定] WhiteSourceアプリケーションにメタデータファイルをアップロードすると、エラーが生じました。
[修正] Bitbucket ServerのWhiteSource、GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSourceで、複数のコンポーネントの問題が作成されると、自動修復情報が表示されていました。
Unified Agent バージョン 19.10.1をリリース
バージョン19.9.2(2019年10月27日)
新機能とアップデート
WhiteSourceコア
GUI(Webインターフェイス)
監査機能の拡張:変更ログ履歴レポートで、脆弱性スコア/重大度の変更の監査がサポートされるようになりました。
このバージョンでは、次の機能が強化されています。
細分性の追加-組織レベルだけでなく、製品レベルでライブラリをソースファイルに変更するためのサポート。
APIとの整合-ユーザーは、変更ライブラリーのAPIで必要な製品または組織の管理者であり、通常のユーザーではない必要があります。
既存の機能を変更ログ履歴レポートに拡張する新しい監査の強化:ライブラリを変更するときに、ChangeLogの新しいレコードに従って、変更がいつ発生したかを追跡できるようになりました。
Unified Agent
デバッグとメンテナンスを容易にするために、Unified Agentのログには、すべてのUnified Agent構成パラメータがより体系的に含まれるようになりました。
新しいオプションのNPMパラメーターnpm.failOnNpmLsErrorsは、「npm ls」エラーを処理するときにNPMプラグインとUnified Agentの間のスムーズな移行を可能にします。
SBTリゾルバーは、 `test`、` runtime`、 `provided`などの追加のスコープをサポートするようになりました。
API
APIバージョン1.3以降、getProjectIgnoredAlert、getProductIgnoredAlert、およびgetOrganizationIgnoredAlert API呼び出しを使用して、特定の無視されたアラートを参照できるようになりました。
セキュリティの強化:APIバージョン1.1以降、組織管理者のみがユーザーとグループを管理するためのAPIリクエストを実行できます。これらは:
招待ユーザー
getAllGroups
getAllUsers
addUsersToGroups
removeUserFromGroup
removeUserFromOrganization
deleteUser
開発者向けWhiteSource
このバージョンでは、ワークフロールールを事前に定義せずに、GitHub.comのWhiteSourceおよびGitHub EnterpriseのWhiteSourceでオンデマンドで修正PRを生成する機能が導入されています。
GitHub EnterpriseのWhiteSourceおよびBitbucket ServerのWhiteSourceでは、ヘルスチェックAPIエンドポイントがwss-scanner Dockerイメージに追加されました。
WhiteSourceの優先順位付け
EUA詳細分析レポートでは、日付に加えて分析時刻が次のように表示されるようになりました:dd-mm-yyyy hh:mm。
IAステータスとIA結果を特徴とするEUAレポートでは、名前がそれぞれ影響分析ステータスと影響分析結果に変更されました。
その他
GPL 2.0、MPL 1.0、MPL 1.1、およびMPL 2.0ライセンスの著作権リスクスコアは65になりました。
リスク分析情報がGPL 1.0およびOpenSSLライセンス用に追加されました。
解決された問題
[固定] RVI同期プロセスでエラーアラートの作成が失敗する原因。
[修正] チェックポリシーのハッシュを計算しながら、ヌル・ポインタ例外が発生しました。
[修正] リスクレポートで、プロジェクトの階層に重複する依存関係があると、負の値が表示されていました
[修正] GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSource-コミットのために複数のスキャンが並行してトリガーされると、同じライブラリとCVEに対して重複するGitHubの問題が生成されました。
Unified Agent バージョン 19.9.2をリリース
バージョン19.9.1(22-September-2019)
新機能とアップデート
WhiteSourceコア
GUI(Webインターフェイス)
ライセンス互換性レポートに次の改善が加えられました。
このレポートの継続的な機能強化の一環として、精度が向上し、結果がより詳細になりました。
「タイプ」(ライブラリのプログラミング言語)は削除され、「非互換性タイプ」(2つのライブラリのライセンス間の競合のタイプ)が優先されます。
新しい非互換性タイプ、潜在的な非互換性が追加されました。潜在的な非互換性は、評価されるライブラリが複数のライセンスでライセンスされていることを示し、ライブラリがライセンスされるライセンスをユーザーが選択する必要があることを示します。
アトリビューションレポートのより良いカスタマイズ:
ユーザーは、既存のライセンスセクションまたは新しい専用セクション「付録:ライセンスの詳細」セクションにライセンステキストを含めるかどうかを選択できるようになりました。
ユーザーは、プライマリ属性(別名カスタム属性)をアトリビューションレポートに表示するかどうかを選択できるようになりました。
Unified Agent
Unified Agent は、Pythonグローバルパッケージの解決をサポートするようになりました。
サーバーレスプラグインの新しい拡張機能により、YAMLファイルから追加のパラメーターを実行し、それらをUnified Agent構成に渡すことができます。
そのユーザー環境でDockerをインストールしていない顧客のために、Unified Agent は現在、保存されたDockerイメージを表す tar.gz 形式のファイルの(docker.scanTarFiles=true のとき)スキャンを実行します。
