{
  "version": "https://jsonfeed.org/version/1.1",
  "title": "SCA Tools Feed",
  "feed_url": "https://tmyymmt.github.io/sca-tools-feed/feeds/all.json",
  "items": [
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.72.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.72.0",
      "title": "[Trivy] v0.72.0",
      "content_text": "## ⚡ Highlights ⚡\r\n👉 https://github.com/aquasecurity/trivy/discussions/10907\r\n\r\n## Changelog\r\nhttps://github.com/aquasecurity/trivy/blob/main/CHANGELOG.md#0720-2026-06-30",
      "date_published": "2026-06-30T09:34:06Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.72.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.115.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.115.0",
      "title": "[Grype] v0.115.0",
      "content_text": "### Added Features\n\n- emit golang.org/x/net vulns from govlundb [PR [#3534](https://github.com/anchore/grype/pull/3534) @willmurphyscode]\n- Merge Go vuln matches with GHSA matches [Issue [#3515](https://github.com/anchore/grype/issues/3515)]\n\n### Bug Fixes\n\n- only emit records for stdlib [PR [#3527](https://github.com/anchore/grype/pull/3527) @willmurphyscode]\n- mark hummingbird distro as rolling [PR [#3521](https://github.com/anchore/grype/pull/3521) @willmurphyscode]\n- disable go stdlib CPE matching by default [PR [#3517](https://github.com/anchore/grype/pull/3517) @willmurphyscode]\n- merge in custom ranges when applicable [PR [#3514](https://github.com/anchore/grype/pull/3514) @willmurphyscode]\n- exclude linux-kbuild deb indirect matches by default [PR [#3506](https://github.com/anchore/grype/pull/3506) @westonsteimel]\n- avoid panic on invalid RHEL version IDs [PR [#3490](https://github.com/anchore/grype/pull/3490) @jspilman]\n- Support reading CycloneDX 1.7 SBOMs [Issue [#3373](https://github.com/anchore/grype/issues/3373)]\n- Grype cannot read mariadb version correctly [Issue [#3452](https://github.com/anchore/grype/issues/3452)]\n- grype hangs when downloading certain images using registry client [Issue [#3492](https://github.com/anchore/grype/issues/3492)]\n- Can we get a fix for these Critical findings reported for grype [Issue [#3484](https://github.com/anchore/grype/issues/3484)]\n\n### Additional Changes\n\n- Security: bump golang.org/x/crypto to v0.52.0 to resolve multiple CVEs [Issue [#3493](https://github.com/anchore/grype/issues/3493)]\n- Security: bump golang.org/x/net to v0.55.0 to resolve CVEs [Issue [#3494](https://github.com/anchore/grype/issues/3494)]\n\n### Dependencies\n\n35 dependency changes (31 updated, 3 added, 1 removed). 5 vulnerabilities remediated.\n\n**🟢 Remediated (5)**\n\n- [GHSA-33vj-92qq-66hc](https://github.com/advisories/GHSA-33vj-92qq-66hc) (High) — github.com/containerd/containerd/v2\n- [GHSA-cvxm-645q-p574](https://github.com/advisories/GHSA-cvxm-645q-p574) (Medium) — github.com/containerd/containerd/v2\n- [GHSA-jpcc-p29g-p8mq](https://github.com/advisories/GHSA-jpcc-p29g-p8mq) (Medium) — github.com/containerd/containerd/v2\n- [GHSA-rgh6-rfwx-v388](https://github.com/advisories/GHSA-rgh6-rfwx-v388) (High) — github.com/containerd/containerd/v2\n- [GHSA-xhf5-7wjv-pqxp](https://github.com/advisories/GHSA-xhf5-7wjv-pqxp) (High) — github.com/containerd/containerd/v2\n\n<details>\n<summary>Updated (31 packages)</summary>\n\n- github.com/ProtonMail/go-crypto `v1.4.0` → `v1.4.1`\n- github.com/anchore/bubbly `v0.2.0` → `v0.2.1`\n- github.com/anchore/clio `v0.1.0` → `v0.1.1`\n- github.com/anchore/fangs `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-collections `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-homedir `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-logger `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-lzo `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-macholibre `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-make `v0.5.0` → `v0.8.0`\n- github.com/anchore/go-struct-converter `v0.1.0` → `v0.2.0-rc2`\n- github.com/anchore/go-sync `v0.1.0` → `v0.1.1`\n- github.com/anchore/stereoscope `v0.2.1` → `v0.2.2`\n- github.com/anchore/syft `v1.45.1` → `v1.46.0`\n- github.com/charmbracelet/colorprofile `v0.4.1` → `v0.4.3`\n- github.com/clipperhouse/displaywidth `v0.10.0` → `v0.11.0`\n- github.com/clipperhouse/uax29/v2 `v2.6.0` → `v2.7.0`\n- github.com/containerd/containerd/v2 `v2.3.1` → `v2.3.2` **(🟢 remediated [GHSA-33vj-92qq-66hc](https://github.com/advisories/GHSA-33vj-92qq-66hc), [GHSA-cvxm-645q-p574](https://github.com/advisories/GHSA-cvxm-645q-p574), [GHSA-jpcc-p29g-p8mq](https://github.com/advisories/GHSA-jpcc-p29g-p8mq), [GHSA-rgh6-rfwx-v388](https://github.com/advisories/GHSA-rgh6-rfwx-v388), [GHSA-xhf5-7wjv-pqxp](https://github.com/advisories/GHSA-xhf5-7wjv-pqxp))**\n- github.com/docker/cli `v29.4.3+incompatible` → `v29.5.3+incompatible`\n- github.com/google/go-containerregistry `v0.21.6` → `v0.21.7`\n- github.com/mattn/go-runewidth `v0.0.19` → `v0.0.21`\n- github.com/spdx/tools-golang `v0.5.7` → `v0.6.0-rc4`\n- github.com/sylabs/sif/v2 `v2.24.0` → `v2.24.1`\n- golang.org/x/crypto `v0.52.0` → `v0.53.0`\n- golang.org/x/mod `v0.36.0` → `v0.37.0`\n- golang.org/x/net `v0.55.0` → `v0.56.0`\n- golang.org/x/sync `v0.20.0` → `v0.21.0`\n- golang.org/x/sys `v0.45.0` → `v0.46.0`\n- golang.org/x/term `v0.43.0` → `v0.44.0`\n- golang.org/x/text `v0.37.0` → `v0.38.0`\n- golang.org/x/tools `v0.45.0` → `v0.46.0`\n</details>\n\n<details>\n<summary>Added (3 packages)</summary>\n\n- github.com/piprate/json-gold `v0.7.0`\n- github.com/pquerna/cachecontrol `v0.0.0-1555304`\n- github.com/tailscale/hujson `v0.0.0-ecc657c`\n</details>\n\n<details>\n<summary>Removed (1 package)</summary>\n\n- github.com/google/osv-scanner `v1.9.2`\n</details>\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.114.0...v0.115.0)**\n\n",
      "date_published": "2026-06-26T11:42:04Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.115.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.46.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.46.0",
      "title": "[Syft] v1.46.0",
      "content_text": "### Added Features\n\n- Add purl types to cataloger info cmd [PR [#4984](https://github.com/anchore/syft/pull/4984) @wagoodman]\n- Python cataloger misses uv PEP 723 script lockfiles (`*.py.lock`) [Issue [#4949](https://github.com/anchore/syft/issues/4949)] [PR [#4950](https://github.com/anchore/syft/pull/4950) @ktopcuoglu]\n- Add bin classifier for Elastic agen [Issue [#4973](https://github.com/anchore/syft/issues/4973)] [PR [#4968](https://github.com/anchore/syft/pull/4968) @rezmoss]\n- SPDX 3 Support [Issue [#4250](https://github.com/anchore/syft/issues/4250)] [PR [#4269](https://github.com/anchore/syft/pull/4269) @kzantow]\n- Add Deno support [Issue [#4417](https://github.com/anchore/syft/issues/4417)] [PR [#4523](https://github.com/anchore/syft/pull/4523) @rezmoss]\n- Catalog Elastic Beats binary [Issue [#4961](https://github.com/anchore/syft/issues/4961)] [PR [#4969](https://github.com/anchore/syft/pull/4969) @rezmoss]\n- Add binary classifiers for Elastic Beats [Issue [#4972](https://github.com/anchore/syft/issues/4972)] [PR [#4969](https://github.com/anchore/syft/pull/4969) @rezmoss]\n- Catalog elastic-agent binary [Issue [#4962](https://github.com/anchore/syft/issues/4962)]\n- Add support for Bun lockfile (bun.lock) [Issue [#4617](https://github.com/anchore/syft/issues/4617)] [PR [#4625](https://github.com/anchore/syft/pull/4625) @hnnynh]\n- Add .bpl file support to the PE / DLL cataloger [Issue [#4664](https://github.com/anchore/syft/issues/4664)] [PR [#4954](https://github.com/anchore/syft/pull/4954) @jfjrh2014]\n\n### Bug Fixes\n\n- respect arch qualifier [PR [#4987](https://github.com/anchore/syft/pull/4987) @willmurphyscode]\n- Preserve dependency edges when a compliance stub changes a package ID [PR [#4993](https://github.com/anchore/syft/pull/4993) @wagoodman]\n- Support envoy binary various versions [Issue [#4590](https://github.com/anchore/syft/issues/4590)] [PR [#4605](https://github.com/anchore/syft/pull/4605) @rezmoss]\n- .net deps.json cataloger shows phantom pkgs for reference assembly library entries [Issue [#4970](https://github.com/anchore/syft/issues/4970)] [PR [#4971](https://github.com/anchore/syft/pull/4971) @rezmoss]\n- Syft does not extract package licenses from opkg manager [Issue [#4940](https://github.com/anchore/syft/issues/4940)] [PR [#4963](https://github.com/anchore/syft/pull/4963) @Dashtid]\n- squashfs breaks with godisk-fs 1.8.0 [Issue [#4718](https://github.com/anchore/syft/issues/4718)]\n- requirements.txt cataloger silently drops PEP 440 local version identifiers, producing incorrect PURL [Issue [#4958](https://github.com/anchore/syft/issues/4958)] [PR [#4959](https://github.com/anchore/syft/pull/4959) @kzantow]\n\n### Dependencies\n\n34 dependency changes (31 updated, 3 added). 5 vulnerabilities remediated.\n\n**🟢 Remediated (5)**\n\n- [GHSA-33vj-92qq-66hc](https://github.com/advisories/GHSA-33vj-92qq-66hc) (High) — github.com/containerd/containerd/v2\n- [GHSA-cvxm-645q-p574](https://github.com/advisories/GHSA-cvxm-645q-p574) (Medium) — github.com/containerd/containerd/v2\n- [GHSA-jpcc-p29g-p8mq](https://github.com/advisories/GHSA-jpcc-p29g-p8mq) (Medium) — github.com/containerd/containerd/v2\n- [GHSA-rgh6-rfwx-v388](https://github.com/advisories/GHSA-rgh6-rfwx-v388) (High) — github.com/containerd/containerd/v2\n- [GHSA-xhf5-7wjv-pqxp](https://github.com/advisories/GHSA-xhf5-7wjv-pqxp) (High) — github.com/containerd/containerd/v2\n\n<details>\n<summary>Updated (31 packages)</summary>\n\n- github.com/ProtonMail/go-crypto `v1.4.0` → `v1.4.1`\n- github.com/anchore/bubbly `v0.2.0` → `v0.2.1`\n- github.com/anchore/clio `v0.1.0` → `v0.1.1`\n- github.com/anchore/fangs `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-collections `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-homedir `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-logger `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-lzo `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-macholibre `v0.1.0` → `v0.1.1`\n- github.com/anchore/go-make `v0.5.0` → `v0.8.0`\n- github.com/anchore/go-struct-converter `v0.1.0` → `v0.2.0-rc2`\n- github.com/anchore/go-sync `v0.1.0` → `v0.1.1`\n- github.com/anchore/stereoscope `v0.2.1` → `v0.2.2`\n- github.com/charmbracelet/colorprofile `v0.4.1` → `v0.4.3`\n- github.com/clipperhouse/displaywidth `v0.10.0` → `v0.11.0`\n- github.com/clipperhouse/uax29/v2 `v2.6.0` → `v2.7.0`\n- github.com/containerd/containerd/v2 `v2.3.1` → `v2.3.2` **(🟢 remediated [GHSA-33vj-92qq-66hc](https://github.com/advisories/GHSA-33vj-92qq-66hc), [GHSA-cvxm-645q-p574](https://github.com/advisories/GHSA-cvxm-645q-p574), [GHSA-jpcc-p29g-p8mq](https://github.com/advisories/GHSA-jpcc-p29g-p8mq), [GHSA-rgh6-rfwx-v388](https://github.com/advisories/GHSA-rgh6-rfwx-v388), [GHSA-xhf5-7wjv-pqxp](https://github.com/advisories/GHSA-xhf5-7wjv-pqxp))**\n- github.com/docker/cli `v29.4.3+incompatible` → `v29.5.3+incompatible`\n- github.com/google/go-containerregistry `v0.21.6` → `v0.21.7`\n- github.com/jedib0t/go-pretty/v6 `v6.7.10` → `v6.8.1`\n- github.com/mattn/go-runewidth `v0.0.19` → `v0.0.21`\n- github.com/spdx/tools-golang `v0.5.7` → `v0.6.0-rc4`\n- github.com/sylabs/sif/v2 `v2.24.0` → `v2.24.1`\n- golang.org/x/crypto `v0.52.0` → `v0.53.0`\n- golang.org/x/mod `v0.36.0` → `v0.37.0`\n- golang.org/x/net `v0.55.0` → `v0.56.0`\n- golang.org/x/sync `v0.20.0` → `v0.21.0`\n- golang.org/x/sys `v0.45.0` → `v0.46.0`\n- golang.org/x/term `v0.43.0` → `v0.44.0`\n- golang.org/x/text `v0.37.0` → `v0.38.0`\n- golang.org/x/tools `v0.45.0` → `v0.46.0`\n</details>\n\n<details>\n<summary>Added (3 packages)</summary>\n\n- github.com/piprate/json-gold `v0.7.0`\n- github.com/pquerna/cachecontrol `v0.0.0-1555304`\n- github.com/tailscale/hujson `v0.0.0-ecc657c`\n</details>\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.45.1...v1.46.0)**\n\n",
      "date_published": "2026-06-26T09:45:12Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.46.0"
    },
    {
      "id": "https://yamory.io/news/first-half-2026-security-report",
      "url": "https://yamory.io/news/first-half-2026-security-report",
      "title": "[Yamory] 脆弱性管理クラウド「yamory」、2026年上期セキュリティレポートを公開",
      "content_text": "脆弱性管理クラウド「yamory」、2026年上期セキュリティレポートを公開",
      "date_published": "2026-06-25T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2026-06-25"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.2",
      "title": "[Trivy] v0.71.2",
      "content_text": "## Changelog\n* 055a5c8a53bfd61f7a8e276a5b2f0c3fc1673420 release: v0.71.2 [release/v0.71] (#10871)\n* 875328a4138f26e8559cfee80adaef82b6693076 fix(deps): bump alpine to 3.24.1 [backport: release/v0.71] (#10870)\n* 998f7b3c3f3c9de2132bc4358970eeafbd797fba chore(deps): bump the common group with 4 updates [backport: release/v0.71] (#10867)\n\n",
      "date_published": "2026-06-19T10:37:28Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.71.2"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.4.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.4.0",
      "title": "[OSV-Scanner] v2.4.0",
      "content_text": "### Features:\r\n\r\n- [Feature #2815](https://github.com/google/osv-scanner/pull/2815) Add support for the CycloneDX 1.7 specification (bumps `cyclonedx-go` to v0.11.0).\r\n- [Feature #2799](https://github.com/google/osv-scanner/pull/2799) Enable `.csproj` and Central Package Management (`nugetcpm`) source scanning plugins by default.\r\n- [Feature #2871](https://github.com/google/osv-scanner/pull/2871) Extract and parse Alpine OS distro version (e.g. `Alpine:v3.17`, `Alpine:edge`) from PURL `distro` qualifiers to scan packages under their respective Alpine ecosystems.\r\n- [Feature #2801](https://github.com/google/osv-scanner/pull/2801) Enable the `swift/packageresolved` plugin by default to support SwiftURL vulnerability scans.\r\n- [Feature #2666](https://github.com/google/osv-scanner/pull/2666) Add a Docker-based variant of the pre-commit hook in `.pre-commit-hooks.yaml` to avoid local compilation.\r\n- [Feature #2637](https://github.com/google/osv-scanner/pull/2637) Add a new configuration setting `ScanGoModVersion` (disabled by default) to avoid parsing toolchain version directives directly from `go.mod`, preventing misleading warnings.\r\n- [Feature #2772](https://github.com/google/osv-scanner/pull/2772) Scan container images built with Canonical Chisel by enabling the `os/chisel` extractor plugin.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2807](https://github.com/google/osv-scanner/pull/2807) Sanitize package name, source, and version fields in the vertical output format to prevent GitHub Actions workflow command injection vulnerabilities from crafted lock files.\r\n- [Bug #2876](https://github.com/google/osv-scanner/pull/2876) Improve HTML scan report usability by supporting standard click modifiers (Ctrl/Cmd/middle click) to open vulnerabilities in new tabs, and preserving scroll position when switching tabs.\r\n- [Bug #2783](https://github.com/google/osv-scanner/pull/2783) Keep transitive dependency scanning enabled when specifying the `--offline-vulnerabilities` flag.\r\n- [Bug #2808](https://github.com/google/osv-scanner/pull/2808) Deduplicate equivalent OSV matcher requests before executing bulk queries to reduce API overhead.\r\n- [Bug #2837](https://github.com/google/osv-scanner/pull/2837) Prevent panics during offline matcher scans (e.g. on unsupported `GitHub Actions` ecosystem) by avoiding parsing errors when checking version ranges.\r\n- [Bug #2836](https://github.com/google/osv-scanner/pull/2836) Ensure the scanner returns an exit code of `0` when `--help` or `-h` is explicitly requested.\r\n\r\n### Misc:\r\n\r\n- Update Go version to 1.26.4.\r\n- Update `osv-scalibr` to `v0.4.6-0.20260612031204-164402d9140e`.\r\n- Tag built Docker and GitHub Action images with the major version (e.g. `:v2`) to allow users to pin to a major version (#2857).\r\n\r\n## New Contributors\r\n* @herdiyana256 made their first contribution in https://github.com/google/osv-scanner/pull/2801\r\n* @zhijie-yang made their first contribution in https://github.com/google/osv-scanner/pull/2772\r\n* @francose made their first contribution in https://github.com/google/osv-scanner/pull/2837\r\n* @rohan-patnaik made their first contribution in https://github.com/google/osv-scanner/pull/2808\r\n* @evilgensec made their first contribution in https://github.com/google/osv-scanner/pull/2807\r\n* @gotgolem made their first contribution in https://github.com/google/osv-scanner/pull/2783\r\n* @Khuzaimx made their first contribution in https://github.com/google/osv-scanner/pull/2857\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.3.8...v2.4.0",
      "date_published": "2026-06-18T13:35:18Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.4.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.1",
      "title": "[Trivy] v0.71.1",
      "content_text": "## Changelog\n* 164b383121351c2d49c5d354c2245719d972752b release: v0.71.1 [release/v0.71] (#10818)\n* a72d9a4d997c25fbb6534e231b4e206c9b202b31 fix(oci): validate artifact filename\n* 3dd98471dfbbc4a95edd5cd866468d3a8c87fd17 fix: forward ospkg detector options through ospkg.NewScanner [backport: release/v0.71] (#10825)\n* a62cbe40a240d3a3f568401b8a5f86e14114e371 fix(vex): load VEX documents from within the repository directory [backport: release/v0.71] (#10821)\n* 43d1d2628725e913db110b89419f0bebd36f58a8 fix: surface the original analysis error instead of context cancellation [backport: release/v0.71] (#10812)\n* ac7696c7b50d633183ce2ff44898d4b5c6eae565 ci: expect GitHub App bot as backport PR author [backport: release/v0.71] (#10815)\n\n",
      "date_published": "2026-06-15T09:12:47Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "trivy",
