Node.jsエージェントのリリース情報

serverTypeパスパラメータの構築時にv1エンドポイントが設定オプションを受け入れるようにしました。

JoiのBoolean値および数値の型強制メソッドの計測を実装しました。

Joiのvaluesメソッド(.allow()、.valid()、.equal())の計測を実装しました。

Joiのタイプ(object、expression、any)の計測を実装しました。

evalシンクのコンテキストがeval(...)として報告されるようにして、Contrastメソッドのテキストが含まれないようにしました。

追跡を行う全ての呼び出しの前で、イベントが正常に作成されたかどうかをチェックするようにしました。

エージェントの有効な設定が一度しか更新されていなかった問題を修正しました。(NODE-3204)

Assess実行時のメモリリークに関連する問題を修正しました。(NODE-3198)

エージェントの有効な設定でローカルポリシーを管理するために、全てのコンポーネントを更新しました。

全ての文字列操作とArray.prototype.joinメソッドの使用をリファクタリングしました。

ファイルが安全な方法でserve-staticを使用して提供される場合に、エージェントがパストラバーサルを報告していませんでした。(NODE-3157)

Node.js 20.5.0以降のサポートを追加しました。

express-sessionのセッション設定ルールを実装しました。

URLSearchParamsに渡されるキーを追跡して、異なるオブジェクトタイプを解析するようにしました。

require-hookのログ出力を改善しました。

Contrastサービス(SpeedRacer)の削除

エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。

Contrast AssessとContrast Protectの同時実行のサポート

Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)

Contrastサーバへの有効な設定の報告

devDependenciesをnpmに公開しない - CVE検出の過検知の減少

pinoを使用した構造化ログ

重複排除のために正規化されたURIを使用したルート観測/カバレッジ

SWC使用した起動時のリライタの高速化

SuperTest npm: supertestを使用するAPIテスト時の脆弱性検出のサポート

String.prototype.matchAll()のプロパゲータのサポート(バージョン4では未サポート)

再起動の必要なく、ContrastサーバでProtectポリシーとログレベルを変更できるようにしました。

ログ出力の使用を監査し、PIIのログを記録しているインスタンスを修正しました。

AssessとProtectの実装が異なる場合の同期。

Contrastサーバの通信にHTTPログを追加。

ContrastMethods.Functionを組み込み、既存のProtect入力追跡パッチをサポートするようリライタを更新しました。(NODE-3100)

effective-configエンドポイントに関するエージェントバージョン5の問題を修正しました。(NODE-3151)

JSON.parseにプロパゲータを実装しました。

セッション設定に関連するAssess仕様のルールを実装しました。

libxmljsライブラリの新しいメジャーバージョン(v 1.x.x.)のサポートを追加しました。このライブラリは、XML外部実体参照(XXE)の脆弱性を検出するために組み込まれます。

libxmljsが適切に組み込まれていなかった問題を修正しました。(NODE-3121)

末尾に誤った文字を追加しないようにリライタを修正しました。

shebangコメントのあるファイルを変換できるようswcリライタを改善しました。

MongoDBのコンテキストでsleep(x)のような呼び出しのSSJSの攻撃を検出するように対応しました。

有効な設定オプションにsession_idを追加しました。

Added support for the MS SQL database driver for v5 Protect-only agent.

Added support for detecting nosql-injection attacks for MarsDB in Protect mode.

This release fixed a bug when receiving the nosql-injection rule settings from Contrast and the agent not respecting that setting.

security_logger is getting the correct default values.

NoSQL Injection Mongo - added support for $accumulator operator.

The RegExp now detects a vulnerable string with single and double quotes around the URI of the targeted file.

Bumped agent-lib version in Node agent v5 to v5.3.0.

NoSQL Injection Mongo - added support for $function operator.

Migrated shared hooks to instrumentation layer: http, https, http2, spdy.

Reduced code duplication in existing Protect hooks.

CVE-2022-46175 node-require-hook Prototype Pollution in JSON5 via Parse Method.

NODE_OPTIONS envrionment for pino worker-thread does not get cleared of --require @contrast/.... (NODE-2882)

Provided npx command to config-diagnostics and output results.

Fixed issue where @contrast/protect-agent does not install. (NODE-2803)

CVE-2022-46175 Prototype Pollution in JSON5 via Parse Method.

Internal Protect data structure changes.

Performance improvement for capturing stack traces. (NODE 2760)

Contrast Security Node.js Protect-only Agent.See npm: @contrast/protect-agent