開発者向けWhiteSource
GitHub EnterpriseのWhiteSource、GitHub.comのWhiteSource、およびBitBucket ServerのWhiteSourceにインジケーターが追加され、特定の脆弱性に対して自動修復がいつ利用できるかを示します。
WhiteSourceは、GitLab Coreベータ版のWhiteSourceをリリースし、GitLabユーザーがGitLabのネイティブ環境内のWhiteSourceセキュリティアラートにアクセスできるようにします。
解決された問題
[修正] getChangesReport APIリクエストが「startDateTime」フィールドで指定された時間を無視し、指定された日付の00:00から結果を取得していました
[修正] EUAが有効になっている組織で、[ライブラリセキュリティの脆弱性]ビューの特定の条件下で、脆弱性を参照するプロジェクトが、ユーザーが特権を持つプロジェクトによってフィルタリングされず、エラーが発生した。
[修正]場合によっては、コンテナダッシュボードに結果が表示されなかった。
[修正] GitHub EnterpriseのWhiteSource-イメージバージョン19.8.1にアップグレードすると、wss-ghe-appログに Javaエラー が表示される。
リリース
Unified Agent バージョン 19.9.1をリリース
Chrome 19.9.1 向け WhiteSource Advise をリリース
バージョン19.8.1(8-September-2019)
新機能とアップデート
WhiteSourceコア
GUI(Webインターフェイス)
ダッシュボードビューに次の変更が加えられました。
トップアラートペインに、特定の組織、製品、またはプロジェクトについて報告されたシステムカテゴリアラートの専用の要約数が表示されるようになりました。これには、ポリシー違反、バージョン、ライセンス、品質、セキュリティアラートの総数が含まれます。
アラートカテゴリについて報告されたアラートの詳細なリストが、カテゴリ名またはカウントをクリックして表示されるようになりました。クリックしたアイテムのカテゴリに対応するアラートビューが表示されるため、ユーザーはリストされたアラートでタスクを実行できます。
ライブラリを社内の拡張機能としてマーク:
監査の強化:社内ルールを通じて追加または削除されたルールが追跡され、変更ログ履歴に表示できるようになりました。
選択したライブラリの名前と一致する名前を持つ社内ルールを作成できるようになりました。
社内ページのヘルプテキストが改訂および改善されました。
管理者向けのすべての電子メール通知を無効にできるようになりました。
Unified Agent
Kubernates統合の改善:Kubernates SDKを使用して情報を取得するようになりました。
パラメータ名の追加:gradle.ignoredConfigurationに加えてGradle.ignoredScopesを使用でき、gradle.includedConfigurationに加えてgradle.includedScopesを使用できます。
同じライブラリを連続してスキャンするたびに、独自のフォルダが生成されます(ログにのみ関連)。
Unified Agent は、.hpiファイルの抽出をサポートするようになりました。
SBT依存関係の解決の改善により、より正確な出力が得られました。
API
APIリクエストgetProductLicenses、getOrganizationLicenses、および getProjectLicensesにはオプションの新しいフィールドexcludeProjectOccurrences(デフォルト値= false)があり、プロジェクトを発生させずに製品/ドメインライセンスを取得できます。
解決された問題
[修正] リスクレポートPDFの[ ポリシー名]フィールドで漢字が省略されていた
[修正] 優先インスタンスのマルチモジュールセットアップが失敗した場合の特定のインスタンスで、ログが成功したと報告した。
[修正] "getAllOrganizations" APIリクエストの応答が失敗するシナリオで "成功"メッセージを生成する
[修正] Yarnの依存関係を解決すると、誤った行がログに出力されていました
[修正] Unified Agent が* compile.xmlファイルですべてのSBT依存関係を識別しなかった。
リリース
Unified Agent バージョン 19.8.1をリリースします。
バージョン19.7.3(2019年8月18日)
新機能とアップデート
WhiteSourceコア
Unified Agent
Docker Artifactory統合は、新しい構成パラメーターdocker.artifactory.dockerAccessMethodを介して読み取り専用ユーザーで有効になりました。
新しい構成パラメーターlog.files.level、log.files.maxFileSize、およびlog.files.maxFilesCountを使用すると、デフォルトでログを保管できます。ログの保存は、たとえば、ユーザーが特定のスキャンで問題を抱えている状況を回避するために役立ちます。したがって、サポートチームにログを提供するためにそれらのスキャンをやり直す必要はありません。この機能はデフォルトで有効になっていることに注意してください。これらのログを必要としないお客様は、手動でログを無効にすることができます。
強化された検出:このバージョンでは、SHA-1の複数のインスタンスを持つMavenライブラリーの自動識別が導入されています。
スキャンする特定のGradleモジュールを含めたり除外したりできるようになりました。
Unified Agentは、Haskellプログラミング言語のCabalパッケージマネージャのスキャンをサポートするようになりました。
雑多
WhiteSourceは、SAMLを使用してWhiteSourceにログインするときに提供される各SAMLリクエストのSAML IDプロバイダーパラメーターを維持するようになりました。