      "_version": "v0.71.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.39.3",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.39.3",
      "title": "[Vuls] v0.39.3",
      "content_text": "## Changelog\n* 5ce56238223d505e7f99ab70c25644c6c39b620b fix!(scanner): treat AnalyzeLibrary failures as warnings instead of errors (#2574)\n* 75fc521c2a4a53643b2bdb1addbb66d6fdc2bfc6 chore(deps): bump the all group across 1 directory with 3 updates (#2572)\n* 30ed4d422f4469e5da4c444af3d5160309df5ec1 feat(config): update GetEOL with newly released OS versions (#2570)\n* 2b360462c9f8de911ddf6916daae16d3efa96fe4 chore(deps): bump the go_modules group across 1 directory with 2 updates (#2566)\n* 6ef6ba4078abb8bbfe1aad7ddd972db8a15d0dc8 feat!(detector): detect windows with vuls2 (#2499)\n* 259e69444d66cc695ad0ce5e76425148970ada48 fix(detector/vuls2): normalize Amazon Linux release in preConvert (#2562)\n\n",
      "date_published": "2026-06-09T09:13:59Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.39.3"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.114.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.114.0",
      "title": "[Grype] v0.114.0",
      "content_text": "### Added Features\n\n- Add ability to scan zarf packages [[#3329](https://github.com/anchore/grype/issues/3329) [#3366](https://github.com/anchore/grype/pull/3366) @brandtkeller]\n\n### Additional Changes\n\n- respect withdrawn status of Go Vuln DB OSV records [[#3495](https://github.com/anchore/grype/pull/3495) @willmurphyscode]\n- Govulndb OSV transformer [[#3485](https://github.com/anchore/grype/pull/3485) @willmurphyscode]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.113.0...v0.114.0)**\n\n",
      "date_published": "2026-06-05T16:17:05Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.114.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.45.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.45.1",
      "title": "[Syft] v1.45.1",
      "content_text": "### Bug Fixes\n\n- bump stereoscope to pull in fix for registry client hanging [[#4934](https://github.com/anchore/syft/pull/4934) @anchore-oss-update-bot]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.45.0...v1.45.1)**\n\n",
      "date_published": "2026-06-05T14:29:07Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.45.1"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.113.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.113.0",
      "title": "[Grype] v0.113.0",
      "content_text": "### Added Features\n\n- Include Ubuntu 26.04 \"resolute\" in distro codenames [[#3397](https://github.com/anchore/grype/pull/3397) @anchore-oss-update-bot]\n- source RPM filtering on Hummingbird [[#3410](https://github.com/anchore/grype/pull/3410) @willmurphyscode]\n\n### Bug Fixes\n\n- use relatedVulnerabilities description as fallback in SARIF output [[#3271](https://github.com/anchore/grype/pull/3271) @axidex]\n- improve platform CPE determination logic [[#3470](https://github.com/anchore/grype/pull/3470) @westonsteimel]\n- normalize uppercase V in semantic version comparison [[#3461](https://github.com/anchore/grype/pull/3461) @immanuwell]\n- purl handling in cgr maven libs [[#3420](https://github.com/anchore/grype/pull/3420) @willmurphyscode]\n- Treat uppercase V prefixes the same as lowercase v prefixes in fuzzy version comparison [[#3037](https://github.com/anchore/grype/issues/3037) [#3089](https://github.com/anchore/grype/pull/3089) @wasup-yash]\n- Add Runtime Warnings When TLS Verification Is Disabled or HTTP Is Enabled [[#3101](https://github.com/anchore/grype/issues/3101) [#3396](https://github.com/anchore/grype/pull/3396) @Dashtid]\n- Add support for the aarch64 architecture when parsing the version of Ruby gems in lockfiles [[#3442](https://github.com/anchore/grype/issues/3442) [#3475](https://github.com/anchore/grype/pull/3475) @msnandhis]\n- zsh completion fails [[#2933](https://github.com/anchore/grype/issues/2933) [#3433](https://github.com/anchore/grype/pull/3433) @brandtkeller]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.112.0...v0.113.0)**\n\n",
      "date_published": "2026-06-03T14:19:21Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.113.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260603/",
      "url": "https://help.vuls.biz/releasenotes/20260603/",
      "title": "[FutureVuls] 2026-06-03",
      "content_text": "2026-06-03 リリース内容\n#\nスキャナの更新が必要です\n今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.39.2\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.39.2\nVersion: 2025/04\nTrivy\n[NEW] v0.70.0\n[NEW]\nVersion: 2026/06\n今回のリリースでは、ソフトウェアサプライチェーン対策を中心に機能を強化しました。ソフトウェアの健全性を可視化する「ソフトウェアヘルス」、EU 脆弱性データベース（EUVD）・ENISA KEV への対応、悪用されている脆弱性（KEV）の即時通知、CVSS v4 の全面対応、SBOM 取り込み・出力の拡充などが主な内容です。なお、一部 API の削除・エラーレスポンス改善といった要対応の変更も含まれますので、自動連携をご利用のお客様はご確認ください。\n重要なお知らせ\n#\n【要対応】deprecatedにしていたSBOM関連のAPIを削除しました\n#\n2025年11月リリース\nで deprecated として通知していた、\n/v1/lockfile/sbom\nの API エンドポイントを削除しました。\n該当エンドポイントへのリクエストは\n404 Not Found\nを返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の\n/v1/sbom\nへの移行をお願いします。\n【要対応】FutureVuls API のエラーレスポンスを改善しました\n#\nFutureVuls API (\nrest.vuls.biz\n) のエラーレスポンスを以下のように改善しました。\n権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却（従来は HTTP 500 「内部エラー」）\n未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却（従来は空レスポンス相当）\n既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。\n重要な新機能・改善\n#\n特にインパクトの大きい新機能・改善をピックアップして紹介します。その他の新機能は後述の「\n新機能追加\n」に記載しています。\nソフトウェア詳細タブを大幅に拡張し、「ソフトウェアヘルス」を可視化できるようになりました\n#\n依存先の OSS は、公式にサポート終了（EOL）が宣言されていなくても、長期間メンテナンスが止まり\n実質的に開発が放棄されている\nことがあります。こうした「ゾンビ OSS」は脆弱性が修正されないまま放置されやすく、サプライチェーン攻撃の起点になり得ます。\n本リリースでは、ソフトウェア詳細に「ソフトウェアヘルス」セクションを追加し、各 OSS の開発・メンテナンス状況を\nOpenSSF Scorecard などの客観的な指標\nで可視化しました。「このソフトウェアを使い続けてよいか」を、印象ではなくデータに基づいて判断できます。\nセクションでは、利用継続を判断するための材料として以下を表示します。\nメンテナンス状況\n（Active 等）：開発が継続しているか、実質的に停止していないか\nサマリ\n：ソフトウェアの概要\nAdvisory\n：最新版でも未対応のまま残っているアドバイザリ件数および CVSS 最大値（残っていれば、メンテナンスが滞っている兆候として判断できます）\nHealth\n：ソフトウェア全体の健全性の概要（総合的な健全性レベル）\nSecurity / Operations / Development\n：セキュリティ担当者・運用者・開発者それぞれの観点での評価サマリ（強み・弱点）\nRecommendations\n：推奨アクション（次に取るべき対応の指針）\nRepository\n：リポジトリ・最新安定版／最新版・ライセンス・Stars 等\n関連リンク\n：REPOSITORY / REGISTRY / DEPS.DEV / HOMEPAGE / SCORECARD\nなお、上記の分析は\nパッケージの最新安定版\nを対象とした評価です。サーバ内で検知した特定バージョン（\nexpress@4.17.1\n等）に対する評価ではない点にご留意ください。\n「実質 EOL（事実上の開発停止）」を検知できるようになりました\n#\n公式にサポート終了（EOL）が宣言されていなくても、長期間メンテナンスが止まり、未修正の重大な脆弱性を抱えたまま放置されている OSS があります。こうしたパッケージは新たな脆弱性が監視されず、報告されても修正されないため、サプライチェーン攻撃の標的になりやすい「ゾンビ OSS」です。従来の SCA ツールでは「CVE なし」あるいは「CVE が 1 件あるだけ」と扱われ、見過ごされてきました。\n本リリースでは、提供元の宣言やリポジトリのアーカイブで判定する\n確定 EOL（EOL-Confirmed）\nに加えて、メンテナンスの停止状況や未修正の重大脆弱性などを組み合わせて\n実質 EOL（EOL-Effective）\nと判定できるようになりました。公式には有効とされていても実態として開発が止まっている OSS を、客観的なデータに基づいて検知できます。判定結果は\nソフトウェアヘルス\nから確認できます。\n実質 EOL はサプライチェーンリスクのタスクとしては起票されません\n実質 EOL（EOL-Effective）は、ソフトウェアヘルスやグループセットの検索で確認できます。ただし、サプライチェーンリスクのタスクとしての起票は行いません。タスクとして起票されるのは、確定 EOL（EOL-Confirmed）および EOL 予定です。\nこの判定には、当社が開発し OSS として公開している\nuzomuzo\nを取り込んでいます。uzomuzo の手法は、セキュリティカンファレンス\nFIRST VulnCon 2026\nでも発表しています。\n確定 EOL・実質 EOL をグループセットから組織横断で検索できるようになりました\n#\nグループセットのソフトウェア一覧で、「注意すべき条件」から「EOL（メンテナンスステータス）」を選んで検索すると、グループセット配下の確定 EOL・実質 EOL のソフトウェアが一覧で表示されます。これまではグループ単位での確認が必要でしたが、CSIRT などのセキュリティ担当者が、組織全体に潜む EOL リスクを横断的に把握できます。\nEU 脆弱性データベース（EUVD）・ENISA KEV に対応しました\n#\nCRA（Cyber Resilience Act）の脆弱性報告義務（2026 年 9 月 11 日施行）への準備として、EU 脆弱性データベース（EUVD）を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。\n悪用されている脆弱性（KEV）を検知した際に即時通知できるようになりました\n#\nKEV（CISA KEV / VulnCheck KEV / ENISA KEV）情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みを追加しました。登録されているサーバに悪用されている脆弱性が見つかった場合、タスク単位で通知されます。通知対象はグループ設定から選択できます。\nPSIRT プランではデフォルトで有効です\nPSIRT プランをご契約のオーガニゼーションでは、本通知がデフォルトで有効になります。\nCVSS v4 を一覧画面・FutureVuls API・各種フィルタ・通知で扱えるようになりました\n#\nこれまで CVSS v4 のみが提供される脆弱性が一覧・FutureVuls API・重要フィルタから漏れる事象が発生していましたが、本リリースで以下のように CVSS v4 に対応しました。\n一覧・FutureVuls API\n：CVSS v4 のスコアおよび最大値を一覧表示・API 取得で扱えるようにしました。\n重要フィルタ・自動トリアージ\n：重要フィルタおよび自動トリアージ（自動脆弱性優先度・自動非表示設定・タスク優先度ルールセット）の判定対象に CVSS v4 を追加しました。\nCSV レポート\n：CVSS v4 のスコア・ベクターの列を追加しました。\n通知\n：自動トリアージの通知メールに CVSS v4 スコアを表示するようにしました。また、Daily / Weekly レポートの「重要な未対応」件数の判定（重要フィルタ）にも CVSS v4 スコアが反映されます。\nこれにより、これまでの「重要な未対応」件数が変動する場合があります。\nダッシュボードやレポートの件数を定点観測されている場合はご留意ください。\nCVSS v2 列の削除予告\n本リリースでは CVSS v2 列は残しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。\nCVSS ベクター（基本評価基準）での絞り込みは CVSS v3 のみが対象です\n重要フィルタや自動トリアージにおける「CVSS Vector（基本評価基準）」での絞り込みは、現時点では CVSS v3 のベクターのみを判定対象としています（CVSS v4 のベクターは対象外）。CVSS スコアでの絞り込みは v2 / v3 / v4 に対応しています。\nライブラリの直接依存／間接依存を判別し、間接依存の更新元を逆引きできるようにしました\n#\nライブラリスキャン結果に「直接依存（direct）／間接依存（indirect）」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。\nまた、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針（どのライブラリを上げれば対象の間接依存が更新されるか）を判断しやすくなります。\nSBOM 由来のライブラリの依存状態\nSBOM に含まれるアプリケーションライブラリの場合、依存状態は SBOM に記載されている依存関係に従って導出されます。\nそのため、「SBOM に依存関係が記載されていない」「SBOM に記載されている依存関係が誤っている」場合には、実態に沿わない依存状態が記載される場合があります。\n必要に応じて、SBOM を生成した元のソース側でも依存状態を確認するようにお願いします。\n新機能追加\n#\n今回のリリースでは、SBOM の取り込み・出力に関する機能を中心に拡充しました（次の4項目）。あわせて\nSBOM 関連の不具合修正\nも実施しています。\n公式対応ツール以外で生成された SBOM も取り込めるようになりました\n#\nこれまでは、FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。\n本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。\nSBOM の公式対応ツールを拡充しました\n#\nSPDX 形式で出力した FutureVuls 製の SBOM\n#\nこれまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。\n本リリースから、SPDX 2.3 形式の SBOM についても正式に対応しました。\nCycloneDX Gradle Plugin で生成されたSBOM\n#\nCycloneDX 公式の Gradle プラグイン（\ncyclonedx-gradle-plugin\n）で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。\nJava / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。\nSBOM 内の要素の取り込み対応範囲を拡張しました\n#\nSBOM 取り込み処理の以下の点を機能改善しました。\nCycloneDX 形式での\ncomponent.type\nの取り込み対象を拡張しました。\nfirmware\nや\ndevice\nなどもインポート対象になります。\nSBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました。\nSBOM から\nPrivate Package\nとして取り込まれるソフトウェアに記載されているライセンス情報を取り込めるようにしました。\nSBOM出力時にライセンス情報も補完されるようになりました\n#\nサーバ詳細画面の、構成情報と脆弱性情報を含む\nSBOM をエクスポートする機能\nに関して、ソフトウェアのライセンス情報を SBOM へ含めるようになりました。\nAWS ECR 連携サーバの最新スキャンイメージ情報を FutureVuls API から取得できるようになりました\n#\nサーバ一覧・サーバ詳細の FutureVuls API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報（イメージ名・タグ）を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。\nGitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました\n#\nGitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL（Package URL）が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能（EOL 検知、GHSA マッチング等）がデフォルトで利用できます。\nサプライチェーンリスク情報を FutureVuls API から取得できるようになりました\n#\nこれまでコンソール画面の「サプライチェーンリスク」タブでのみ確認できたサプライチェーンリスク情報を、FutureVuls API から取得できるようになりました。EOL はもちろん、マリシャスパッケージとして検知されたパッケージ情報もまとめて取得できます。\nグループおよびグループセットのいずれでも取得でき、グループに所属していない CSIRT ユーザでも、配下の全グループのサプライチェーンリスク情報を一括で取得できます。\n詳しい取得方法は\nAPI ドキュメント\nを参照してください。\n自社製品などの EOL 情報（非公開 EOL）をオーガニゼーションごとに登録できるようになりました\n#\n公式の endoflife.date に掲載されていない自社製品や商用ソフトの EOL 情報を、オーガニゼーション内で登録できるようになりました。登録した情報はサプライチェーンリスクの検知対象となり、公式 endoflife.date の情報よりも優先して扱われます。社内の非公開パッケージの EOL を、既存の EOL 検知と同じ画面・ワークフローで一元管理できます。\nこれまで、公式の endoflife.date 未掲載のソフトウェアの EOL を検知対象とするには、お問い合わせベースで公開リポジトリ（\nvuls-saas/endoflife.date\n）への登録が必要でした。公開リポジトリへの登録では EOL 情報が社外に公開されますが、本機能なら社外に公開することなくオーガニゼーション内で登録・管理できます。\n登録・更新・削除は FutureVuls API から行えます。詳しい登録方法は「\n非公開 EOL 情報の登録\n」をご覧ください。\n公式の EOL 検知情報を最新化し、判定精度を向上しました\n#\nFutureVuls の EOL（End of Life：脆弱性が見つかっても修正されないサポート終了状態）検知に用いる公式の判定情報を最新化しました。PHP / Ruby / Go / Java / JavaScript / .NET / Python の各パッケージエコシステムについて、サポート終了の判定を見直しています。\n今回は README のキーワード（\ndeprecated\n等）に頼らず、各パッケージの公式配布サイトや GitHub の一次情報（最新バージョンの公開日・リポジトリのアーカイブ状況・後継への移行宣言など）を実際に確認しました。その結果、誤検知を抑えてより正確な EOL 判定ができます。たとえば「README に\ndeprecated\nと記載があっても、実際はパッケージ内の一機能を指すだけ」といったケースでの取り違えが減ります。\n判定情報は定期的に最新化しています。更新内容は自動で検知へ反映されるため、特別な操作なくご利用いただけます。\n仕様変更\n#\nSSVC の Exploit (PoC) 判定および Exploit の詳細情報から GitHub 上の PoC を除外しました\n#\n信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、GitHub 上の PoC リポジトリ情報を除外しました。\n既存の SSVC 判定値・Exploit 件数が変化する場合があります\nGitHub 上の PoC のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。SSVC を自動トリアージや優先度判断に利用されている場合は、判定結果の変化にご留意ください。\nEOL データソースの追加要望リクエストフォームを廃止しました\n#\n非公開 EOL 情報をオーガニゼーション内で登録できるようになったため、EOL データソースの追加要望に関するリクエストフォームを廃止しました。endoflife.date 未掲載のソフトウェアの EOL を検知対象にしたい場合は、\n非公開 EOL 情報の登録\nをご利用ください。\n重要なバグ修正\n#\nタスク詳細 FutureVuls API のレスポンスキー不整合を修正しました\n#\n以下のタスク詳細系 FutureVuls API のレスポンスについて、ドキュメント記載のキー名（\npkgCpes\n）と実際のレスポンスのキー名（\nserverSoftwares\n）が一致していなかった問題を修正しました。\nOperation\nMethod\nPath\ngetTaskDetail\nGET\n/v1/task/{taskID}\nupdateTask\nPUT\n/v1/task/{taskID}\naddTaskComment\nPOST\n/v1/task/{taskID}/comment\ngetGroupSetTaskDetail\nGET\n/v1/groupSet/task/{taskID}\naddGroupSetTaskComment\nPOST\n/v1/groupSet/task/{taskID}/comment\n互換性維持のため、レスポンスには\nserverSoftwares\n（正式キー）と\npkgCpes\n（deprecated）の両方を含むようにしています。今後の新規連携では\nserverSoftwares\nをご利用ください。\npkgCpes\nは移行猶予期間を経て、将来のリリースで削除予定です。\nSBOM関連機能の問題を修正しました\n#\nSBOM 取り込み処理の以下の不具合を修正しました。\nFossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題\nSPDX 形式の SBOM で一部コンポーネントを取り込めない問題\nSyft で生成した Oracle Linux サーバの取り込みに失敗する問題\nSBOM に\ngithub-action-workflow\n等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題\nまた、その他の SBOM 機能に関する不具合を修正しました。\nSBOM エクスポート時に、あるソフトウェアとそれに割り当てられていた CPE が二重に構成情報として記載されていた問題\nRed Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題\nWindows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題\n一覧テンプレでフィルタ条件が一部反映されない問題を修正しました\n#\n保存した一覧テンプレを適用した際に「空である／空でない」のフィルタ条件が反映されない問題を修正しました。\nSSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました\n#\nログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。\nLibrary / WordPress / AWS Lambda のタスクで「アップデートパッチがでるまで非表示」が設定できない問題を修正しました\n#\nタスク詳細の非表示設定で「アップデートパッチがでるまで」を選択した際、Library / WordPress / AWS Lambda で検知した脆弱性のタスクではエラーとなり設定できない問題を修正しました。あわせて、これらのタスクでもパッチ提供時の通知・コメントが正しく行われるようになりました。\nUI/UX 改善\n#\n一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました\n#\n一覧画面の初期表示カラムを大幅に削減しました。初めてご利用いただくお客様から「多数のカラムに戸惑った」というご指摘をいただいていたため、判断に必要な最低限の情報のみを表示しています。\nこれまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。\n設定画面に「高度な設定」の折りたたみを導入しました\n#\n設定画面を再構成し、日常の管理に必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。\nこちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。\nトークン・Vuls プロキシパスワード等のシークレット情報を伏字（マスキング）表示するようになりました\n#\n以下のシークレット情報について、伏字（マスキング）で表示するように変更しました。\nトークン一覧のトークン文字列\nサーバスキャン追加画面の curl コマンド（インストールコマンド全体を伏字化）\nその他設定画面の API キー等\nマスキングされた文字をクリックすると、表示／非表示の切り替え、または対象文字列のクリップボードへのコピーができます。\nショルダーハック等によるシークレットの漏洩リスク軽減を目的としています。\nTeams 通知でも通知種別ごとに ON/OFF を切り替えられるようになりました\n#\nこれまで Teams Webhook 連携では通知種別ごとの個別制御ができませんでしたが、Slack App と同様に「Daily レポート / トピック作成 / 警戒タグ作成 / 重要フィルタ変更 / Immediate タスク / 悪用されている脆弱性 / スキャンエラー」の通知種別ごとに ON/OFF を切り替えられるようになりました。グループ設定の Teams Webhook 設定から選択できます。\nMicrosoft Teams への通知の表示幅を拡大しました\n#\nTeams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。\nその他\n#\n主に脆弱性詳細画面およびタスク詳細画面において、画面レイアウトや色調の調整を実施しました。\nパフォーマンス改善\n#\nグループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました\n#\nグループ脆弱性一覧 API（\ngetCves\n）およびグループセット脆弱性一覧 API（\ngetGroupSetCves\n）について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。\nご不明な点がございましたら、サポートチームまでお問い合わせください。",
      "date_published": "2026-06-03T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-06-03"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.45.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.45.0",
      "title": "[Syft] v1.45.0",
      "content_text": "### Added Features\n\n- Add support for ZapAddOns as jar files [[#4654](https://github.com/anchore/syft/issues/4654) [#4932](https://github.com/anchore/syft/pull/4932) @douglasclarke]\n- MySQL binary classifier should distinguish between MySQL Cluster (ndb) and MySQL [[#3297](https://github.com/anchore/syft/issues/3297) [#4907](https://github.com/anchore/syft/pull/4907) @witchcraze]\n- Catalog ingress-nginx binary [[#4818](https://github.com/anchore/syft/issues/4818) [#4857](https://github.com/anchore/syft/pull/4857) @witchcraze]\n\n### Bug Fixes\n\n- Support helm binary various versions [[#4820](https://github.com/anchore/syft/issues/4820) [#4922](https://github.com/anchore/syft/pull/4922) @witchcraze]\n- Support julia binary various versions [[#4867](https://github.com/anchore/syft/issues/4867) [#4945](https://github.com/anchore/syft/pull/4945) @witchcraze]\n- Support deno binary old versions [[#4865](https://github.com/anchore/syft/issues/4865) [#4939](https://github.com/anchore/syft/pull/4939) @witchcraze]\n- Compressed kernel modules are not scanned by the linux-kernel-cataloger [[#4721](https://github.com/anchore/syft/issues/4721) [#4740](https://github.com/anchore/syft/pull/4740) @will-bates11]\n- Yarn Berry lockfile parser incorrectly deduplicates packages with multiple resolutions [[#4691](https://github.com/anchore/syft/issues/4691) [#4838](https://github.com/anchore/syft/pull/4838) @calumleslie]\n- Possible misdetection of AWS-LC as OpenSSL 1.1.1 [[#4539](https://github.com/anchore/syft/issues/4539) [#4882](https://github.com/anchore/syft/pull/4882) @witchcraze]\n- Support elixir binary rc versions [[#4819](https://github.com/anchore/syft/issues/4819) [#4851](https://github.com/anchore/syft/pull/4851) @ChrisJr404]\n- Exclude path ending with a slash are discarded [[#4839](https://github.com/anchore/syft/issues/4839) [#4892](https://github.com/anchore/syft/pull/4892) @ChrisJr404]\n- Incorrect CPE for .NET Runtime [[#4738](https://github.com/anchore/syft/issues/4738) [#4743](https://github.com/anchore/syft/pull/4743) @PGrayCS]\n- fix parsing of debian/copyright files [[#4708](https://github.com/anchore/syft/issues/4708) [#4754](https://github.com/anchore/syft/pull/4754) @Bahtya]\n- Grype ignores python requirements in arbitrary equality (===) format [[#4834](https://github.com/anchore/syft/issues/4834) [#4835](https://github.com/anchore/syft/pull/4835) @cyphercodes]\n- valkey is detected as both of valkey and redis [[#4591](https://github.com/anchore/syft/issues/4591) [#4619](https://github.com/anchore/syft/pull/4619) @witchcraze]\n- TypeByName missing \"nuget\" case causes UnknownPkg when reading SPDX SBOMs [[#4837](https://github.com/anchore/syft/issues/4837) [#4848](https://github.com/anchore/syft/pull/4848) @ChrisJr404]\n\n### Additional Changes\n\n- hoist name normalization regexp to package level [[#4926](https://github.com/anchore/syft/pull/4926) @matiasinsaurralde]\n- bump the actions-minor-patch group across 1 directory with 6 updates [[#4946](https://github.com/anchore/syft/pull/4946) @dependabot]\n- bump the actions-minor-patch group across 2 directories with 2 updates [[#4936](https://github.com/anchore/syft/pull/4936) @dependabot]\n- bump the actions-minor-patch group across 1 directory with 4 updates [[#4927](https://github.com/anchore/syft/pull/4927) @dependabot]\n- bump the actions-minor-patch group across 1 directory with 2 updates [[#4920](https://github.com/anchore/syft/pull/4920) @dependabot]\n- bump the actions-minor-patch group across 1 directory with 2 updates [[#4897](https://github.com/anchore/syft/pull/4897) @dependabot]\n- update CPE dictionary index [[#4831](https://github.com/anchore/syft/pull/4831) @anchore-oss-update-bot]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.44.0...v1.45.0)**\n\n",
      "date_published": "2026-06-02T20:32:58Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.45.0"
    },
    {
      "id": "https://yamory.io/it-assets-renewal",
      "url": "https://yamory.io/it-assets-renewal",
      "title": "[Yamory] 脆弱性管理クラウド「yamory」、IT資産登録機能をリニューアル",
      "content_text": "脆弱性管理クラウド「yamory」、IT資産登録機能をリニューアル",
      "date_published": "2026-06-02T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2026-06-02"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.71.0",
      "title": "[Trivy] v0.71.0",
      "content_text": "## ⚡ Highlights ⚡\r\n👉 https://github.com/aquasecurity/trivy/discussions/10767\r\n\r\n## Changelog\r\nhttps://github.com/aquasecurity/trivy/blob/main/CHANGELOG.md#0710-2026-06-01",
      "date_published": "2026-06-01T13:49:26Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.71.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260600_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260600_hotfix/",
      "title": "[FutureVuls] 2026-06 [Hotfix]",
      "content_text": "2026-06 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2026-06-15 リリース内容\n#\nスキャナの更新が必要です\n本不具合の修正にはスキャナの更新が必要です。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.39.3\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.39.3\nVersion: 2025/04\n一部のロックファイルの解析に失敗するとスキャン結果全体が登録されない不具合を修正\n#\n複数のロックファイル（\npackage-lock.json\nや\ngo.mod\n等）のうち1つでも解析に失敗すると、\nスキャン結果全体が登録されない\n不具合を修正しました。本事象は、次のスキャン方法で発生していました。\nVuls Scanner で Lockfile を指定したスキャン\nLockfile のペーストスキャン\n本不具合では、解析に失敗したロックファイルだけでなく、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果まで FutureVuls に反映されませんでした。そのため、対象期間中は本来検知されるべき脆弱性を一覧で確認できず、検知漏れが発生していた可能性があります。Vuls Scanner の更新と再スキャンにより、最新の検知状態へ復元されます。\n影響を受ける対象のお客様\n#\n2026年6月3日の定期リリース（Vuls Scanner v0.39.2）から本 Hotfix リリース（2026年6月15日）までの期間に上記のスキャンを実施し、解析に失敗するロックファイルを含んでいたお客様が対象です。\n修正内容\n#\n解析に失敗したロックファイルのみをスキップし、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果はこれまでどおり登録するようになりました。\nスキップしたロックファイルがある場合は、既存のスキャンエラー通知でファイル名をお知らせします。\n以下のロックファイルのパースに失敗しました。\n- my-app/package-lock.json\n※OSや他の正常なライブラリのスキャン結果はFutureVulsに反映されています。\n不具合の修正方法\n#\nご利用のスキャン方法に応じて、以下のとおりご対応ください。\nVuls Scanner でスキャンしている場合\n: 本修正を反映するため、Vuls Scanner を最新版（v0.39.3）へ更新のうえ、再度スキャンを実施してください。\nLockfile のペーストスキャンの場合\n: FutureVuls 側で対応済みのため、特別なご対応は不要です。\nまた、スキャンエラー通知でロックファイルのパース失敗をお知らせした場合、対象のロックファイル自体に問題があります。当該ロックファイルを修正して再度スキャン（またはペースト登録）いただくと、そのロックファイルに含まれるライブラリの脆弱性も検知できるようになります。",
      "date_published": "2026-06-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-06 [Hotfix]"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260600_pre/",
      "url": "https://help.vuls.biz/releasenotes/20260600_pre/",
      "title": "[FutureVuls] 2026-06 事前予告版",
      "content_text": "2026-06 リリース内容（事前予告版）\n#\n本ドキュメントは、2026年6月3日に予定している正式リリースの予告サマリです。\n内容・日付・名称は変更される可能性があります。\n重要なお知らせ\n#\n【要対応】deprecatedにしていたSBOM関連のAPIを削除しました\n#\n2025年11月リリース\nで deprecated として通知していた、\n/v1/lockfile/sbom\nの API エンドポイントを削除しました。\n該当エンドポイントへのリクエストは\n404 Not Found\nを返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の\n/v1/sbom\nへの移行をお願いします。\n【要対応】Public API のエラーレスポンスを改善しました\n#\nPublic API (\nrest.vuls.biz\n) のエラーレスポンスを以下のように改善しました。\n権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却（従来は HTTP 500 「内部エラー」）\n未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却（従来は空レスポンス相当）\n既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。\n重要な新機能・改善\n#\nソフトウェア詳細タブを大幅に拡張し、OSS の「健全性」を可視化できるようになりました\n#\nソフトウェアサプライチェーン攻撃への対策として、「依存先 OSS の健全性」を把握することの重要性が高まっています。本リリースではソフトウェア詳細に OSS の健全性を判断するための情報を追加し、利用継続の判断をしやすくしました。\n判断材料として、以下の情報が表示されます。\nソフトウェアの概要\n更新状況などの健全性に関する情報（更新がアクティブか、滞っていないか など）\nセキュリティ評価（セキュリティポリシーの有無、セキュリティパッチの提供状況 など）\n開発者向け・運用者向けのサマリ\n当該ソフトウェアに対する推奨アクション\nこのほか、判断の根拠となる各種詳細ページへの外部リンクも表示されます。\nなお、上記の分析は\nパッケージの最新安定版\nを対象とした評価です。サーバ内で検知した特定バージョン（\nexpress@4.17.1\n等）に対する評価ではない点にご留意ください。\nEU 脆弱性データベース（EUVD）・ENISA KEV に対応しました\n#\nCRA（Cyber Resilience Act）の脆弱性報告義務（2026 年 9 月 11 日施行）への準備として、EUVD（European Union Vulnerability Database）を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。\nこれら KEV 情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みも追加しました。通知対象はグループ設定から選択でき、PSIRT オプションが有効なオーガニゼーションではデフォルトで通知が有効になります。\nCVSS v4 を一覧画面・Public API・各種フィルタ・通知で扱えるようになりました\n#\nこれまで CVSS v4 のみが提供される脆弱性が一覧・Public API・重要フィルタから漏れる事象が発生していましたが、本リリースで CVSS v4 のスコアおよび最大値を、一覧表示・API 取得・重要フィルタ・自動トリアージ（自動脆弱性優先度・自動非表示設定・タスク優先度ルールセット）の判定対象に追加しました。あわせて、通知メールや CSV レポートにも CVSS v4 のスコア・ベクターを表示します。\nCVSS v2 列の削除予告\n本リリースでは CVSS v2 列は存置しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。\nSSVC の Exploit (PoC) 判定および Exploit の詳細情報から PoC-in-GitHub を除外しました\n#\n信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、PoC-in-GitHub（GitHub 上の PoC リポジトリ情報）を除外しました。PoC-in-GitHub のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。\nライブラリの直接依存／間接依存を判別し、間接依存の更新元を逆引きできるようにしました\n#\nライブラリスキャン結果に「直接依存（direct）／間接依存（indirect）」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。\nまた、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針（どのライブラリを上げれば対象の間接依存が更新されるか）を判断しやすくなります。\n新機能追加\n#\n公式対応ツール以外で生成されたSBOMも取り込めるようになりました\n#\nこれまでは、 FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。\n本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。\nSBOMの公式対応ツールを拡充しました\n#\nSPDX形式で出力したFutureVuls製のSBOM\n#\nこれまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。\n本リリースから、 SPDX 2.3 形式の SBOM についても正式に対応しました。\nCycloneDX Gradle Plugin で生成されたSBOM\n#\nCycloneDX 公式の Gradle プラグイン（\ncyclonedx-gradle-plugin\n）で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。\nJava / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。\nSBOM内の要素の取り込み対応範囲を拡張しました\n#\nSBOM 取り込み処理の以下の点を機能改善しました。\nCycloneDX 形式での\ncomponent.type\nの取り込み対象を拡張しました。\nfirmware\nや\ndevice\nなどもインポート対象になります。\nSBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました\nAWS ECR 連携サーバの最新スキャンイメージ情報をサーバ API から取得できるようになりました\n#\nサーバ一覧・サーバ詳細の Public API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報（イメージ名・タグ）を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。\nGitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました\n#\nGitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL（Package URL）が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能（EOL 検知、GHSA マッチング等）がデフォルトで利用できます。\nマリシャスパッケージ情報を取得する Public API を追加しました\n#\nマリシャスパッケージとして検知されたパッケージ情報を、グループおよびグループセット横断で取得できる Public API を追加しました。グループに所属していない CSIRT ユーザでも、配下の全グループのマリシャスパッケージ情報をまとめて取得できるようになります。\n自社製品など独自の EOL 情報をオーガニゼーションごとに登録できるようになりました\n#\n公式の endoflife.date に掲載されていない自社製品や商用ソフトの EOL 情報を、オーガニゼーション内で登録できるようになりました。登録した情報はサプライチェーンリスクの検知対象となり、公式 endoflife.date の情報よりも優先して扱われます。社内独自パッケージの EOL を、既存の EOL 検知と同じ画面・ワークフローで一元管理できます。\n登録・更新・削除は Public API から行えます。\n重要なバグ修正\n#\nタスク詳細 Public API のレスポンスキー不整合を修正しました\n#\n以下のタスク詳細系 Public API のレスポンスについて、ドキュメント記載のキー名（\npkgCpes\n）と実際のレスポンスのキー名（\nserverSoftwares\n）が一致していなかった問題を修正しました。\nOperation\nMethod\nPath\ngetTaskDetail\nGET\n/v1/task/{taskID}\nupdateTask\nPUT\n/v1/task/{taskID}\naddTaskComment\nPOST\n/v1/task/{taskID}/comment\ngetGroupSetTaskDetail\nGET\n/v1/groupSet/task/{taskID}\naddGroupSetTaskComment\nPOST\n/v1/groupSet/task/{taskID}/comment\n互換性維持のため、レスポンスには\nserverSoftwares\n（正式キー）と\npkgCpes\n（deprecated）の両方を含むようにしています。今後の新規連携では\nserverSoftwares\nをご利用ください。\npkgCpes\nは移行猶予期間を経て、将来のリリースで削除予定です。\nSBOM関連機能の問題を修正\n#\nSBOM 取り込み処理の以下の不具合を修正しました。\nFossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題\nSPDX 形式の SBOM で一部コンポーネントを取り込めない問題\nSyft で生成した Oracle Linux サーバの取り込みに失敗する問題\nRed Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題\nsyft の SBOM に長い type 名が含まれる場合に取り込みが失敗する問題を修正しました\n#\nsyft で生成した SBOM に\ngithub-action-workflow\n等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題を修正しました。\nWindows サーバの SBOM 出力に適用済み KB 情報が含まれない問題を修正しました\n#\nWindows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題を修正しました。\n一覧テンプレでフィルタ条件が一部反映されない問題を修正しました\n#\n保存した一覧テンプレを適用した際に「空である／空でない」のフィルタ条件が反映されない問題を修正しました。\nSSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました\n#\nログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。\nUI/UX 改善\n#\n一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました\n#\n一覧画面の初期表示カラムを大幅に削減しました。初見のユーザさんから「多数のカラムに戸惑った」という声をいただいていたため、判断に必要な最低限の情報のみを表示しています。\nこれまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。\n設定画面に「高度な設定」の折りたたみを導入しました\n#\n設定画面を再構成し、日常の管理に必要な必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。\nこちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。\nトークン・Vuls プロキシパスワード等のシークレット情報を伏字（マスキング）表示するようになりました\n#\n以下のシークレット情報について、伏字（マスキング）で表示するように変更しました。\nトークン一覧のトークン文字列\nサーバスキャン追加画面の curl コマンド（インストールコマンド全体を伏字化）\nその他設定画面の API キー等\nマスキングされた文字をクリックすると、マスキング文字の表示非表示を切り替え、もしくは、対象の文字列のクリップボードへのコピーをします。\nショルダーハッキング等によるシークレットの漏洩リスク軽減を目的としています。\nMicrosoft Teams への通知の表示幅を拡大しました\n#\nTeams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。\nパフォーマンス改善\n#\nグループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました\n#\nグループ脆弱性一覧 API（\ngetCves\n）およびグループセット脆弱性一覧 API（\ngetGroupSetCves\n）について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。\nご不明な点がございましたら、サポートチームまでお問い合わせください。",
      "date_published": "2026-06-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-06 事前予告版"
    },
    {
      "id": "https://yamory.io/news/emergency-response-plan-for-financial-institutions",
      "url": "https://yamory.io/news/emergency-response-plan-for-financial-institutions",
      "title": "[Yamory] 脆弱性管理クラウド「yamory」、 金融庁・日本銀行の「フロンティア AIによる脅威変化を踏まえた短期的な対応」要請を受け、「金融機関向け緊急対応プラン」の提供開始",
      "content_text": "脆弱性管理クラウド「yamory」、 金融庁・日本銀行の「フロンティア AIによる脅威変化を踏まえた短期的な対応」要請を受け、「金融機関向け緊急対応プラン」の提供開始",
      "date_published": "2026-05-25T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2026-05-25"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.39.2",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.39.2",
      "title": "[Vuls] v0.39.2",
      "content_text": "## Changelog\n* 48f8c7993dd0ee10273b510897e936d4553e4ae1 feat(scanner): support disablerepo option for yum/dnf (#2559)\n* da0e250aaed6030a3956f00500faef1277c310af fix(detector): sort previous JSON dirs in descending order for diff (#2555)\n* 1b9751899ea19cf6d45c76d32b7d487fabe2f83d docs(readme): remove community Slack links (#2554)\n\n",
      "date_published": "2026-05-20T02:36:14Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.39.2"
    },
    {
      "id": "https://yamory.io/news/InteropTokyo2026",
      "url": "https://yamory.io/news/InteropTokyo2026",
      "title": "[Yamory] 株式会社アシュアード、「Interop Tokyo 2026」出展および登壇お知らせ",
      "content_text": "株式会社アシュアード、「Interop Tokyo 2026」出展および登壇お知らせ",
      "date_published": "2026-05-19T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2026-05-19"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.39.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.39.1",
      "title": "[Vuls] v0.39.1",
      "content_text": "## Changelog\n* 140017bde3f1b484013b3ee58a909079c4533572 feat(scanner): expose Trivy dependency graph fields on Library (#2552)\n\n",
      "date_published": "2026-05-18T09:41:45Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.39.1"
    },
    {
      "id": "https://yamory.io/news/AiEngineeringSummitTokyo2026",
      "url": "https://yamory.io/news/AiEngineeringSummitTokyo2026",
      "title": "[Yamory] 脆弱性管理クラウド「yamory」、「AI Engineering Summit Tokyo 2026」出展および登壇お知らせ",
      "content_text": "脆弱性管理クラウド「yamory」、「AI Engineering Summit Tokyo 2026」出展および登壇お知らせ",
      "date_published": "2026-05-14T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2026-05-14"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.39.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.39.0",
      "title": "[Vuls] v0.39.0",
      "content_text": "## Changelog\n* 5cd03fc74ede97f9bdcc60a2bfac28000dd6794e chore(deps): bump github.com/go-git/go-git/v5 (#2549)\n* 6034b6d987fb1d755a83f496ba002d4caeb11153 feat(scanner): add pylock.toml detection (PEP 751) (#2548)\n* 0244ae1f4574bf0192d0d673ad0225ad6120388e deps(dict): bump go-cve-dictionary, go-cti, gost (#2547)\n* c5262f8870a66bb40495534989ab0db85106c5f7 chore(deps): bump github.com/aquasecurity/trivy (#2521)\n* a9079d51ccb481f6cbbddfe4b395c4742a789ee7 chore(deps): bump the all group across 1 directory with 2 updates (#2546)\n* 1f896e57bbec5c31b31b46cca8111b1795565889 chore(deps): bump the others group across 1 directory with 6 updates (#2540)\n* 230527ecfed0cca78833837d3f5c36c90572d3e5 fix(config): refresh openSUSE Leap EOL entries (add 16.0, extend 15.6) (#2543)\n* 6372c4c9f7c0ce47c1e8364324d38e65829cc308 fix(detector/library): regenerate PURL after JAR SHA1 canonicalization (#2533)\n* a9752388944a60457644b51de35f98212e3d6c43 feat(detector/vuls2): thread RedHat CVE Mitigation into VulnInfo (#2532)\n* 18abe6112ffd8fffc4de5b2a2b1103514c1cfff4 test(scanner): source lockfiles from vulsio/integration (#2531)\n* 52eff31b86e21aae68ae003a2549ee9f6be13601 chore(deps): bump the go_modules group across 1 directory with 2 updates (#2527)\n* f235b9cb6669178e314dfe4928a630e17ee72508 chore(deps): bump the all group across 1 directory with 5 updates (#2526)\n* 0e039bb4f19190301013779eddd063b45aa80c4e chore(deps): bump the all group across 1 directory with 2 updates (#2525)\n* c08f424a866f984b608ef6e5b61686c188aa52aa chore(deps): bump the others group across 1 directory with 5 updates (#2523)\n* bb3cad08e742d0af04a361ab221703faff0e2ced feat(config/os): add ubuntu 26.04 (#2524)\n* 71ddc50023a5a414063b182084d7a140e4d82d50 chore(deps): bump the go_modules group across 1 directory with 5 updates (#2520)\n* 4c71b0ac36aff171468c598d04d2c0deac498903 feat!(detector): replace go-exploitdb with vuls2 (#2517)\n* 9991a0f98f03858e6604bad069b08cc6c2550518 feat(scanner/windows): update kb supersession (#2518)\n* b780bb33abdc27a944333caf92a78eb3ccc4ce44 feat(detector): add DataSources filter to enrich function (#2513)\n* 8383d40d006830ebb4496413321c5c58eef118b5 feat!(detector): relace go-msfdb with vuls2 (#2512)\n* 234664ce5c706d35ea0fef1b295773977e88d326 feat!(detector): replace go-kev with vuls2 (#2509)\n* afd0c4d8afed9ce4172a2724e17e7634689882ca fix(detector): enrich all detected CVEs, not only vuls2-detected ones (#2511)\n* fadbbaa5bcd23dd582520a402a06326d5ed9b7e9 feat!(detector): replace gost.FillCVEsWithRedHat with vuls2 (#2505)\n* d9876d17f2d85b841adae684cfc01ff5a79fd890 fix(detector/vuls2): skip advisory fallback for ignored vulns (#2508)\n* 5119155096dc0b1dd94e508fa7300944f53e438b refactor: remove GraphQL-based GitHub detection, add Dependency.PURL (#2502)\n* c7e346165db0d47313810dcaed483e646bf5b955 refactor(scanner/windows): detect version by build number only (#2503)\n* ff914c826ed3cae704407b1c0143a4fd83be6896 chore(deps): bump actions/setup-go in the all group across 1 directory (#2497)\n* 01e3a261c3885f4e15d5c11e2931134ecad79c7c chore(deps): bump the others group across 1 directory with 12 updates (#2498)\n* b67629ccca6317b95c31253b78f73b9d2dfe151a chore(deps): bump the go_modules group across 1 directory with 2 updates (#2495)\n* 44e160e845b83b813181794a701b0dcc4664c75d fix(contrib/trivy): dedup package names and add dup warnings (#2491)\n* 652294a056412597bab033d4b5f84a834fe18ad8 deps: remove fanal framework, call Trivy parsers directly (#2476)\n* b9ac2ff9497df15a3c16b34eefbfc86597ae78fa chore!(contrib/docker): temporarily remove fvuls docker publish (#2483)\n* 35a36c1d9c47c82d7614d383fc9c41a3868cf64f fix(subcmds/report): remove trivy's tmp directory (#2482)\n* b610fa511990128d41f099df718fea92b67a11fb deps: remove trivy/pkg/cache import, replace with local helper (#2478)\n* d2acdcdbf07b23b0cfa981e963de3f47c1caefe5 chore(deps): bump google.golang.org/grpc (#2477)\n* f9865db14e75bd3150226851b1b63782862e95a8 chore(ci): update GitHub Actions workflows (#2474)\n* 95a1e307348c4194e58801ec27dee2a33322d66a fix(ci/diet): fix shell heredoc in diet-check.yml (#2471)\n* 622a72a1809da394771e59e6be0dacf66687e54e chore(ci): add Diet PR metrics workflow (#2469)\n* 3fbd29632aaebacf37f02f4dbcd9202c16750bb0 fix(models): include CPE vulns in total, set \"unknown\" patch status (#2460)\n* 16a9088516743ef8c297bb79f3f173365faa7b14 fix(detector/vuls2): backport ubuntu fix (#2458)\n* adbc4803e62e9fe5926dbe7f81fd2c5d219c4b45 fix(reporter/sbom): add WindowsKB to SBOM output (#2454)\n* 173aacfe59d30745376332678fd824c39f66b134 feat!(detector): detect debian with vuls2 (#2448)\n\n",
      "date_published": "2026-05-12T02:01:31Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "vuls",
      "_version": "v0.39.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.8",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.8",
      "title": "[OSV-Scanner] v2.3.8",
      "content_text": "### Fixes:\r\n\r\n- Fix installation issues with `go install` due to dependency conflicts (downgrade `containerd/cgroups/v3`, `moby/buildkit` and `opencontainers/runtime-spec`). (#2782)\r\n- [Bug #2762](https://github.com/google/osv-scanner/pull/2762) Skip packages with short commit hashes instead of aborting scan.\r\n- [Bug #2781](https://github.com/google/osv-scanner/pull/2781) Secure file path handling with `os.OpenRoot`.\r\n- [Bug #2766](https://github.com/google/osv-scanner/pull/2766) Correct typos across docs, configs, and Go source.\r\n\r\n### Misc:\r\n\r\n- Update osv-scalibr to `v0.4.6-0.20260504042738-9293bfa4f86f`.\r\n",
      "date_published": "2026-05-08T05:28:16Z",
      "tags": [
        "other"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.8"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.112.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.112.0",
      "title": "[Grype] v0.112.0",
      "content_text": "### Added Features\n\n- Expand ignore rules to owned sub packages of distro packages [[#3368](https://github.com/anchore/grype/issues/3368) [#3326](https://github.com/anchore/grype/pull/3326) @kzantow]\n\n### Additional Changes\n\n- update anchore dependencies [[#3391](https://github.com/anchore/grype/pull/3391) @anchore-oss-update-bot]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.111.1...v0.112.0)**\n\n",
      "date_published": "2026-05-01T19:12:37Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.112.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.44.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.44.0",
      "title": "[Syft] v1.44.0",
      "content_text": "### Added Features\n\n- Add support for linux-riscv64 [[#4757](https://github.com/anchore/syft/pull/4757) @luhenry]\n\n### Bug Fixes\n\n- Yarn lockfile cataloguing does not handle aliases [[#4833](https://github.com/anchore/syft/issues/4833) [#4836](https://github.com/anchore/syft/pull/4836) @cyphercodes]\n- Some snippet files are saved in the previous test directory [[#4829](https://github.com/anchore/syft/issues/4829) [#4830](https://github.com/anchore/syft/pull/4830) @witchcraze]\n- empty rockspec causes index out of range [[#4824](https://github.com/anchore/syft/issues/4824) [#4827](https://github.com/anchore/syft/pull/4827) @aki1770-del]\n- PE cataloger shows asp.net core ref assemblies using fileversion build stamp instead of productversion [[#4813](https://github.com/anchore/syft/issues/4813) [#4814](https://github.com/anchore/syft/pull/4814) @rezmoss]\n- Syft safeCopy silently swallows archive decompression errors [[#4806](https://github.com/anchore/syft/issues/4806) [#4807](https://github.com/anchore/syft/pull/4807) @SAY-5]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.43.0...v1.44.0)**\n\n",
      "date_published": "2026-05-01T17:17:31Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.44.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.6",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.6",
      "title": "[OSV-Scanner] v2.3.6",
      "content_text": "### Features:\r\n\r\n- [Feature #2658](https://github.com/google/osv-scanner/pull/2658) Support regex matching for package name overrides.\r\n- [Feature #2510](https://github.com/google/osv-scanner/pull/2510) Scan Homebrew inventory using git repository metadata.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2750](https://github.com/google/osv-scanner/pull/2750) Sanitize \\r/\\n in default/table/vertical output to prevent GitHub Actions workflow command injection.\r\n- [Bug #2641](https://github.com/google/osv-scanner/pull/2641) Correctly output packages from osv-scanner.json source in spdx format.\r\n- [Bug #2729](https://github.com/google/osv-scanner/pull/2729) Increase color contrast of vulnerability stats.\r\n- [Bug #2664](https://github.com/google/osv-scanner/pull/2664) Remove second newline at end of vertical output.\r\n- [Bug #2669](https://github.com/google/osv-scanner/pull/2669) Sanitize \\r in gh-annotations to prevent GitHub Actions workflow command injection.\r\n\r\n### Misc:\r\n\r\n- Update osv-scalibr to `v0.4.6-0.20260428235529-7791e288d6c1`.\r\n- Update Go version to 1.26.2 (#2706).\r\n\r\n## New Contributors\r\n* @djvirus9 made their first contribution in https://github.com/google/osv-scanner/pull/2669\r\n* @jonjensen made their first contribution in https://github.com/google/osv-scanner/pull/2695\r\n* @dosisod made their first contribution in https://github.com/google/osv-scanner/pull/2729\r\n* @ibondarenko1 made their first contribution in https://github.com/google/osv-scanner/pull/2748\r\n* @sjhddh made their first contribution in https://github.com/google/osv-scanner/pull/2744\r\n* @Mananshah237 made their first contribution in https://github.com/google/osv-scanner/pull/2641\r\n* @majiayu000 made their first contribution in https://github.com/google/osv-scanner/pull/2658\r\n* @hits313 made their first contribution in https://github.com/google/osv-scanner/pull/2750\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.3.5...v2.3.6",
      "date_published": "2026-05-01T00:58:10Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.6"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.111.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.111.1",
      "title": "[Grype] v0.111.1",
      "content_text": "### Bug Fixes\n\n- apply overlap by ownership removal to dynamically created relationships [[#3363](https://github.com/anchore/grype/pull/3363) @kzantow]\n- compare mismatched package / db versions [[#3372](https://github.com/anchore/grype/pull/3372) @kzantow]\n- Grype doesn't recognize debian component when `\"group\" : \"debian\"` is specified [[#2967](https://github.com/anchore/grype/issues/2967)]\n- HelpURI missing information in SARIF output [[#2874](https://github.com/anchore/grype/issues/2874) [#3351](https://github.com/anchore/grype/pull/3351) @will-bates11]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.111.0...v0.111.1)**\n\n",
      "date_published": "2026-04-22T17:31:58Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.111.1"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.43.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.43.0",
      "title": "[Syft] v1.43.0",
      "content_text": "### Added Features\n\n- added deno bin classifiers [[#4677](https://github.com/anchore/syft/pull/4677) @rezmoss]\n- Support haskell old versions [[#3237](https://github.com/anchore/syft/issues/3237) [#4793](https://github.com/anchore/syft/pull/4793) @witchcraze]\n- Add support for OpenLDAP binary detection [[#4768](https://github.com/anchore/syft/issues/4768) [#4755](https://github.com/anchore/syft/pull/4755) @nadimz]\n- Support erlang ols versions [[#3235](https://github.com/anchore/syft/issues/3235) [#4766](https://github.com/anchore/syft/pull/4766) @witchcraze]\n\n### Bug Fixes\n\n- improve redhat-release parsing fallback for RHEL clones [[#4808](https://github.com/anchore/syft/pull/4808) @westonsteimel]\n- fix format string in search results struct [[#4775](https://github.com/anchore/syft/pull/4775) @willmurphyscode]\n- prevent infinite recursion in Document.UnmarshalJSON with encoding/json/v2 [[#4748](https://github.com/anchore/syft/pull/4748) @benja-M-1]\n- Syft can not complete scanning golang image [[#4686](https://github.com/anchore/syft/issues/4686)]\n- javascript-package-cataloger drops entire package.json when authors/contributors/maintainers is a single string [[#4778](https://github.com/anchore/syft/issues/4778) [#4779](https://github.com/anchore/syft/pull/4779) @yoav-orca]\n- pnpm lock file cataloger produces unstable output [[#4648](https://github.com/anchore/syft/issues/4648) [#4765](https://github.com/anchore/syft/pull/4765) @lawrence3699]\n- Linux Kernel bzImage and zImage not cataloged by linux-kernel-cataloger [[#4769](https://github.com/anchore/syft/issues/4769) [#4751](https://github.com/anchore/syft/pull/4751) @nadimz]\n- Support istio binary (pilot-discovery, pilot-agent) alpha,beta,rc,dev version [[#4546](https://github.com/anchore/syft/issues/4546) [#4645](https://github.com/anchore/syft/pull/4645) @witchcraze]\n- Scanning mounted ISO: duplicate entries [[#4759](https://github.com/anchore/syft/issues/4759)]\n\n### Additional Changes\n\n- update CPE dictionary index [[#4767](https://github.com/anchore/syft/pull/4767) @anchore-oss-update-bot]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.42.4...v1.43.0)**\n\n",
      "date_published": "2026-04-22T15:59:57Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.43.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.70.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.70.0",
      "title": "[Trivy] v0.70.0",
      "content_text": "## ⚡ Highlights ⚡\r\n👉 https://github.com/aquasecurity/trivy/discussions/10546\r\n\r\n## Changelog\r\nhttps://github.com/aquasecurity/trivy/blob/main/CHANGELOG.md#0700-2026-04-16",
      "date_published": "2026-04-17T06:50:02Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.70.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.111.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.111.0",
      "title": "[Grype] v0.111.0",
      "content_text": "### Added Features\n\n- db diff for v6 [[#3277](https://github.com/anchore/grype/pull/3277) @kzantow]\n- add ProvideFromReader for in-memory SBOM processing [[#3344](https://github.com/anchore/grype/pull/3344) @jspilman]\n- match on hummingbird [[#3331](https://github.com/anchore/grype/pull/3331) @willmurphyscode]\n- CSAF vex transformer [[#3349](https://github.com/anchore/grype/pull/3349) @willmurphyscode]\n- curated mapping of known CPE to grype package specifiers [[#3332](https://github.com/anchore/grype/pull/3332) @westonsteimel]\n- templates/html.tmpl - Add Grype version and vulnerability DB version [[#2877](https://github.com/anchore/grype/issues/2877) [#3345](https://github.com/anchore/grype/pull/3345) @kenvez]\n\n### Bug Fixes\n\n- normalise version constraint types in v6 db [[#3328](https://github.com/anchore/grype/pull/3328) @westonsteimel]\n- set alpm ecosystem for Arch Linux packages [[#3324](https://github.com/anchore/grype/pull/3324) @westonsteimel]\n- spec-compliant CPE string formatting for db search commands [[#3308](https://github.com/anchore/grype/pull/3308) @westonsteimel]\n- Update APK NAK handling to be based on ownership-by-file-overlap relationship [[#3267](https://github.com/anchore/grype/issues/3267) [#3286](https://github.com/anchore/grype/pull/3286) @kzantow]\n- Wrong version output [[#3306](https://github.com/anchore/grype/issues/3306)]\n\n### Additional Changes\n\n- update anchore dependencies [[#3321](https://github.com/anchore/grype/pull/3321) @anchore-oss-update-bot]\n- update tool versions [[#3319](https://github.com/anchore/grype/pull/3319) @anchore-oss-update-bot]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.110.0...v0.111.0)**\n\n",
      "date_published": "2026-04-09T13:29:25Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.111.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.42.4",
      "url": "https://github.com/anchore/syft/releases/tag/v1.42.4",
      "title": "[Syft] v1.42.4",
      "content_text": "### Bug Fixes\n\n- Similar Packages Should Be Aggregated [[#1162](https://github.com/anchore/syft/issues/1162)]\n- Support arangodb binary recent version [[#4571](https://github.com/anchore/syft/issues/4571) [#4662](https://github.com/anchore/syft/pull/4662) @witchcraze]\n- Support go binary various versions [[#4687](https://github.com/anchore/syft/issues/4687) [#4694](https://github.com/anchore/syft/pull/4694) @kzantow]\n\n### Additional Changes\n\n- update CPE dictionary index [[#4745](https://github.com/anchore/syft/pull/4745) @anchore-oss-update-bot]\n- update CPE dictionary index [[#4726](https://github.com/anchore/syft/pull/4726) @anchore-oss-update-bot]\n- Add a trust boundary section [[#4716](https://github.com/anchore/syft/pull/4716) @joshbressers]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.42.3...v1.42.4)**\n\n",
      "date_published": "2026-04-08T20:46:59Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.42.4"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260408_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260408_hotfix/",
      "title": "[FutureVuls] 2026-04-08 [重要]",
      "content_text": "【重要】RedHat 環境におけるタスクステータスの意図しない変更に関するお詫びと、データ復旧実施のお知らせ\n#\n日頃より FutureVuls をご利用いただき、誠にありがとうございます。\n2026年3月7日〜3月12日の期間中、脆弱性データ取り込み機構の不備により、一部のお客様環境にて RedHat サーバのタスクステータスが意図せず変更（\nNEW\nへの巻き戻し等）される事象が発生いたしました。\n日々の運用において多大なるご迷惑をおかけしておりますことを、深くお詫び申し上げます。また、お客様のこれまでのトリアージ判断を安全かつ確実に復元するための復旧ロジックの検証に時間を要し、事象発生から本ご案内までにお時間をいただきましたこと、重ねてお詫び申し上げます。\n本件に関する原因、対象範囲、および\n2026年4月8日に実施するデータ復旧処理\n、ならびに今後の再発防止策についてご報告いたします。\nサービス停止はありません\n本復旧処理に伴う、FutureVuls のサービス停止（ダウンタイム）は発生いたしません。\n1. 発生した事象と根本原因\n#\n事象の根本原因は、FutureVuls が脆弱性データソースとして利用している脆弱性データベースの取り込み処理（RedHat 向け）のアップデートにおいて、データ構造の変更と処理ロジックの更新を同時に行った際の不具合です。上流データの変更に対するシステム側の異常検知が不十分であったため、脆弱性の検知条件が大幅に欠落する結果となりました。\n2026年3月7日\n: 上記の不具合により、RedHat の脆弱性検知条件が欠落した状態で取り込みが行われました。FutureVuls はこれを「脆弱性が解消された」とシステム的に解釈し、対象タスクを自動的に\nPATCH_APPLIED\nへ遷移させました。\n2026年3月12日\n: 不具合が修正され、正常な脆弱性情報の取り込みが再開されました。これにより FutureVuls 上で「新たな脆弱性が検知された」と判定され、事象発生前にお客様が手動で設定していたステータス（\nINVESTIGATING\n等）が破棄され、初期状態である\nNEW\nに巻き戻る事象が大量発生しました。\n2. 影響範囲\n#\n対象サーバ\n: RedHat の OS を利用しており、2026年3月7日〜3月12日の間に FutureVuls でスキャンが実行されたサーバ\n対象タスク\n: お客様が手動で以下のステータスを設定していたにも関わらず、上記期間中に\nNEW\nへ巻き戻ってしまったタスク\n  （\nINVESTIGATING\n,\nONGOING\n,\nDEFER\n,\nALT_RESOLVED\n,\nNOT_AFFECTED\n,\nWORKAROUND\n,\nRISK_ACCEPTED\n）\n3. データ復旧処理の実施について\n#\n影響を受けた全オーガニゼーションを対象に、タスクステータスの自動復旧作業を実施いたします。\n実施日時\n: 2026年4月8日（水）17:00〜 順次実行（日本時間）\n復旧内容\n: 2026年3月6日時点のバックアップデータを基に、事象発生前にお客様が設定されていた本来のステータスへ復旧します。\nステータス別の復旧方針と重要な例外\n#\nお客様の現在の運用を妨げないこと、およびセキュリティリスクを最小化することを最優先とし、以下のルールで復旧します。\n事象発生前のステータス\n復旧の有無\n備考・理由\nNEW\n対象外\n元々未対応のタスクであるため。\nPATCH_APPLIED\n対象外\n未対応の脆弱性を誤って「対応済」にしてしまうセキュリティリスクを完全に排除するため、対象外としています。（※当該期間に実際にパッチが適用されたものは、その後のスキャンにより自動で\nPATCH_APPLIED\nに遷移しています）\n上記以外のステータス\n（\nINVESTIGATING\n等）\n復旧する\n3月6日時点のステータスに復元します。\n不具合発生後（3月12日以降）に、お客様が手動でステータスを変更済みの場合\n事象発生後に行われたお客様の最新のトリアージ判断を優先するため、今回の復旧処理による\n上書きは行いません\n。\n4. お客様へのお願いと確認方法\n#\n今回のデータ復旧処理により、影響を受けたタスクのステータスは自動的に事象発生前の状態へ復元されるため、\n原則としてお客様側での追加作業は発生いたしません。\n復旧処理の完了後、復元されたタスクの状況をご確認いただく場合は、以下の方法で FutureVuls の画面上から特定いただけます。\n確認手順\n: タスク一覧画面にて、\n「ステータス更新日時」を\n2026年4月8日 17:00以降\nに指定してフィルタリング\nしてください。\nシステムコメント\n: 復旧対象となったタスクには、以下のコメントが自動付与されています。\n「FutureVuls によってステータスが NEW から {復旧後ステータス} に変更されました」\n5. 再発防止策について\n#\n本件の最大の課題は、脆弱性データベースの取り込み処理のアップデート時に、検知条件の大幅な欠落を検出・ブロックする仕組みが不足していた点にあります。\n脆弱性管理プラットフォームとして、脆弱性データベースの不具合によってお客様の運用タスクが破壊されることは絶対にあってはならない事態であると重く受け止めております。この問題を根本から解決するため、脆弱性情報の配信パイプラインに以下の安全装置を導入いたします。\n脆弱性情報配信時のアノマリー検知と自動ブロック機能（2026年4月末稼働予定）\n#\n脆弱性情報のビルド時および本番環境への配信プロセスにおいて、「前回データからの差分量（特にデータの減少量）」を自動評価するステップを組み込みます。\n具体的には、\n「特定 OS（RedHat 等）の検知ルール件数が、統計的に有意な異常値（大規模なデータの欠落など）を示した」\n場合、本番環境への配信を自動で即時停止します。\n同時に弊社開発チームへアラートを発報し、エンジニアによる安全性の確認と原因究明が完了するまでデータの更新を保留することで、今回のような検知条件の欠落によるお客様環境への影響を水際で防ぐ仕組みを構築いたします。\n本件に関するご不明点、または復旧処理後のデータに関するお問い合わせは、お手数ですが\nサポート窓口\nまでご連絡ください。\n今後とも、FutureVuls をよろしくお願い申し上げます。",
      "date_published": "2026-04-08T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-04-08 [重要]"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260406_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260406_hotfix/",
      "title": "[FutureVuls] 2026-04-06 [重要]",
      "content_text": "2026-04-06 リリース内容\n#\n定期自動スキャンの仕様変更\n#\n2026-02-24 のリリースノート\nにて予告していた、定期自動スキャンの仕様変更を実施しました。\n変更内容\n#\nスキャナ経由で登録され、\n過去24時間以内に構成情報が同期されたサーバについては、深夜の定期自動スキャンの対象外（スキップ）\nとなります。\n※ 本変更によって、対象サーバの新たな脆弱性検知が漏れることや、検知精度に影響が出ることはございませんのでご安心ください。\n変更の目的\n#\nシステム全体の負荷軽減および、サービスのパフォーマンス向上を目的としています。\nお客様側で必要なご対応\n#\n本変更に伴い、お客様側での FutureVuls 上の設定変更や、サーバ側の対応は\n一切不要\nです。これまで通りご利用いただけます。\n本仕様に関する詳細は、マニュアル「\n定期自動スキャン\n」をご参照ください。",
      "date_published": "2026-04-06T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-04-06 [重要]"
    },
    {
      "id": "https://yamory.io/news/GoogleCloudOrganizationIntegration",
      "url": "https://yamory.io/news/GoogleCloudOrganizationIntegration",
      "title": "[Yamory] Google Cloud 組織連携機能をリリース",
      "content_text": "Google Cloud 組織連携機能をリリース",
      "date_published": "2026-03-31T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2026-03-31"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.5",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.5",
      "title": "[OSV-Scanner] v2.3.5",
      "content_text": "# v2.3.5\r\n\r\n### Features:\r\n\r\n- [Feature #2571](https://github.com/google/osv-scanner/pull/2571) Enable transitive scanning for Python requirements.txt files using the deps.dev API.\r\n- [Feature #2649](https://github.com/google/osv-scanner/pull/2649) Add ability to allow unsafe plugins, logging a warning when any unsafe plugin is enabled.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2630](https://github.com/google/osv-scanner/pull/2630) Improve startup performance on Windows Terminal by updating lipgloss.\r\n- [Bug #2599](https://github.com/google/osv-scanner/pull/2599) Ensure the package deprecation enricher respects the same configuration as other plugins.\r\n- [Bug #2600](https://github.com/google/osv-scanner/pull/2600) Ensure the Java extractor plugin for call analysis respects the same configuration as other plugins.\r\n\r\n### Misc:\r\n\r\n- Update osv-scalibr from v0.4.2 to v0.4.5. Release notes: [v0.4.3](https://github.com/google/osv-scalibr/releases/tag/v0.4.3), [v0.4.4](https://github.com/google/osv-scalibr/releases/tag/v0.4.4), [v0.4.5](https://github.com/google/osv-scalibr/releases/tag/v0.4.5).\r\n- Fix broken release workflow.\r\n\r\n## New Contributors\r\n* @gurusai-voleti made their first contribution in https://github.com/google/osv-scanner/pull/2520\r\n* @hopkincame made their first contribution in https://github.com/google/osv-scanner/pull/2564\r\n* @tobyhawker made their first contribution in https://github.com/google/osv-scanner/pull/2639\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.3.3...v2.3.5",
      "date_published": "2026-03-25T00:23:10Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.5"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.110.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.110.0",
      "title": "[Grype] v0.110.0",
      "content_text": "### Added Features\n\n- suppress GHSA matches on language packages in fixed APKs [[#3282](https://github.com/anchore/grype/pull/3282) @willmurphyscode]\n\n### Bug Fixes\n\n- use Syft for decoding CPEs [[#3058](https://github.com/anchore/grype/pull/3058) @chovanecadam]\n\n### Additional Changes\n\n- bump github.com/buger/jsonparser to v1.1.2 [[#3297](https://github.com/anchore/grype/pull/3297) @willmurphyscode]\n- update quality gate labels [[#3293](https://github.com/anchore/grype/pull/3293) @westonsteimel]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.109.1...v0.110.0)**\n\n",
      "date_published": "2026-03-19T18:16:47Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.110.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.42.3",
      "url": "https://github.com/anchore/syft/releases/tag/v1.42.3",
      "title": "[Syft] v1.42.3",
      "content_text": "### Bug Fixes\n\n- Missing secondary evidence for .NET dependency in ghcr.io/open-telemetry/demo:2.0.0-accounting image [[#4652](https://github.com/anchore/syft/issues/4652)]\n\n### Additional Changes\n\n- bump github.com/buger/jsonsparser to v1.1.2 [[#4680](https://github.com/anchore/syft/pull/4680) @willmurphyscode]\n- centralize temp files and prefer streaming IO [[#4668](https://github.com/anchore/syft/pull/4668) @willmurphyscode]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.42.2...v1.42.3)**\n\n",
      "date_published": "2026-03-19T17:08:34Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.42.3"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.6",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.6",
      "title": "[Vuls] v0.38.6",
      "content_text": "## What's Changed\r\n* chore(deps): update dependencies and integration by @shino in https://github.com/future-architect/vuls/pull/2443\r\n* fix(contrib/trivy): O(N²) library duplication in trivy-to-vuls ClassLangPkg handling by @Copilot in https://github.com/future-architect/vuls/pull/2450\r\n* feat(detector/vuls2): amazon linux by vuls2 by @shino in https://github.com/future-architect/vuls/pull/2441\r\n\r\n## New Contributors\r\n* @Copilot made their first contribution in https://github.com/future-architect/vuls/pull/2450\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.38.5...v0.38.6",
      "date_published": "2026-03-11T03:06:54Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.6"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.109.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.109.1",
      "title": "[Grype] v0.109.1",
      "content_text": "### Bug Fixes\n\n- CVE-2025-12183 is not detected even if vulnerable jar is present [[#3205](https://github.com/anchore/grype/issues/3205)]\n\n### Additional Changes\n\n- migrate fixtures to testdata [[#3263](https://github.com/anchore/grype/pull/3263) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.109.0...v0.109.1)**\n\n",
      "date_published": "2026-03-09T19:50:07Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.109.1"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.42.2",
      "url": "https://github.com/anchore/syft/releases/tag/v1.42.2",
      "title": "[Syft] v1.42.2",
      "content_text": "### Bug Fixes\n\n- [BUG] Incorrect Maven PURL generation: `Automatic-Module-Name` should not be used as Maven groupId [[#4611](https://github.com/anchore/syft/issues/4611) [#4642](https://github.com/anchore/syft/pull/4642) @xnox]\n- Checksum is 0 for spdx files [[#2307](https://github.com/anchore/syft/issues/2307) [#4620](https://github.com/anchore/syft/pull/4620) @ppalucha]\n- Support grafana binary various versions [[#4559](https://github.com/anchore/syft/issues/4559) [#4635](https://github.com/anchore/syft/pull/4635) @witchcraze]\n\n### Additional Changes\n\n- migrate fixtures to testdata [[#4651](https://github.com/anchore/syft/pull/4651) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.42.1...v1.42.2)**\n\n",
      "date_published": "2026-03-09T18:34:26Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.42.2"
    },
    {
      "id": "https://yamory.io/news/ssvc",
      "url": "https://yamory.io/news/ssvc",
      "title": "[Yamory] SSVCに対応しオートトリアージ機能をアップデート",
      "content_text": "SSVCに対応しオートトリアージ機能をアップデート",
      "date_published": "2026-03-09T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2026-03-09"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.69.3",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.69.3",
      "title": "[Trivy] v0.69.3",
      "content_text": "## Changelog\n* 6fb20c8edd70745d6b34bff0387b53b03c8a760a release: v0.69.3 [release/v0.69] (#10293)\n* dabefec57d099184bc8bd268dea23cd5d502f9cc fix(deps): bump github.com/go-git/go-git/v5 from 5.16.4 to 5.16.5 [backport: release/v0.69] (#10291)\n\n",
      "date_published": "2026-03-03T13:14:48Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.69.3"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.5",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.5",
      "title": "[Vuls] v0.38.5",
      "content_text": "## Changelog\n* b87a83a9334264c4fea9f80ffbe56e130ff671b5 fix(scanner/windows): ignore unexpected lines (#2440)\n* a1314fc34d96e851cc3c3bfa39ec47353a9a0130 feat(detector/vuls2): SUSE by vuls2 (#2284)\n\n",
      "date_published": "2026-03-03T09:56:51Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.5"
    },
    {
      "id": "https://yamory.io/news/ismap",
      "url": "https://yamory.io/news/ismap",
      "title": "[Yamory] 政府情報システムのためのセキュリティ評価制度『ISMAP』に登録",
      "content_text": "政府情報システムのためのセキュリティ評価制度『ISMAP』に登録",
      "date_published": "2026-03-03T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2026-03-03"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.4",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.4",
      "title": "[Vuls] v0.38.4",
      "content_text": "## Changelog\n* 9efad2a9e7b9ceaef0d1b6f3c41a54ba18bde714 chore(deps): downgrade github.com/package-url/packageurl-go v0.1.4 => v0.1.3 (#2438)\n\n",
      "date_published": "2026-03-02T07:34:40Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.4"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.3",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.3",
      "title": "[Vuls] v0.38.3",
      "content_text": "## Changelog\n* 6d9ee53e33ad01212a78199e84db04b17ea3ddbe chore(deps): bump the others group across 1 directory with 7 updates (#2434)\n* c81fc7f5fe730ef8ae3fd32a6082e43a5dbd3764 chore(deps): update trivy (#2437)\n* 43e2b65c7e3cbcdc00de0496e9e39f31f55c9d73 chore(deps): bump go.opentelemetry.io/otel/sdk (#2436)\n* 101d9374cabaa80755484e4e5c5bcad6feee180d chore(deps): bump github.com/cloudflare/circl (#2433)\n* 6f67f57b3392ae8bfe7f4c9601b9e4ba81d52c7f fix(config/os): update amazon linux 2023 EOL (#2432)\n* 115ebfc8023a1a81443ca1c3c8d947c49843849f refactor(scanner/windows): check invalid property, scanner err (#2431)\n\n",
      "date_published": "2026-03-02T05:06:56Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260302_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260302_hotfix/",
      "title": "[FutureVuls] 2026-03-02 [Hotfix]",
      "content_text": "2026-03-02 リリース内容\n#\n【緊急リリース】Trivy サプライチェーン攻撃に伴うスキャナ更新について\n#\nFutureVuls をご利用のお客様への影響はありません\n調査の結果、FutureVuls が配布していた Trivy v0.69.1 は改ざんを受けていないことを確認しました。\n本リリースでは予防措置として、Aqua Security が公開した Hotfix 版（Trivy v0.69.2）へスキャナを更新しています。\n詳細な検証プロセスは\nブログ記事\nをご参照ください。\nスキャナの更新が必要です\n本リリースでは、Trivy の Hotfix 対応に加えて vuls scanner の更新も含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.38.4\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.38.4\nVersion: 2025/04\nTrivy\n[NEW] v0.69.2\nVersion: 2025/04\n1. 本リリースでの対応内容\n#\nTrivy v0.69.1 の GitHub Releases 上のアセットが削除済みのため、Aqua Security が公開した\nTrivy v0.69.2\n（Sigstore 署名付き）で動作確認のうえ、FutureVuls のスキャナを更新しました。\nDocker スキャン（Trivy）\nをご利用の方：スキャナ更新により Trivy v0.69.2 が適用されます\nvuls scanner で lockfile を指定したスキャン\nをご利用の方：スキャナ更新により vuls scanner 内部の Trivy が v0.69.2 に更新されます\nCI/CD パイプラインへの組み込み\nをご利用の方：\ninstaller.vuls.biz\n経由で取得される Trivy が v0.69.2 に更新されます\n2. ユーザ様へのお願い\n#\nスキャナの更新をお願いします：\nv0.69.1 の GitHub Releases アセットが削除されている関係上、スキャナを最新版に更新することを推奨します。スキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\nCI/CD パイプラインをご利用の方：\nパイプラインを再実行することで、最新の Trivy v0.69.2 が取得されます。\n3. 事件の概要\n#\n2026年2月21日〜28日にかけて、Trivy の GitHub リポジトリが第三者に乗っ取られるサプライチェーン攻撃が発生しました。この攻撃により、以下の影響がありました。\nGitHub Releases v0.27.0〜v0.69.1 の全削除（リリースノート・アセット含む）\nGitHub リポジトリの一時的な非公開化\nTrivy VSCode 拡張\nへの悪意あるアーティファクトのプッシュ\nAqua Security は 3/1 に\n公式インシデント報告\nを公開し、Hotfix として Trivy v0.69.2 をリリースしています。攻撃の詳細については\nStepSecurity の分析記事\nもご参照ください。\n4. FutureVuls 配布バイナリの安全性について\n#\nFutureVuls は\n2/24 のリリース\n時に Trivy v0.69.1 を GitHub Releases から直接取得しており、取得日（2/24）が攻撃期間（2/21〜2/28）にかかっていたため、独自にバイナリの改ざん有無を検証しました。\n以下の 3 つの観点から検証し、\n改ざんを受けていない\nと判断しています。\nバイナリハッシュの比較\n- S3 上の FutureVuls 配布バイナリと、GHCR（GitHub Container Registry）公式イメージ内バイナリの SHA256 が\namd64・arm64 ともに完全一致\nビルドタイムスタンプの確認\n- GHCR イメージのビルド日時は\n2026-02-05\n（攻撃開始の\n16 日前\n）\nSigstore 署名・透明性ログの検証\n- Rekor 透明性ログで攻撃前からの連続記録を確認し、cosign 署名検証で Aqua Security の正規ワークフローによるビルドであることを暗号学的に確認\n詳細な検証手順・結果については、ブログ記事「\nTrivy サプライチェーン攻撃：FutureVuls 配布バイナリの安全性検証レポート\n」をご参照ください。\n参考リンク\n#\nTrivy サプライチェーン攻撃：FutureVuls 配布バイナリの安全性検証レポート（FutureVuls ブログ）\nTrivy 公式インシデント報告（Trivy security incident 2026-03-01 #10265）\nStepSecurity による攻撃分析\nTrivy GitHub Releases\nFutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。",
      "date_published": "2026-03-02T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-03-02 [Hotfix]"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.69.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.69.2",
      "title": "[Trivy] v0.69.2",
      "content_text": "## Changelog\n* cfa322ed23f2e33ef1632ae3a5a8c7172f06a5c3 release: v0.69.2 [release/v0.69] (#10266)\n* 86debce0f4897e9501368fe0611c5ae472a141eb fix(deps): bump go.opentelemetry.io/otel/sdk from 1.39.0 to 1.40.0 [backport: release/v0.69] (#10267)\n* cf3d4cd6a8bdf5b5b1d701f591bd8aaabd2c7c27 fix(deps): bump github.com/cloudflare/circl from 1.6.1 to 1.6.3 [backport: release/v0.69] (#10264)\n* 6dfd3b078b95d30e812e04f13fd1cac7e08f9b4e ci: remove apidiff workflow\n\n",
      "date_published": "2026-03-01T19:14:14Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.69.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260300_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260300_hotfix/",
      "title": "[FutureVuls] 2026-03 [Hotfix]",
      "content_text": "2026-03 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2026-03-04 リリース内容\n#\nスキャナの更新が必要です\nスキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\nWindows用スキャナ vuls v0.38.4 のバグ修正（v0.38.5）\n#\nWindows 用スキャナ vuls v0.38.4 に含まれていたバグを修正し、v0.38.5 をリリースしました。\nLinux 用スキャナについても同バージョン v0.38.5 に更新しています。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.38.5\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.38.5\nVersion: 2025/04\n不具合の内容\n#\nWindows 環境でインストール済みパッケージの取得時に、PowerShell の PackageManagement が出力する警告メッセージをパッケージ情報として解析しようとし、スキャンがエラーになる不具合がありました。\nFailed to parse installed packages. err:\n  - Failed to parse property. expected: [\"Name : <PackageName>\" \"Version : <Version>\" ProviderName: <ProviderName>\" \"Publisher : <Publisher>\"], \n    actual: \"警告: MSG:UnableToDownload ≪https://go.microsoft.com/fwlink/?LinkID=627338&clcid=0x409≫ ≪≫\"\n修正内容\n#\nパッケージ情報のパース処理を改善し、PowerShell の警告メッセージが混在していてもスキャンが正常に完了するようになりました。\n2026-03-12 リリース内容\n#\nスキャナの更新が必要です\nスキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nTrivy\n[NEW] v0.69.3\nVersion: 2025/04\n【障害報告とご対応のお願い】Trivyスキャナにおけるソフトウェア情報重複の不具合修正について\n#\nTrivy スキャナを利用したスキャンにおいて、ソフトウェア情報が重複して登録され、それに伴い関連するソフトウェア数が肥大化する不具合が発生しておりました。\n本件により、不要な情報が表示され、日々の脆弱性管理業務にご不便をおかけしましたことを深くお詫び申し上げます。\n現在は修正が完了しておりますが、該当する環境をご利用のお客様におかれましては、\nバイナリの更新（再スキャン）\nを実施していただきますようお願いいたします。\n不具合の内容\n#\nTrivy スキャン時、スキャン対象のロックファイルが複数存在する場合に、各ライブラリが全ロックファイルに複製され、サーバ内のソフトウェア数が「実際のソフトウェア数よりも多く表示されてしまう」不具合が発生していました。\nまた、これに伴い、「関連するソフトウェア」が肥大化してしまう事象も発生していました。\n以下、ロックファイルを3つ持つリポジトリをスキャンした場合を例に、今回のケースを説明します。\nmy-repo/\n├── package-lock.json          … ライブラリ A, B, C（3個）\n├── frontend/\n│   └── package-lock.json      … ライブラリ D, E（2個）\n└── tools/\n    └── package-lock.json      … ライブラリ F（1個）\n正常時は各ロックファイルごとにライブラリが個別に登録され、合計 6 個のソフトウェアとなります。\n一方、本不具合発生時においては、すべてのロックファイルに全ライブラリが複製され、ソフトウェア数が実際の数より多く登録されていました。\nロックファイル\n正常時（修正後）\n不具合発生時\npackage-lock.json\nA, B, C（3個）\nA, B, C, D, E, F（6個）\nfrontend/package-lock.json\nD, E（2個）\nA, B, C, D, E, F（6個）\ntools/package-lock.json\nF（1個）\nA, B, C, D, E, F（6個）\n合計\n6個\n18個（本来の3倍）\n原因:\nTrivy スキャン用スクリプト内で使用している変換バイナリ（\ntrivy-to-vuls\n）に処理ロジックの不備が含まれておりました\nセキュリティ影響:\nソフトウェアが過剰に検知・表示される不具合であり、本件に起因する脆弱性の「検知漏れ」は発生しておりません\n影響を受ける対象のお客様\n#\n2026 年 2 月 24 日の定期リリース以降、v0.69.1 または v0.69.2 の Trivy スキャナを利用してスキャンを実施したサーバにおいて、今回の不具合が発生しておりました。\nライブラリ種別に関わらず、ロックファイルを含むすべての環境が対象です。\n修正内容\n#\n変換バイナリ（\ntrivy-to-vuls\n）の構成情報取得ロジックを、以下の PR にて修正しました。\nhttps://github.com/future-architect/vuls/pull/2450\nこの修正により、 Trivy スキャン時に正しい構成情報を FutureVuls へ連携できるようになり、「ソフトウェアの複製」および「ソフトウェア数の肥大化」を解消いたしました。\n不具合の修正方法\n#\n不具合を解消し、正しい構成情報を取り込むため、以下の手順でバイナリの最新化と再スキャンをお願いいたします。\n※ 再スキャンが完了すると、過去に重複登録された不要なソフトウェア情報は自動的に上書き・削除され、正常な状態に戻ります。\n通常版の Trivy スキャンをご利用の方：\nTrivy スキャナの\nconfig.toml\n内の\nrefreshScanner\nを true にし、再度スキャンしてください。再度スキャンいただくことで、最新の\ntrivy-to-vuls\nバイナリがダウンロードされ、不具合が解消されます。\nconfig.toml\nの書き方の例は\nこちら\nです。\nCI/CD パイプライン内等で、軽量版の Trivy スキャンをご利用の方：\nパイプラインを再実行することで、自動的に修正後の\ntrivy-to-vuls\nバイナリが取得・使用されます。",
      "date_published": "2026-03-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-03 [Hotfix]"
    },
    {
      "id": "https://yamory.io/news/SecurityDaysSpring2026",
      "url": "https://yamory.io/news/SecurityDaysSpring2026",
      "title": "[Yamory] 「Security Days Spring 2026」出展および登壇のお知らせ",
      "content_text": "「Security Days Spring 2026」出展および登壇のお知らせ",
      "date_published": "2026-02-26T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2026-02-26"
    },
    {
      "id": "https://yamory.io/news/googlecloud_scan",
      "url": "https://yamory.io/news/googlecloud_scan",
      "title": "[Yamory] クラウドアセットスキャン機能のGoogle Cloud対応を開始",
      "content_text": "クラウドアセットスキャン機能のGoogle Cloud対応を開始",
      "date_published": "2026-02-25T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2026-02-25"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260224/",
      "url": "https://help.vuls.biz/releasenotes/20260224/",
      "title": "[FutureVuls] 2026-02-24",
      "content_text": "2026-02-24 リリース内容\n#\nスキャナの更新が必要です\n今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.38.2\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.38.2\nVersion: 2025/04\nTrivy\n[NEW] v0.69.1\nVersion: 2025/04\n重要なお知らせ\n#\n【要対応】レートリミットの導入\n#\n本リリースより、FutureVuls API にレートリミットを導入しました。制限値は API トークンごとに 20 リクエスト/分、IP アドレスごとに 200 リクエスト/分です。\n必要に応じて、バッチ API への処理移行や sleep の導入等により対応をお願いいたします。詳細は\nレートリミット\nを参照してください。\n【要対応】Teams連携の移行対応\n#\nMicrosoft Office 365 Connector の廃止（2026年4月30日）\nに伴い、FutureVuls の Teams 通知を Power Automate Workflows に移行しました。\n既存の Teams 連携をご利用のお客様は、\n2026年4月30日\nまでに以下の手順で設定変更をお願いいたします。\nTeams 側で Power Automate Workflows の Webhook URL を生成する\nFutureVuls の「グループ設定 > 通知 > Teams」で、新しい Webhook URL に更新する\n詳しい設定手順は\nTeams通知設定\nをご参照ください。\n旧 Webhook URL について\n旧 Office 365 Connector の Webhook URL（\n*.webhook.office.com\n）は、2026年4月30日以降使用できなくなります。期日までに新しい Webhook URL（\n*.api.powerplatform.com\n）への切り替えをお願いいたします。\n定期自動スキャンの仕様変更予定 (2026年3月末)\n#\n本リリースとは別に、2026年3月下旬の Hotfix リリースで仕様変更を予定しています。スキャナ経由で登録され、過去24時間以内に構成情報が同期されたサーバは、深夜の定期自動スキャンの対象外となります。システム全体の負荷軽減が目的であり、お客様側の設定変更は不要です。\n詳細は「\n定期自動スキャン\n」を参照してください。\n重要な新機能・改善\n#\nWindows ソフトウェアへの CPE 自動割当\n#\nFutureVuls が独自に構築した検証済み CPE 辞書に基づき、スキャン時に Windows ソフトウェア（Google Chrome、Adobe Acrobat Reader など）へ CPE を自動で割り当てる機能を追加しました。\n従来は手動での CPE 割り当てが必要でしたが、本機能により辞書に登録済みの製品であれば自動で CPE が割り当てられ、脆弱性を検知できるようになります。\n既存グループではデフォルト無効のため、利用するには\nグループ設定\nで「CPE 自動割当」を有効にしてください。\n新規作成グループではデフォルト有効です。手動割当済の CPE は上書きされません（手動割当が常に優先）。\n詳細は「\nCPEの自動割当\n」を参照してください。\nソフトウェア一覧 > CPE 割当種別（自動・手動・未割り当て）\nソフトウェア詳細 > 手動設定した CPE が検証済み辞書と差異がある場合\nグループ設定 > CPE 自動割当機能の有効化設定\nマリシャスパッケージ管理の強化\n#\nこれまで検知のみだったマリシャスパッケージ（悪意のあるパッケージ）について、サプライチェーンリスクタブでの対応管理と即時通知機能を追加しました。検知から対応完了までを一元的に管理できるようになります。\nサプライチェーンリスクタブへの統合\n#\nEOL 管理と同様に、マリシャスパッケージを\nサプライチェーンリスクタブ\nで管理できるようになりました。\n一覧画面でのリスク可視化\n: 検知されたマリシャスパッケージを一覧で把握できます。グループセット画面では、配下グループ全体の対応状況を横断的にモニタリングできます。\n詳細画面での対応管理\n: マリシャスパッケージの詳細情報を確認しながら、優先度・担当者・対応期限の設定や、対応方針のコメント共有が可能です。EOL と統一されたワークフローで対応できます。\nまた、サブタブの構成が以下のように変更されます。\nすべて\n: EOL/Malicious やサプライチェーンリスクステータスを問わず、すべてのサプライチェーンリスクが表示されます。従来の「EOL」サブタブは「すべて」にリダイレクトされます。\nマリシャス（新規追加）\n: ステータスが NEW のマリシャスパッケージ検知のサプライチェーンリスクが表示されます。\n検知時の即時通知機能\n#\nマリシャスパッケージが検知された際、SSVC Immediate タスクと同等の緊急度で即時通知を送信する機能を追加しました。悪意のあるパッケージの混入は、情報漏洩やシステム侵害に直結する重大なリスクであるため、検知後速やかに対応を開始できるよう即時通知します。\n通知先は Immediate タスク通知と同様に、\nグループ設定画面\nから以下のいずれかを選択できます。\nグループ全員\n: グループ所属ユーザ全員に通知\nサプライチェーンリスクの主担当者\n: 該当サプライチェーンリスクの主担当者のみに通知\nタスク一覧で最新のコメント内容を直接確認可能に\n#\nタスク一覧画面に「最終コメント内容」と「最終コメント者」列を追加しました。タスク詳細画面を1件ずつ開かなくても、一覧画面上で各タスクの最新のやり取りと投稿者を即座に確認できます。\n表示されるのはユーザのコメントのみ（システムによるステータス変更履歴は除外）\n長文は省略表示されます\n管理者の日常ワークフローがこう変わります\n#\nBefore ／ After: CSIRT 管理者の朝の巡回フロー\nBefore（従来）\nタスク一覧の「対応中」タブを開き、「最終コメント更新日時」でソートして、コメントが更新されたタスクを上位に表示する。ただし、誰が更新したかはこの時点ではわからない\n気になるタスクを1件ずつクリックして詳細画面を開く\n詳細画面をコメント欄までスクロールし、メンバからの最新報告を確認\n確認が終わったら一覧に戻り、次のタスクを開く\n→\n50件のタスクがあれば、50回の操作が必要\nAfter（本リリース以降）\nタスク一覧の「対応中」タブを開き、「最終コメント更新日時」でソート\n「最終コメント者」列と「最終コメント内容」列を確認するだけで、各タスクの状況を把握\n    -\n最終コメント者がメンバ\n→ 報告・質問が来ている。管理者の確認・返信が必要\n    -\n最終コメント者が管理者自身\n→ 指示済み。メンバの対応待ち（スキップ可）\n対応が必要なタスクだけを開いてコメントを返信\n→\n画面操作は本当に対応が必要なタスクだけに削減\n一覧テンプレで全メンバに共有\n「最終コメント者」「最終コメント内容」「最終コメント更新日時」を表示する列設定を\n一覧テンプレ\nとして保存すれば、オーガニゼーション内の全メンバが同じカスタマイズ済みの一覧をワンクリックで利用できます。メンバごとに列設定する必要はありません。\n新機能追加\n#\nAmazon Inspector SBOM スキャンが最新パッケージマネージャーに対応\n#\nInspector SBOM インポートで、Python の uv、Node.js の pnpm・bun も新たにインポートできるようになりました。これらのパッケージマネージャーを利用している環境でも、SBOM 経由で網羅的にソフトウェアを管理できます。\nLockFile のペーストスキャンが pnpm・uv・bun に対応\n#\npnpm-lock.yaml、uv.lock、bun.lock ファイルのペーストで脆弱性を検知できるようになりました。ロックファイルを貼り付けるだけで、これらのパッケージマネージャーを使ったプロジェクトの脆弱性検知が可能です。\n開発用依存関係（devDependencies）のスキャンに対応\n#\nペーストスキャンおよびスキャナ経由のスキャンにおいて、開発用依存関係（devDependencies）を管理対象に含めるオプションを追加しました。\nペーストスキャン\n: 画面上の「開発用依存関係を含める」チェックボックスで切り替え可能\nスキャナ経由\n: スキャンしてサーバ登録後、サーバ詳細画面から「開発用依存関係を含める」を設定可能（初回スキャン時には設定不可）\n開発用依存関係由来のソフトウェアには [DevDependency] バッジが表示され、本番用と視覚的に区別できます。サプライチェーンリスク管理の観点から、マリシャスパッケージの混入検知など開発環境の依存関係も網羅的に管理できるようになります。\nタスク一括更新 API の追加\n#\n複数のタスクのステータスや優先度をまとめて更新できるバッチ API（\nPUT /v1/tasks\n）を追加しました。1回のリクエストで最大1,000件のタスクを更新できます。\n詳細は\nFutureVuls API ドキュメント\nを参照してください。\nBlackDuck SBOMのインポート対応\n#\nBlackDuck のソフトウェア構成分析（SCA）機能で出力された SBOM ファイルをインポートできるようになりました。\n既存の SCA ツールとの連携が強化されます。\n対応範囲について\nBlackDuck で出力された SBOM ファイルについて、バイナリ解析機能により出力されたものには、今回のリリースでは未対応です。\nSBOM でPURLが無いソフトウェアもインポート可能に\n#\nこれまで SBOM インポート機能では、PURL が含まれるコンポーネントのみをインポート対象にしていました。\n今回のリリースで、PURL が含まれないコンポーネントについてもインポートできるようになりました。\n詳細は\nSBOMのコンポーネントを取り込む条件\nを参照してください。\nSBOMをファイル形式でアップロード可能に\n#\nこれまで SBOM をコンソール画面から登録する場合、テキスト形式で添付する必要がありました。\nこの場合に、ファイルサイズが大きいとブラウザの挙動が重くなる問題が生じていました。\n今回のリリースで、画面から SBOM をファイル形式でも添付して登録できるようになります。\n詳細は\nSBOM ファイルのアップロード\nを参照してください。\nCPEとPURLの両方を同時に割り当て可能に\n#\nソフトウェアに対して、CPE と PURL（Package URL）の両方を同時に設定できるようになりました。\nEOL・ライセンス・マリシャスパッケージの検知が有効になるほか、ソフトウェア種別に応じた脆弱性検知が行われます。\n詳細は「\nCPEとPURLを両方割り当てた場合の動作\n」を参照してください。\nEOL検知対象の製品カバレッジを拡大\n#\nFutureVuls の EOL（End of Life）検知は、約2万種類の OSS を対象に独自ロジックでサポート終了状況を自動判定しています。さらに、\nendoflife.date\nの製品データを補完的に活用し、検知精度を高めています。\n今回、endoflife.date に登録されている約 430 製品のうち CPE が未記載だった約 260 件を個別に調査し、約 130 件の CPE 紐づけを手動で追加しました。\nこれにより、endoflife.date 経由の EOL 検知カバレッジが約 4 割から約 7 割に向上し、より多くのソフトウェアで EOL を自動検知できるようになります。\n残りの約 3 割は NVD に登録された CPE を今回特定できなかった製品であり、今後も継続的に調査を進めます。\n参考として、今回の追加作業の一部は以下の Pull Request で公開しています。\n未対応の製品については、こちらを参考に PR いただくか、\nEOLデータソース追加を要望したい\nからご連絡ください。\nAdd CPE identifiers for various products\n#32\n重要なバグ修正\n#\nタスクコピー処理のタイムアウト問題を解決\n#\nコメント数が多いタスクを含むサーバをコピーする際に、処理が完了しない問題を修正しました。コピー対象から除外するシステムコメントの種類を拡大し、大規模なサーバでも安全にコピーできるようになります。\n除外対象の詳細は\nタスクコピーの仕様\nを参照してください。\nCPE削除時の非表示タスク処理を修正\n#\nCPE を削除した際、非表示に設定していたタスクが正しく削除されず、再度同じ CPE を登録すると誤った挙動をする問題を修正しました。\nMicrosoft定期パッチの警戒情報表示を改善\n#\nMicrosoft 定期パッチに含まれる CVE で「警戒情報:PoC」が誤表示される問題を修正しました。脆弱性詳細の表記が「PoC」のままだった問題を修正し、より正確な脅威評価が可能になります。\n脅威情報サマリの精度を向上\n#\nFutureVulsAI による脅威情報サマリ生成について、情報の取得方法と要約生成プロセスを改善しました。\nこれにより、関連性の低い情報の混入や、参照元との差異が発生するケースを低減し、より正確な脅威情報のサマリをご確認いただけます。\nデータベース負荷による応答遅延を改善\n#\n特定時間帯にタスク一覧の表示やタスク操作が著しく遅くなる問題について、以下の最適化により改善しました。\nスキャン結果取り込み時のクエリチューニングにより、データベース負荷を大幅に削減\nスキャン関連バッチ処理間のロック待ち連鎖を解消し、処理の安定性を向上\nTeams通知のImmediate Task Report本文表示を修正\n#\nTeams 通知で SSVC Immediate Task Report のタイトルのみが表示され、詳細情報（CVE ID、サーバ名など）が表示されない問題を修正しました。\nMSRCへのリンク切れを修正\n#\nWindows 系の脆弱性情報のディストリビューションサポートページにおいて、MSRC（Microsoft Security Response Center）へのリンクが多数の CVE-ID でリンク切れとなっていた問題を修正しました。リンク先 URL の変更に対応し、正しいページへ遷移するようになります。\nSBOM ペーストスキャン時に検知対象外のアプリケーションが削除される問題を修正\n#\nSBOM のペーストスキャン実行時に、対象外のアプリケーションが意図せず削除される問題を修正しました。\nPSIRTページのコメント欄でファイル添付ボタンが表示されない問題を修正\n#\nPSIRT ページの psirtResponse のコメント欄において、自分が投稿したコメントにファイル添付ボタンが表示されない不具合を修正しました。\nSBOM インポートで重複したライブラリ・バージョンがある場合にエラーになる問題を修正\n#\nSBOM インポートで同一ライブラリの同一バージョンが複数回記載されている場合、エラーになる問題を修正しました。重複しているライブラリ・バージョンは1件として処理されるようになります。\n「重要な未対応」の条件画面における更新処理の修正\n#\n「重要な未対応」の条件画面において、CVSS スコアを更新できない問題を修正しました。\nUI/UX改善\n#\nグループセットタスクのステータス・タスク優先度に from/until フィルタの追加\n#\nグループセットタスクの一覧画面で、ステータス列とタスク優先度列に from/until（範囲指定）フィルタを追加しました。\nこれにより、グループセットタスクでも、例えばステータスが new から defer までのタスクのみを表示するといった範囲指定が可能になります。\n通知メールのタイトル文字数を拡張\n#\nコメント通知メールの件名表示文字数を約30文字から60文字に拡張しました。メール一覧で内容をより詳しく確認できます。\nタスク一覧でCVSS v3スコアを表示\n#\nタスク一覧画面で CVSS v3の最大スコアを直接確認できるようになりました。SSVC、EPSS と合わせて、効率的なトリアージが可能になります。\n一覧テーブルに総件数・表示件数を表示\n#\n第2ペイン（詳細テーブル）に総件数と現在の表示件数を追加しました。フィルタリング結果を定量的に把握できます。\nコメント一括操作時の通知を集約\n#\nタスクやサプライチェーンリスクで一括操作により大量のコメントを投稿した際、通知メールをまとめて送信するように改善しました。メールボックスが大量の通知で埋まることを防ぎます。\nTrivyスキャナのアンインストールコマンドを表示\n#\nTrivy スキャナのアンインストールのコマンドを、グループ設定のスキャナタブに追加しました。画面下部の「アンインストールするには」のボタンを押し、表示されたコマンドを対象サーバで実行することで、スキャナをアンインストールできます。\nその他\n#\nVulncheck NVD++において過検知されたタスクの削除\n#\n2025-12-22 のリリース\nにて Vulncheck NVD++ における脆弱性の過検知を修正しましたが、修正以前に過検知により起票されていたタスクが残っていました。\n今回のリリースで、これらの不要なタスクを一括削除しました。\nその他仕様変更\n#\n「関連するソフトウェア」の表示仕様を変更\n#\nタスク詳細の「関連するソフトウェア」の表示仕様を変更しました。\nこれまでは、ソフトウェアが削除された場合に取り消し線付きで表示を継続していましたが、今回の変更により、脆弱性が検知されなくなったソフトウェアは削除済みか否かに関わらず「関連するソフトウェア」から削除されるようになりました。\n削除されたソフトウェアの履歴は、タスクコメントから確認できます。\n詳細は\n関連するソフトウェア\nを参照してください。\nWindows ペーストスキャンコマンドの変更\n#\nWindows ペーストスキャンのパッケージ情報取得コマンドを以下のとおり変更しました。\n旧\n:\nGet-Package | Format-List -Property Name, Version, ProviderName\n新\n:\nGet-Package | Select-Object Name, Version, ProviderName, @{Name='Publisher';Expression={$_.Metadata['Publisher']}} | Format-List\n新しいコマンドでは Publisher（発行元）情報が追加で取得されます。この情報は、今後のリリースで CPE 自動割当の精度向上に活用される予定です。\n旧コマンドでも脆弱性検知への影響はなく、コマンドの更新は任意ですが、新しいコマンドで構成情報を取得いただけると、将来的な CPE 自動割当の改善に役立ちます。",
      "date_published": "2026-02-24T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-02-24"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.2",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.2",
      "title": "[Vuls] v0.38.2",
      "content_text": "## Changelog\n* b8762b3b28ce3703a42213076b8ec84f41016b4d fix(scanner/windows): revert \"check invalid property, scanner err (#2419)\" (#2428)\n\n",
      "date_published": "2026-02-20T09:47:13Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.2"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.1",
      "title": "[Vuls] v0.38.1",
      "content_text": "## Changelog\n* e9134f3748443b4e19cc3bd6d9d257a2e4bae3dc chore(deps): bump the others group with 2 updates (#2417)\n* 64ca0ce6e81824e49af1b4acb6237eedae6fb7be fix(scanner/debian): handle missing pkgs in checkrestart, improve parse (#2426)\n* 1f3a6519caaf1869e8ec01687c1dad0f46cbb842 fix(report): sort datetime dir in descending order (#2425)\n* 5eff0076158f2fb06b73fa40cf2d322412fdabb4 chore(deps): bump filippo.io/edwards25519 (#2420)\n* 7ee28be0c19df53f5f5f68341523583cc12d0a49 fix(scanner/base): set abspath to LockfilePath (#2421)\n* 44a04b79d3a7daffb35d0307fed00412578f7c81 refactor(scanner/windows): check invalid property, scanner err (#2419)\n* 2881c793300644037989d77c9d6353fd1a3ba1ba feat(config/os): update eol (#2418)\n* 94ae89b636fb0044953e68c67791fece79257be6 chore(deps): updates `golang` from `98e6cff` to `d4c4845` (#2416)\n* 205cb6d9279ddbe360a73be64b612e75fb28215a build(deps): bump go 1.26  (#2415)\n\n",
      "date_published": "2026-02-20T07:38:45Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.1"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.109.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.109.0",
      "title": "[Grype] v0.109.0",
      "content_text": "### Added Features\n\n- Strip v prefix from apk versions [[#3239](https://github.com/anchore/grype/pull/3239) @wagoodman]\n\n### Bug Fixes\n\n- missing EPSS/KEV should not be fatal error [[#3224](https://github.com/anchore/grype/pull/3224) @willmurphyscode]\n\n### Additional Changes\n\n- update build flag to use provenance=false [[#3243](https://github.com/anchore/grype/pull/3243) @spiffcs]\n- update to check-latest golang for ci [[#3238](https://github.com/anchore/grype/pull/3238) @spiffcs]\n- enable fedora OS transformer [[#3232](https://github.com/anchore/grype/pull/3232) @willmurphyscode]\n- Port grype-db lib to grype [[#3149](https://github.com/anchore/grype/pull/3149) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.108.0...v0.109.0)**\n\n",
      "date_published": "2026-02-19T16:38:10Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.109.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.42.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.42.1",
      "title": "[Syft] v1.42.1",
      "content_text": "### Bug Fixes\n\n- Use redhat as namespace for hummingbird rpms [[#4615](https://github.com/anchore/syft/pull/4615) @scoheb]\n- False Positive: Emacs snap package version CVE-2024-39331 [[#4485](https://github.com/anchore/syft/issues/4485)]\n\n### Additional Changes\n\n- call cleanup on tmpfile and replace some io.ReadAlls with streams [[#4629](https://github.com/anchore/syft/pull/4629) @willmurphyscode]\n- bumps go mod version to 1.25; ci takes latest patch [[#4628](https://github.com/anchore/syft/pull/4628) @spiffcs]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.42.0...v1.42.1)**\n\n",
      "date_published": "2026-02-18T17:50:45Z",
      "tags": [
        "security"
      ],
      "_tool_id": "syft",
      "_version": "v1.42.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.38.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.38.0",
      "title": "[Vuls] v0.38.0",
      "content_text": "## Changelog\n* c5cdf1ceb8601c272ab16aea54edb23f07435b3c fix(trivy-to-vuls): get exact LockfilePath (#2414)\n* 7111680e8e4b75848b4bb91fb9d7649f12865169 feat(scanner/windows): add vendor field for windows package (#2412)\n* 4140e9327199831d67ec8dd18611c3ea38a1bc93 chore(deps): bump github.com/go-git/go-git/v5 (#2413)\n* 1ac6f1d98fdae232938e614808e6b806624ab13b chore(deps): bump the all group across 2 directories with 2 updates (#2401)\n* 74b2959e15db5c08ba6bc653403f26a015cdbd2c chore(deps): bump github.com/aquasecurity/trivy in the trivy group (#2410)\n* c70333f9c0d43289c4b8ca01917b899edd338191 chore(deps): bump golang.org/x/oauth2 in the others group (#2411)\n* cf4e1fe8e855e61b284a9539f30fc479115e4663 feat(trivy-to-vuls): add Dev flag to library conversion (#2408)\n* 59e3e224e45fb8ef4984f9ef5a694f390e81b9e9 fix(ci): use AdityaGarg8/remove-unwanted-software@v5 (#2409)\n* a0bc2238fb2bfd4b72c7ec771fb837890f17c083 feat(scanner) add dev flag in library (#2405)\n* 23948a05b62fa0d6298d64a50357cb35628cc651 chore(ci/test): add go mod tidy check (#2406)\n* 288ca54fd62b41ea44d4c51b1bdf761abe35ddb8 chore(deps): update dictionaries (#2404)\n* 80cb3e4aac1340d414b73d2b27c53cc22630d632 chore(deps): bump github.com/CycloneDX/cyclonedx-go in the others group (#2403)\n* ac0d54fb7733c9c61cb880eea6aaa061ab6325c3 chore(deps): bump the trivy group with 2 updates (#2402)\n* 28af6429594678d25db7294a3b4463f2be88ff88 chore(deps): bump the others group across 1 directory with 2 updates (#2399)\n* 1063df5a5815a7f0d3adc0ab72132e74f5905f60 chore(deps): bump the all group with 2 updates (#2400)\n* 6fd00ee8c606305d29b039f666665c56835b0927 chore(deps/vuls2): update vuls2 and optimize kernel package name handling (#2396)\n* e5999be626bc80f011c188c99b35bef21766530b feat(libarary) add include dev dependencies (#2394)\n* ce2855c1a55976b2dd5a189cc5580352a7e992fb chore(deps): bump the others group across 1 directory with 12 updates (#2393)\n* 266f9dbeb6ff800828aafa75f40d28f1085eaf4b chore(deps): bump the all group with 5 updates (#2383)\n* ba46dd3a12069f8b0a03441f91198e52c4b05431 chore(deps): bump the all group across 2 directories with 1 update (#2384)\n* 3a8006dd667476015c4a7c3a79c878a8f98ceb8a chore(deps/vuls2): update vuls2 (#2389)\n* d0f2d68c9bd5f0df475b62de161045662cd1918d chore(deps): bump github.com/aquasecurity/trivy in the trivy group (#2380)\n* bd4301534d2a0a2c34b3168ebbf30cdb1aa1f9b6 refactor(scanner/rpm): remove warn when output is only y/n prompt (#2390)\n* 7ed7f8d970e81d0934d56b61701d81c09b96f0c3 chore!(ci/release): update cosign to v3 (#2388)\n* 781977df753d046165aecb273ac1f11887aab172 chore(ci): update goreleaser to remove deprecated params (#2387)\n* 2caede1d211acffa7cda80bbd80f29e94e2333be feat!(detector): lower the confidence of VulnCheck (#2385)\n* fc5344c7eb2e74f503a29fe7cf084b035599f7c5 fix(model/CveContents): initialize CveContents to avoid nil map (#2379)\n* c29a32f6ca3b8c112a4b4521431878fc928854c6 chore(deps): bump go-exploitdb (#2377)\n* 3b796c81643d40fbb5392b5c0e6239cc9b3a2b8b feat(cwe): add 2023, 2024, 2025 top 25 (#2375)\n\n",
      "date_published": "2026-02-13T03:32:37Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.38.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.3",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.3",
      "title": "[OSV-Scanner] v2.3.3",
      "content_text": "### Features:\r\n- [Feature #2458](https://github.com/google/osv-scanner/pull/2458) Add `--exclude` flag to skip paths during scanning.\r\n- [Feature #2477](https://github.com/google/osv-scanner/pull/2477) Add `pylock` extractor.\r\n- [Feature #2475](https://github.com/google/osv-scanner/pull/2475) Add base image info to container scanning output header (in table, markdown and vertical formats).\r\n\r\n### Misc:\r\n- Update Go version to 1.25.7.\r\n- Update osv-scalibr from v0.4.1 to v0.4.2. [Release note](https://github.com/google/osv-scalibr/releases/tag/v0.4.2).\r\n- Refactor to better align with osv-scalibr plugins and inventory data structure.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.3.2...v2.3.3",
      "date_published": "2026-02-12T00:12:48Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.3"
    },
    {
      "id": "https://yamory.io/news/inhouse-dev-summit2026",
      "url": "https://yamory.io/news/inhouse-dev-summit2026",
      "title": "[Yamory] 「内製開発Summit2026」出展および登壇のお知らせ",
      "content_text": "「内製開発Summit2026」出展および登壇のお知らせ",
      "date_published": "2026-02-12T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2026-02-12"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.108.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.108.0",
      "title": "[Grype] v0.108.0",
      "content_text": "### Added Features\n\n- enable disabling EOL warnings [[#3204](https://github.com/anchore/grype/pull/3204) @willmurphyscode]\n\n### Bug Fixes\n\n- fix fallback on major only distro [[#3213](https://github.com/anchore/grype/pull/3213) @willmurphyscode]\n- VEX Documents still not working with syft sbom [[#3167](https://github.com/anchore/grype/issues/3167)]\n- VEX: minimal OpenVEX Example not working [[#3212](https://github.com/anchore/grype/issues/3212)]\n\n### Additional Changes\n\n- support more accurate scanning for postmarketos [[#3182](https://github.com/anchore/grype/pull/3182) @westonsteimel]\n- charmbracelet/bubbletea erases grype ui status line [[#3214](https://github.com/anchore/grype/pull/3214) @spiffcs]\n- bump labels and add several test images [[#3215](https://github.com/anchore/grype/pull/3215) @westonsteimel]\n- improve VEX product and subcomponent matching [[#3168](https://github.com/anchore/grype/pull/3168) @dariozachow]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.107.1...v0.108.0)**\n\n",
      "date_published": "2026-02-10T18:49:12Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.108.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.42.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.42.0",
      "title": "[Syft] v1.42.0",
      "content_text": "### Added Features\n\n- Add support for scanning GGUF models from OCI registries [[#4335](https://github.com/anchore/syft/pull/4335) @spiffcs]\n- yarn lockfile scan doesnt catch dev dependencies [[#4548](https://github.com/anchore/syft/issues/4548) [#4549](https://github.com/anchore/syft/pull/4549) @rezmoss]\n\n### Additional Changes\n\n- CPE detection for APK libavif to use aomedia vendor [[#4597](https://github.com/anchore/syft/pull/4597) @naag]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.41.2...v1.42.0)**\n\n",
      "date_published": "2026-02-10T17:39:42Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "syft",
      "_version": "v1.42.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.107.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.107.1",
      "title": "[Grype] v0.107.1",
      "content_text": "### Additional Changes\n\n- support context cancellation while finding vuln matches [[#3200](https://github.com/anchore/grype/pull/3200) @luhring]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.107.0...v0.107.1)**\n\n",
      "date_published": "2026-02-03T19:24:39Z",
      "tags": [
        "other"
      ],
      "_tool_id": "grype",
      "_version": "v0.107.1"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.41.2",
      "url": "https://github.com/anchore/syft/releases/tag/v1.41.2",
      "title": "[Syft] v1.41.2",
      "content_text": "### Bug Fixes\n\n- further improve go binary classifier, including windows [[#4593](https://github.com/anchore/syft/pull/4593) @kzantow]\n- Wrong format in license [[#4233](https://github.com/anchore/syft/issues/4233) [#4588](https://github.com/anchore/syft/pull/4588) @spiffcs]\n- Cannot detect installation of Qt6 [[#4467](https://github.com/anchore/syft/issues/4467) [#4550](https://github.com/anchore/syft/pull/4550) @rezmoss]\n- bug: Syft mis-identifies binary as deb inside a snap [[#4486](https://github.com/anchore/syft/issues/4486) [#4500](https://github.com/anchore/syft/pull/4500) @popey]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.41.1...v1.41.2)**\n\n",
      "date_published": "2026-02-03T18:13:54Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.41.2"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.107.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.107.0",
      "title": "[Grype] v0.107.0",
      "content_text": "### Added Features\n\n- Add secureos distro [[#3086](https://github.com/anchore/grype/pull/3086) @divolgin]\n- add hex matcher for Erlang/Elixir ecosystem [[#3194](https://github.com/anchore/grype/pull/3194) @willmurphyscode]\n\n### Bug Fixes\n\n- disable version fallback in EOL query [[#3195](https://github.com/anchore/grype/pull/3195) @willmurphyscode]\n- VEX documents with docker.io registry reference not matching, require index.docker.io instead [[#2818](https://github.com/anchore/grype/issues/2818) [#3172](https://github.com/anchore/grype/pull/3172) @jainlakshya]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.106.0...v0.107.0)**\n\n",
      "date_published": "2026-01-29T22:24:48Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.107.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.41.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.41.1",
      "title": "[Syft] v1.41.1",
      "content_text": "### Bug Fixes\n\n- [Bug Report] Missing some dependencies on cyclonedx formatted SBOM using syft [[#4562](https://github.com/anchore/syft/issues/4562) [#4573](https://github.com/anchore/syft/pull/4573) @spiffcs]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.41.0...v1.41.1)**\n\n",
      "date_published": "2026-01-29T21:01:42Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.41.1"
    },
    {
      "id": "https://yamory.io/news/dmp",
      "url": "https://yamory.io/news/dmp",
      "title": "[Yamory] デジタル庁「デジタルマーケットプレイス」に登録",
      "content_text": "デジタル庁「デジタルマーケットプレイス」に登録",
      "date_published": "2026-01-29T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2026-01-29"
    },
    {
      "id": "https://yamory.io/news/cra_covalent",
      "url": "https://yamory.io/news/cra_covalent",
      "title": "[Yamory] 「欧州サイバーレジリエンス法案（CRA）」対応支援サービス提供のため、Covalentとの協力関係を構築",
      "content_text": "「欧州サイバーレジリエンス法案（CRA）」対応支援サービス提供のため、Covalentとの協力関係を構築",
      "date_published": "2026-01-28T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2026-01-28"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.106.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.106.0",
      "title": "[Grype] v0.106.0",
      "content_text": "### Added Features\n\n- warn about packages from EOL distros [[#3171](https://github.com/anchore/grype/pull/3171) @willmurphyscode]\n- make it configurable what grype assumes when incoming package to grype is missing dpkg/RPM epoch [[#2964](https://github.com/anchore/grype/issues/2964) [#2976](https://github.com/anchore/grype/pull/2976) @willmurphyscode]\n\n### Bug Fixes\n\n- RHEL EUS: `--only-fixed` should filter out matches are not fixed in the current EUS version [[#2847](https://github.com/anchore/grype/issues/2847) [#3181](https://github.com/anchore/grype/pull/3181) @willmurphyscode]\n\n### Additional Changes\n\n- support scientific linux [[#3175](https://github.com/anchore/grype/pull/3175) @westonsteimel]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.105.0...v0.106.0)**\n\n",
      "date_published": "2026-01-27T14:08:53Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.106.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.41.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.41.0",
      "title": "[Syft] v1.41.0",
      "content_text": "### Added Features\n\n- detect Debian version from /etc/debian_version [[#4569](https://github.com/anchore/syft/pull/4569) @kzantow]\n\n### Bug Fixes\n\n- correctly report supporting evidence for binary packages [[#4558](https://github.com/anchore/syft/pull/4558) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.40.1...v1.41.0)**\n\n",
      "date_published": "2026-01-27T11:07:53Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.41.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.105.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.105.0",
      "title": "[Grype] v0.105.0",
      "content_text": "### Added Features\n\n- Add archlinux matcher to grype [[#3154](https://github.com/anchore/grype/pull/3154) @willmurphyscode]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.104.4...v0.105.0)**\n\n",
      "date_published": "2026-01-15T23:07:39Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.105.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.40.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.40.1",
      "title": "[Syft] v1.40.1",
      "content_text": "> [!Important]\r\n> This release bumps github.com/containerd/containerd to v2, which will cause compiler errors if used alongside other dependencies that use v1 of containerd. See https://github.com/anchore/stereoscope/pull/495 for a detailed discussion.\r\n\r\n### Bug Fixes\r\n\r\n- mongodb binary not detected manual/source install [[#4540](https://github.com/anchore/syft/issues/4540) [#4541](https://github.com/anchore/syft/pull/4541) @rezmoss]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.40.0...v1.40.1)**\r\n\r\n",
      "date_published": "2026-01-15T21:50:55Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.40.1"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.2",
      "title": "[OSV-Scanner] v2.3.2",
      "content_text": "# v2.3.2\r\n\r\nThis release includes performance improvements for local scanning, reducing memory usage and avoiding unnecessary advisory loading. It also fixes issues with MCP's get_vulnerability_details tool, git queries in `osv-scanner.json`, and ignore entry tracking, along with documentation updates.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2415](https://github.com/google/osv-scanner/pull/2415) Add more PURL-to-ecosystem mappings\r\n- [Bug #2422](https://github.com/google/osv-scanner/pull/2422) MCP error for get_vulnerability_id because type definition is incorrect.\r\n- [Bug #2460](https://github.com/google/osv-scanner/pull/2460) Enable osv-scanner.json git queries\r\n- [Bug #2456](https://github.com/google/osv-scanner/pull/2456) Properly track if an ignore entry has been used\r\n- [Bug #2450](https://github.com/google/osv-scanner/pull/2450) **Performance:** Avoid loading the entire advisory unless it will actually be used\r\n- [Bug #2445](https://github.com/google/osv-scanner/pull/2445) **Performance:** Don't read the entire zip into memory\r\n- [Bug #2433](https://github.com/google/osv-scanner/pull/2433) Allow specifying user agent in v2 osvscanner package\r\n\r\n### Misc:\r\n\r\n- [Misc #2453](https://github.com/google/osv-scanner/pull/2453) Switch from gopkg.in/yaml.v3 to go.yaml.in/yaml/v3\r\n- [Misc #2447](https://github.com/google/osv-scanner/pull/2447) Include `bun.lock` as a supported lockfile\r\n- [Misc #2444](https://github.com/google/osv-scanner/pull/2444) Document GoVersionOverride in configuration.md\r\n\r\n## New Contributors\r\n* @catatsuy made their first contribution in https://github.com/google/osv-scanner/pull/2437\r\n* @google-labs-jules[bot] made their first contribution in https://github.com/google/osv-scanner/pull/2444\r\n* @fumblehool made their first contribution in https://github.com/google/osv-scanner/pull/2447\r\n* @scop made their first contribution in https://github.com/google/osv-scanner/pull/2453\r\n* @Ankitsinghsisodya made their first contribution in https://github.com/google/osv-scanner/pull/2457\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.3.1...v2.3.2",
      "date_published": "2026-01-15T01:35:40Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.2"
    },
    {
      "id": "https://yamory.io/news/AISecurityConference",
      "url": "https://yamory.io/news/AISecurityConference",
      "title": "[Yamory] 「AI Security Conference」出展および登壇のお知らせ",
      "content_text": "「AI Security Conference」出展および登壇のお知らせ",
      "date_published": "2026-01-14T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2026-01-14"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.104.4",
      "url": "https://github.com/anchore/grype/releases/tag/v0.104.4",
      "title": "[Grype] v0.104.4",
      "content_text": "### Bug Fixes\n\n- preserve local version segment in constraints for PEP 440 comparison [[#3146](https://github.com/anchore/grype/pull/3146) @willmurphyscode]\n\n### Additional Changes\n\n- correct help text for return code for fail-on severity option [[#3138](https://github.com/anchore/grype/pull/3138) @u-ways]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.104.3...v0.104.4)**\n\n",
      "date_published": "2026-01-08T13:58:30Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.104.4"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.40.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.40.0",
      "title": "[Syft] v1.40.0",
      "content_text": "### Added Features\n\n- Exclude development or test dependencies for PNPM Package type [[#4430](https://github.com/anchore/syft/issues/4430) [#4487](https://github.com/anchore/syft/pull/4487) @rezmoss]\n- Catalog istio binary (pilot-discovery, pilot-agent) [[#4508](https://github.com/anchore/syft/issues/4508) [#4521](https://github.com/anchore/syft/pull/4521) @witchcraze]\n- Catalog envoy binary [[#4506](https://github.com/anchore/syft/issues/4506) [#4530](https://github.com/anchore/syft/pull/4530) @witchcraze]\n- Catalog grafana binary [[#4505](https://github.com/anchore/syft/issues/4505) [#4516](https://github.com/anchore/syft/pull/4516) @witchcraze]\n- Add a binary classifier for valkey [[#3400](https://github.com/anchore/syft/issues/3400) [#4509](https://github.com/anchore/syft/pull/4509) @witchcraze]\n\n### Bug Fixes\n\n- old bitnami images without spdx files arent getting picked up correctly in the catalog [[#4529](https://github.com/anchore/syft/issues/4529) [#4532](https://github.com/anchore/syft/pull/4532) @rezmoss]\n- wrong traefik rc versions at binary detection [[#3535](https://github.com/anchore/syft/issues/3535) [#4499](https://github.com/anchore/syft/pull/4499) @rezmoss]\n- FromPOSIX() in internals\\windows\\path.go assumes that all Windows root paths must have a colon terminator [[#4070](https://github.com/anchore/syft/issues/4070) [#4075](https://github.com/anchore/syft/pull/4075) @luissantosHCIT]\n- binary cataloger is picking up the go version instead of the actual binary version in traefik experimental images [[#4498](https://github.com/anchore/syft/issues/4498) [#4499](https://github.com/anchore/syft/pull/4499) @rezmoss]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.39.0...v1.40.0)**\n\n",
      "date_published": "2026-01-08T12:49:55Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.40.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20260100_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20260100_hotfix/",
      "title": "[FutureVuls] 2026-01 [Hotfix]",
      "content_text": "2026-01 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2026-01-13~2026-01-28 リリース内容\n#\nCPE過検知を修正（NVDとVulnCheck NVD++の優先順位調整）\n#\nNVD と VulnCheck NVD++ の両方で同一の脆弱性情報が検知された場合、NVD の情報を優先して採用するロジックに変更しました。\nNVD が専門家による手動分析に基づいているのに対し、VulnCheck NVD++ は機械的なデータ収集を主としており、情報の確度において NVD が優位であると判断したためです。\nこれにより、データベース間の定義の差異（例：バージョン範囲定義の違い）による過検知が減少します。\nなお、VulnCheck NVD++ にのみ存在する脆弱性情報については、網羅性を確保するため、引き続き検知対象とします。\nScanner InstallerがAmazon Linux環境で正しく動作しない不具合を修正\n#\nAmazon Linux 2環境でのスキャナインストール時に、\ndnf\nコマンドが見つからずエラーになる不具合を修正しました。\nAmazon Linux 2では\nyum\n、Amazon Linux 2023以降では\ndnf\nをデフォルトで使用するようにインストーラを修正しました。\nSSVC優先度判定が正しく行われない不具合を修正\n#\n一部処理において、SSVC の優先度が正しく判定されない場合がある不具合を修正しました。\nAmazon Inspector SBOMインポート機能でリソース数が多い場合にエラーになる不具合を修正\n#\nAmazon Inspector SBOM インポート機能において、1つのグループに11以上の AWS リソースがある場合にエラーが出る不具合を修正しました。\nAmazon Inspector SBOMインポート対象サーバのOS情報が意図せず上書きされる不具合を修正\n#\nAmazon Inspector SBOM インポート対象の EC2 または ECR サーバに対し、SBOM 連携で取得した OS 情報が脆弱性スキャン処理によって上書きされてしまう不具合を修正しました。\nAmazon Inspector SBOMインポート機能の対応リージョンを拡大\n#\nアジアパシフィック (東京) (\nap-northeast-1\n) 以外の以下のリージョンでも Amazon Inspector SBOM のインポート設定が可能になるよう対応しました。\n米国東部 (バージニア北部) (\nus-east-1\n)\n米国西部 (オレゴン) (\nus-west-2\n)\nアジアパシフィック (大阪) (\nap-northeast-3\n)\nアジアパシフィック (ムンバイ) (\nap-south-1\n)\n対象リージョンは\n機能追加要望\nベースで順次拡大予定です。\nタスク初回検知時に優先度自動設定が反映されない不具合を修正\n#\nタスクの初回検知時にスペシャル警戒タグ、自動脆弱性優先度等のトリアージ設定による優先度変更が反映されない不具合を修正しました。\n脆弱性スキャンのパフォーマンスを改善\n#\n脆弱性スキャンのパフォーマンスチューニングを実施しました。\nSBOMスキャンで内部エラーが発生する不具合を修正\n#\nAmazon Inspector SBOM インポート機能設定後、SBOM スキャンにて特定状況下で内部エラーが発生する不具合を修正しました。\nグループセットAPIにソフトウェア関連のフィルタ・エンドポイントを追加\n#\nグループセット API のソフトウェア一覧取得（\n/v1/groupSet/pkgCpes\n）に以下のフィルタを追加しました。\nfilterSupplyChainRiskUpdatedAtAfter\n: 指定時刻以降にサプライチェーンリスクが更新されたソフトウェアを取得\nfilterCreatedAtAfter\n: 指定時刻以降に作成されたソフトウェアを取得\nまた、削除されたソフトウェアを取得する新しいエンドポイント\n/v1/groupSet/deletedPkgCpes\nを追加しました。\n詳しくは\nAPI ドキュメント\nおよび\nAPI サンプル\nを参照してください。",
      "date_published": "2026-01-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2026-01 [Hotfix]"
    },
    {
      "id": "https://yamory.io/news/autotriage_custom",
      "url": "https://yamory.io/news/autotriage_custom",
      "title": "[Yamory] オートトリアージカスタマイズ機能をリリース",
      "content_text": "オートトリアージカスタマイズ機能をリリース",
      "date_published": "2025-12-23T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-12-23"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.104.3",
      "url": "https://github.com/anchore/grype/releases/tag/v0.104.3",
      "title": "[Grype] v0.104.3",
      "content_text": "### Bug Fixes\n\n- Use specifier matching rules when comparing python versions [[#3121](https://github.com/anchore/grype/pull/3121) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.104.2...v0.104.3)**\n\n",
      "date_published": "2025-12-22T23:16:53Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.104.3"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.39.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.39.0",
      "title": "[Syft] v1.39.0",
      "content_text": "### Added Features\n\n- add support for Gemfile.next.lock [[#4457](https://github.com/anchore/syft/pull/4457) @HatiCode]\n- Command output to give more information on what catalogers look for and what they can find [[#4155](https://github.com/anchore/syft/issues/4155) [#4317](https://github.com/anchore/syft/pull/4317) @wagoodman]\n- Support reading lzma compressed `.go.buildinfo` sections with upx [[#4411](https://github.com/anchore/syft/issues/4411) [#4480](https://github.com/anchore/syft/pull/4480) @wagoodman]\n- Specify specific snap revision to pull [[#4389](https://github.com/anchore/syft/issues/4389) [#4439](https://github.com/anchore/syft/pull/4439) @VictorHuu]\n- Cannot detect embedded deps.json metadata in single-file .NET binaries [[#4344](https://github.com/anchore/syft/issues/4344) [#4375](https://github.com/anchore/syft/pull/4375) @rezmoss]\n- ELF note cataloger does not pick up OS field, but should [[#4384](https://github.com/anchore/syft/issues/4384) [#4438](https://github.com/anchore/syft/pull/4438) @VictorHuu]\n\n### Bug Fixes\n\n- remove debug print statement in dependency parser [[#4412](https://github.com/anchore/syft/pull/4412) @cgreeno]\n- dotnet-deps cataloger should skip project references with type \"project\" when building the sbom [[#4423](https://github.com/anchore/syft/issues/4423) [#4436](https://github.com/anchore/syft/pull/4436) @rezmoss]\n- File digests not computed when using `--base-path` [[#4410](https://github.com/anchore/syft/issues/4410) [#4478](https://github.com/anchore/syft/pull/4478) @wagoodman]\n- Syft should not define subpaths by default in PURLs [[#4394](https://github.com/anchore/syft/issues/4394) [#4395](https://github.com/anchore/syft/pull/4395) @rezmoss]\n- go: valid purl but incorrect name [[#1737](https://github.com/anchore/syft/issues/1737) [#4395](https://github.com/anchore/syft/pull/4395) @rezmoss]\n- Incorrect Go module PURL generation when module path contains /vN (e.g. /v5) [[#4316](https://github.com/anchore/syft/issues/4316) [#4395](https://github.com/anchore/syft/pull/4395) @rezmoss]\n- Failing to convert npm repository information correctly to SPDX [[#4362](https://github.com/anchore/syft/issues/4362) [#4390](https://github.com/anchore/syft/pull/4390) @kendrickm]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.38.2...v1.39.0)**\n\n",
      "date_published": "2025-12-22T21:15:15Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.39.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20251222/",
      "url": "https://help.vuls.biz/releasenotes/20251222/",
      "title": "[FutureVuls] 2025-12-22",
      "content_text": "2025-12-22 リリース内容\n#\nスキャナの更新が必要です\n今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\nスキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.36.3\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.36.3\nVersion: 2025/04\nTrivy\nv0.66.0\nVersion: 2025/04\n新機能：Amazon Inspector SBOMのインポート\n#\nAWS Inspector v2の SBOM Export 機能と連携し、脆弱性の有無にかかわらずソフトウェアを網羅的に把握できるようになりました。これにより、より包括的なソフトウェアサプライチェーンリスク管理（EOL 管理、ライセンス管理など）が可能になります。\n対象リソースと取得できる情報\n#\nリソース\n取得できる情報\nEC2 インスタンス\nOS パッケージ、アプリケーションライブラリ\nLambda 関数\nランタイムとアプリケーションライブラリ\nECR イメージ\nコンテナ内の OS パッケージ、アプリケーションライブラリ\n設定方法\n#\n本設定は任意です\nSBOM Export を設定しない場合でも、Amazon Inspector を利用した脆弱性検知（EC2/Lambda/ECR）は引き続きご利用いただけます。\nただし、「脆弱性が検知されていないソフトウェア」も含めた全ソフトウェアの可視化や、EOL管理・ライセンス管理機能を利用したい場合は、本設定が必要です。\n1. FutureVuls 画面で SBOM Export を有効化\n#\nグループ設定画面 > 外部連携 > AWS から「Inspector SBOM エクスポート」の設定を押下してください。\n2. CloudFormation でIAM権限を追加\n#\nFutureVuls から提供される CloudFormation テンプレートを使用して、既存の IAM ユーザ/ロールに SBOM Export 用の権限を追加します。\n以下の権限が追加されます：\n対象サービス\n権限\nInspector2\nCreateSbomExport\n,\nGetSbomExport\n,\nCancelSbomExport\n,\nBatchGetAccountStatus\n,\nListFindings\nS3\nPutObject\n,\nPutObjectAcl\n,\nGetBucketLocation\n（指定バケットのみ）\nKMS\nDecrypt\n,\nEncrypt\n,\nGenerateDataKey\n（指定キーのみ）\n3. 自動連携の開始\n#\n一度設定すると、FutureVuls による定期自動スキャンのたびに SBOM Export が実行され、エクスポートされた SBOM が FutureVuls に取り込まれます。\nサーバ詳細画面からの\n手動スキャン\nでは SBOM Export は実行されないのでご注意ください。\n手動実行は、グループ設定画面 > グループ から INSPECTOR SBOM 一括スキャンを利用してください。\nなお、この一括スキャンは1時間に1回のみ実行可能です。\n取り込み後にできること\n#\nソフトウェア一覧の確認\n: 脆弱性の有無に関わらず、全てのソフトウェアを一覧で確認\nEOL 管理\n: サポート終了が近いソフトウェアの把握と対応計画\nライセンス管理\n: 使用しているソフトウェアのライセンス情報の確認\nサプライチェーンリスク管理\n: ソフトウェア構成の可視化によるリスク評価\n注意事項\nLambda 関数\n: SBOM Export の対象は最新バージョンのみです。過去のバージョンは対象外となります。\nECR イメージ\n: FutureVuls に登録されているイメージタグのみが SBOM Export の対象となります。登録されていないイメージタグは対象外です。\nInspector2 の有効化\n: 事前に AWS アカウントで Inspector2 を有効化しておく必要があります。\n改良と仕様変更\n#\nVulncheck NVD++における脆弱性過検知の修正\n#\n2025-11-11にリリースした\nCPE脆弱性検知の強化を目的としたVulncheck NVD++ 連携\nにより、既に対応済みの古い脆弱性が過検知される問題がありました。\nこれらの古い脆弱性を検知されないようにしました。既に作成されているタスクについては、スキャン実行後、\nPATCH_APPLIED\nに自動遷移します。\n既存タスクの削除について\n本リリースの安定稼働確認後に過検知されたタスクは削除します。\nAWS リソース脆弱性検知の改善\n#\nEC2、Lambda、ECR の脆弱性検知について、Amazon Inspector2 を優先的に使用するよう改善しました。これにより、Inspector2 Enhanced Scanning が有効な環境で、より正確な脆弱性情報を取得できるようになります。\n各リソースの検知方法\n#\nリソース\n検知方法\nEC2\nInspector2 ListFindings API\nLambda\nInspector2 ListFindings API\nECR\nInspector2 → Basic Scanning（フォールバック）\nInspector2 Enhanced Scanning と ECR Basic Scanning の違い\n#\n項目\nInspector2 Enhanced Scanning\nECR Basic Scanning\n対象リソース\nEC2、Lambda、ECR\nECR のみ\nスキャンタイミング\n継続的（新しい脆弱性発見時も自動再スキャン）\nイメージプッシュ時のみ\nスキャン対象期間\nプッシュから一定期間（期限切れ後は\nSCAN_ELIGIBILITY_EXPIRED\n）\n制限なし\n料金\n有料（Inspector2 の料金）\n無料\n使用 API\ninspector2:ListFindings\necr:DescribeImageScanFindings\nInspector2 Enhanced Scanning への移行をおすすめします\nECR Basic Scanning から Inspector2 Enhanced Scanning に移行することで、以下のメリットがあります：\n継続的なスキャン\n: イメージをプッシュしなくても、新しい脆弱性が発見された際に自動で再スキャンされます\n最新の脆弱性情報\n: 常に最新の脆弱性データベースに基づいた検知結果が得られます\n統一的な管理\n: EC2、Lambda、ECR を同じ Inspector2 で一元管理できます\nSBOM Export 連携\n: Inspector2 の SBOM Export 機能と連携することで、ソフトウェア構成の可視化も可能です\nInspector2 の有効化方法は\nAWS ドキュメント\nをご参照ください。\nECR の検知フロー\n#\nECR イメージの脆弱性検知は以下の順序で実行されます：\nInspector2 Enhanced Scanning\nを優先的に使用（継続スキャンによる最新の脆弱性情報を取得）\nInspector2 で結果が取得できない場合、\nECR Basic Scanning\nにフォールバック\n両方で結果が取得できない場合はエラー\n脆弱性が検知されない場合の確認事項\nEC2 / Lambda\nInspector2 がアカウントで有効になっているか確認してください\nFutureVuls に登録した AWS 認証情報に\ninspector2:ListFindings\n権限があるか確認してください\nECR\nリポジトリ名が正しく登録されているか確認してください\nイメージのスキャン対象期間が有効か確認してください\nInspector2 はプッシュから一定期間経過したイメージを自動的にスキャン対象外（\nSCAN_ELIGIBILITY_EXPIRED\n）にします\nAWS CLI で確認：\naws inspector2 list-coverage --filter-criteria '{\"resourceType\":[{\"comparison\":\"EQUALS\",\"value\":\"AWS_ECR_CONTAINER_IMAGE\"}],\"ecrRepositoryName\":[{\"comparison\":\"EQUALS\",\"value\":\"リポジトリ名\"}]}' --query 'coveredResources[*].{status:scanStatus.statusCode,reason:scanStatus.reason}'\nInspector2 Enhanced Scanning または ECR Basic Scanning のいずれかが有効になっているか確認してください\nオーガニゼーション削除時の通知とユーザアカウントの自動削除\n#\nオーガニゼーションを削除した際、所属している全ユーザに対して削除通知メールが送信されるようになりました。\nまた、オーガニゼーション削除から一定期間経過後、所属ユーザのアカウント情報も時間経過で削除されるように仕様を変更しました。\nこれにより、オーガニゼーション削除に伴うユーザ各自での退会処理や、管理者によるユーザ削除が不要になります。\n詳細は\nオーガニゼーションの削除\nをご確認ください。\nその他\n#\nタスク数が多い環境でのタスク一覧画面の表示スピードを改善しました。\nタスク及びサプライチェーンリスクの一括更新時にコメント投稿した際、複数のメール通知が届く不具合を修正しました。\nos, library, github, aws_lambda, wordpress のソフトウェア種別に対し、cpe のバージョン自動更新がされない不具合を修正しました。\nソフトウェア登録・CPE/PURL 割当ダイアログの入力フォームを整理しました。\nEOL 月次定期通知の送信日を毎月2日から1日に変更しました。\nWindows 環境でインストーラーを実行した際、特定の時刻においてタスクスケジューラへの登録に失敗し、定期スキャンが設定されない問題を修正しました。\nグループセット→グループへのロール継承機能について、\n「ユーザがあるグループを含む複数のグループセットに異なる権限で所属している場合」\nの挙動が仕様と異なる不具合を修正しました。\nタスクコピー時にコピー先の SSVC Priority の値が null になる問題がありましたが、コピー先の値を維持するように修正しました。",
      "date_published": "2025-12-22T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-12-22"
    },
    {
      "id": "https://yamory.io/news/2025-security-report",
      "url": "https://yamory.io/news/2025-security-report",
      "title": "[Yamory] 2025年セキュリティレポートを公開  〜マリシャスパッケージが急増、2年で約4倍に〜",
      "content_text": "2025年セキュリティレポートを公開  〜マリシャスパッケージが急増、2年で約4倍に〜",
      "date_published": "2025-12-19T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-12-19"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.1",
      "title": "[OSV-Scanner] v2.3.1",
      "content_text": "# v2.3.1\r\n\r\n### Features:\r\n\r\n- [Feature #2370](https://github.com/google/osv-scanner/pull/2370) Add support for the `packagedeprecation` plugin via the new `--experimental-flag-deprecated-packages` flag. The result is available in all output formats except SPDX.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2395](https://github.com/google/osv-scanner/pull/2395) Fix license scanning to correctly match new `deps.dev` package names.\r\n- [Bug #2333](https://github.com/google/osv-scanner/pull/2333) Deduplicate SARIF outputs for GitHub.\r\n- [Bug #2259](https://github.com/google/osv-scanner/pull/2259) Fix lookup of Go packages with major versions by including the subpath of Go PURLs, preventing false positives.\r\n\r\n### Misc:\r\n\r\n- Updated Go version to v1.25.5 to support Go reachability analysis for the latest version.",
      "date_published": "2025-12-11T06:03:17Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.1"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.9.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.9.0",
      "title": "[Clair] v4.9.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\r\n## [Unreleased]\r\n\r\n\r\n<a name=\"v4.9.0\"></a>\r\n## [v4.9.0] - 2025-12-10\r\n### Claircore\r\n- enrichment: don't consider vulnerability.Description for enrichments\r\n  <details>\r\n  Descriptions can often refer to different CVEs or multiple CVEs to the\r\n  actual CVE that is associated to the vulnerability leading to erroneous scores.\r\n  We should only consider the Name and Links fields.\r\n  </details>\r\n\r\n- postgres: better GetEnrichments query\r\n  <details>\r\n  The new query is in \"normal\" `JOIN`-and-`WHERE` form and does not use\r\n  the `latest_update_operations` view. In testing, this was much quicker\r\n  to execute.\r\n  </details>\r\n\r\n- rpm: fix use of `unique.Handle` pinning `fs.FS`\r\n  <details>\r\n  Previous code wouldn't allow memory resources to be reclaimed and could\r\n  lead to excessive memory consumption by the indexer in v1.5.40.\r\n  </details>\r\n\r\n- vex: account for new VEX RPM module logic\r\n  <details>\r\n  The Red Hat security data team are updating how modules are represented\r\n  in VEX files, this change accounts for that update. Specifically, module\r\n  relationships are no longer formally expressed through VEX\r\n  relationships but rather as PURL qualifiers.\r\n  </details>\r\n\r\n- cvss: switch to NVD 2.0 JSON feeds\r\n  <details>\r\n  NVD deprecated their 1.1 JSON feed which claircore relied on for CVSS\r\n  enrichment data. This change updates the CVSS enricher updater to use\r\n  the 2.0 feeds.\r\n  </details>\r\n\r\n- chore: upgrade from pgx v4 to v5\r\n  <details>\r\n  In July 2025 v4 will reach end of life. This change updates claircore to use v5.\r\n  </details>\r\n\r\n- vex: allow timeout to pull down VEX archive to be configurable\r\n  <details>\r\n  As part of the RHEL VEX update process claircore will initially pull down an\r\n  archive of all CVEs, this archive includes all CVEs not just the ones\r\n  that affect Red Hat products. This means the file (while compressed)\r\n  will be quite large. The code previously allowed a timeout of 2 minutes\r\n  to pull down this file. This value remains the default but users have the\r\n  option to configure it to a different value using\r\n  updaters.config.rhel-vex.compressed_file_timeout.\r\n  </details>\r\n\r\n- rpm: add function to determine if packages are installed from RPMs\r\n  <details>\r\n  This change allows language detectors to be able to discard packages\r\n  that have been determined to have come from an RPM package. This ensures\r\n  that only the RPM package is matched to advisories and reduces\r\n  false-positives where language packages are patched but their metadata\r\n  is not updated (or cannot be updated).\r\n  </details>\r\n\r\n- sbom: add encoder to encode index reports as SPDX documents\r\n  <details>\r\n  This change adds the ability in claircore to convert an index report\r\n  into an SPDX-2.3 document.\r\n  </details>\r\n\r\n- rhel: deprecate updater in favor of VEX updater\r\n  <details>\r\n  We can extract vulnerability information about containers from the\r\n  VEX data. This negates the need to look for it in the cvemap.xml file.\r\n  This change modifies the VEX updater to allow for ingesting\r\n  vulnerabilities in a way that can be matched my the RHCC matcher.\r\n  </details>\r\n\r\n- suse: dynamic distribution discovery\r\n  <details>\r\n  Previously Suse distributions were static/predefined in the code, the\r\n  lack of updates to those definitions had allowed the Suse support lapse.\r\n  This change adds dynamic support for two Suse distro flavors:\r\n  suse.linux.enterprise.server and opensuse.leap.\r\n  </details>\r\n\r\n### All\r\n- [1aca06b8](https://github.com/quay/clair/commit/1aca06b8155b038d4d2f480cab58e938cf156337): fix formatted print calls\r\n### Amqp\r\n- [1a9f8769](https://github.com/quay/clair/commit/1a9f8769746a484fba6acdd2d4a88da661f1eb28): add deprecation notice\r\n### Build(Deps)\r\n- [e4feca46](https://github.com/quay/clair/commit/e4feca46d5cea624c2764b427f3e9f1b07deaeeb): bump golang.org/x/time from 0.7.0 to 0.8.0\r\n- [f54011b5](https://github.com/quay/clair/commit/f54011b57c4fb44d153a3ab15f9dc1a80bb182a9): bump golang.org/x/sync from 0.8.0 to 0.9.0\r\n- [ee5524b8](https://github.com/quay/clair/commit/ee5524b897ae19af977f8b5fc7de19c30e925fce): bump go.opentelemetry.io/otel/sdk from 1.31.0 to 1.32.0\r\n- [757b649c](https://github.com/quay/clair/commit/757b649c3286a01948e0342985d4c09915f6c392): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [20c0040f](https://github.com/quay/clair/commit/20c0040f8982f2fed944fb4182bac5aa3c56ada4): bump github.com/go-stomp/stomp/v3 from 3.1.2 to 3.1.3\r\n- [1607766c](https://github.com/quay/clair/commit/1607766cc5691378c70a6113a57d3a2086c65e63): bump github.com/prometheus/client_golang\r\n- [0a3a4611](https://github.com/quay/clair/commit/0a3a4611964014c0c9846d8c79acdd062af9c17d): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [12ea7bf9](https://github.com/quay/clair/commit/12ea7bf97273f2a22d72dddd76bd7fb7e717838f): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [146d4a67](https://github.com/quay/clair/commit/146d4a670c8d24774206bc5b30deb506901f3c7d): bump github.com/urfave/cli/v2 from 2.27.3 to 2.27.5\r\n- [50003694](https://github.com/quay/clair/commit/5000369402f550817eaa1364ba6eccce3691aa2e): bump github.com/klauspost/compress from 1.17.10 to 1.17.11\r\n- [6069bb24](https://github.com/quay/clair/commit/6069bb249b9228210a988b3ecb883f1adcd77e7a): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n### Chore\r\n- [f6a412cc](https://github.com/quay/clair/commit/f6a412ccbfc4c3db83005348584d437348826763): v4.9.0 changelog bump\r\n- [cbfd97b6](https://github.com/quay/clair/commit/cbfd97b655b59c192bda4aefde5dc0c8cd3ae8bb): fix typos in config.yaml.sample\r\n- [7c9c079b](https://github.com/quay/clair/commit/7c9c079bc643e8f1383ad476f624331938d30d61): update claircore to v1.5.48\r\n- [8e9a6d46](https://github.com/quay/clair/commit/8e9a6d4629288f02a24368105598d02ef6ec0583): update claircore to v1.5.47\r\n- [804ef6a4](https://github.com/quay/clair/commit/804ef6a4890f6aa3a96f9910b6be14876b7623a5): update claircore to v1.5.46\r\n- [a50727a3](https://github.com/quay/clair/commit/a50727a3f281079fffa90b0172f99c8c0f6a027c): add DVO ignore annotations\r\n- [8d991938](https://github.com/quay/clair/commit/8d991938a30759da699ea7dd696a4b9bb79ff9dc): update claircore to v1.5.45\r\n- [ff2059cf](https://github.com/quay/clair/commit/ff2059cf2cbaa422967cc920edf6bbd82d77ed15): update claircore to v1.5.44\r\n- [db51ed82](https://github.com/quay/clair/commit/db51ed82dc8d62bf1051c8286f98233e728b3dab): update claircore to v1.5.42\r\n- [c2dc1766](https://github.com/quay/clair/commit/c2dc1766fffcb7126c3d63299f1702a7be4e2ce9): update claircore to v1.5.41\r\n- [8aa9e1e2](https://github.com/quay/clair/commit/8aa9e1e205961e855159a698e5a8f97089e91a3c): update claircore to v1.5.40\r\n- [eca299b7](https://github.com/quay/clair/commit/eca299b706af03bb4517bd6f4717744708bced16): update go references to go1.24\r\n- [1660b66b](https://github.com/quay/clair/commit/1660b66bd59630b9513a1a0f16cbdd4e552ed43f): upgrade from pgx v4 to v5\r\n- [68d03bae](https://github.com/quay/clair/commit/68d03bae216bbfe785b2fd52c66ac3481c21792d): remove reviews from dependabot config\r\n- [0c5292e7](https://github.com/quay/clair/commit/0c5292e7b19a6271d8c7ea5da72dc5ef66fba3e7): upgrade config module to v1.4.2\r\n- [e5d4c19c](https://github.com/quay/clair/commit/e5d4c19cb3f448f1f057124a916f8056abb0325b): update minimum go version to 1.23\r\n- [e45fbf0e](https://github.com/quay/clair/commit/e45fbf0e762de8fad56200cdbc22547df7c112d3): update claircore to v1.5.35\r\n- [708bf2f5](https://github.com/quay/clair/commit/708bf2f54c7715fd77fa874030740995c60a1c6a): update local-dev tracing configs to fix errors\r\n- [216ca2f1](https://github.com/quay/clair/commit/216ca2f1df0677e4ac0e42758d1fc16010e344ed): update claircore to v1.5.34\r\n- [dde57fc1](https://github.com/quay/clair/commit/dde57fc11d5328f3bb2d561e2df2a312fb812a01): update openAPI spec to remove SourcePackage\r\n- [e5149fd3](https://github.com/quay/clair/commit/e5149fd3ebb1e730ee549af3098a5fc60ccbf0f5): group some dependencies to avoid excessive PRs\r\n- [60ebea73](https://github.com/quay/clair/commit/60ebea73e6abd1c69005e86edf26aefd7a6df23f): update claircore to v1.5.33\r\n### Chore(Deps)\r\n- [f598d3ec](https://github.com/quay/clair/commit/f598d3ec6c2c091f9ec15da2988e0f579dd6bddc): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [a952e3c6](https://github.com/quay/clair/commit/a952e3c66d3482aa7285b58836beaf195bc4b88f): bump the otel group with 11 updates\r\n- [878fbceb](https://github.com/quay/clair/commit/878fbceb42510407fece6b4f46ea66335491af21): bump github.com/google/go-containerregistry\r\n- [468e409c](https://github.com/quay/clair/commit/468e409ce4ddfb459e48023a5c898753fb1fd68f): bump actions/upload-artifact from 4 to 5\r\n- [c87bc8f0](https://github.com/quay/clair/commit/c87bc8f075780714db8f2251285d86f649212f05): bump github.com/klauspost/compress from 1.18.1 to 1.18.2\r\n- [2a5c11fd](https://github.com/quay/clair/commit/2a5c11fd121e9c40cf7e601bce67f119a380def8): bump actions/checkout from 5 to 6\r\n- [b12439f4](https://github.com/quay/clair/commit/b12439f4fadd467b198b4f226c4d2fb6a466fe26): bump golang.org/x/crypto from 0.44.0 to 0.45.0\r\n- [e169a50a](https://github.com/quay/clair/commit/e169a50a7971142e77e0f9194676424bbbe3493f): bump google.golang.org/grpc from 1.76.0 to 1.77.0\r\n- [3e778f2c](https://github.com/quay/clair/commit/3e778f2c2c3a4d0674aa1da2e540dc2a32abaecd): bump golang.org/x/net in the golang-x group\r\n- [4563ccbd](https://github.com/quay/clair/commit/4563ccbd8481f0f651b09e8f6e07e2d561850c31): bump github.com/go-stomp/stomp/v3 from 3.1.3 to 3.1.5\r\n- [195cdb06](https://github.com/quay/clair/commit/195cdb06b3e76ceb2e565178898af2d45d416e5c): bump golang.org/x/sync in the golang-x group\r\n- [b50044f4](https://github.com/quay/clair/commit/b50044f42e2780fab6db3147138c4c52193ade84): bump actions/download-artifact from 5 to 6\r\n- [1b429595](https://github.com/quay/clair/commit/1b42959514e932319d63e27dbb98545b622728f7): bump github.com/klauspost/compress from 1.18.0 to 1.18.1\r\n- [e439e4df](https://github.com/quay/clair/commit/e439e4df7a2db9922b7043d09071809d5ce8f6d8): bump the golang-x group with 2 updates\r\n- [fe37c68b](https://github.com/quay/clair/commit/fe37c68b97f59e0fe526ca97bad05210a74ef004): bump google.golang.org/grpc from 1.75.1 to 1.76.0\r\n- [ee6ea1c8](https://github.com/quay/clair/commit/ee6ea1c8816bc1f6541f4aa5dabc08f5b704ff2e): bump github.com/quay/claircore from 1.5.42 to 1.5.43\r\n- [afcfd7f0](https://github.com/quay/clair/commit/afcfd7f0b7013ecfd38f71883b511f5bda6646f8): bump google.golang.org/grpc from 1.75.0 to 1.75.1\r\n- [6a4937e4](https://github.com/quay/clair/commit/6a4937e45475a9c910dd0b3bef3803efb3d14166): bump the golang-x group across 1 directory with 3 updates\r\n- [53cf68e9](https://github.com/quay/clair/commit/53cf68e9b024baf58d99b5a1ed90e57ea9861942): bump github.com/jackc/pgx/v5 from 5.7.5 to 5.7.6\r\n- [e9850949](https://github.com/quay/clair/commit/e9850949db1eddca2de7c0c1fc568aaa1cd2f83b): bump github.com/prometheus/client_golang\r\n- [290969cd](https://github.com/quay/clair/commit/290969cd1ef8f9e87cf12a658b8223b0ac4a5635): bump actions/stale from 9 to 10\r\n- [5b5519b5](https://github.com/quay/clair/commit/5b5519b5e264c4107166b3f26239aac0ce696bac): bump actions/github-script from 7 to 8\r\n- [b78c76b1](https://github.com/quay/clair/commit/b78c76b152890837cb2961039af982d404a35ff0): bump actions/setup-go from 5 to 6\r\n- [b1f4716b](https://github.com/quay/clair/commit/b1f4716b279fdddb143b0cf5c65a5a5b4f62c43d): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [93174450](https://github.com/quay/clair/commit/93174450e69ef63b1f2b0368a13aac0a818aba70): bump github.com/grafana/pyroscope-go/godeltaprof\r\n- [0f1fde39](https://github.com/quay/clair/commit/0f1fde397494c03329574edbaf2b9e4f66a56103): bump the otel group with 11 updates\r\n- [8dbb0f48](https://github.com/quay/clair/commit/8dbb0f4868eea306a5c9ae1576c2fd4041446b6f): bump golang.org/x/net in the golang-x group\r\n- [a35a1281](https://github.com/quay/clair/commit/a35a12819da47d1ac10519788be4adce24f6c33a): bump github.com/ulikunitz/xz from 0.5.11 to 0.5.14\r\n- [1fa9a753](https://github.com/quay/clair/commit/1fa9a75352b7304dc25a42808ae8c51b12d344b2): bump actions/checkout from 4 to 5\r\n- [f0b0949c](https://github.com/quay/clair/commit/f0b0949cf7eb3168f4b471414c99ae846a95a7e7): bump actions/download-artifact from 4 to 5\r\n- [890f4a1b](https://github.com/quay/clair/commit/890f4a1bc06b6817db91e38a9c6211019a171bcf): bump github.com/prometheus/client_golang\r\n- [80add42b](https://github.com/quay/clair/commit/80add42bbc040210aecc60cbde3a760ad71b5cb6): bump google.golang.org/grpc from 1.73.0 to 1.75.0\r\n- [e4746794](https://github.com/quay/clair/commit/e4746794de3720b6f49b8ec67afc84b8df4ab0d4): bump github.com/jackc/pgx/v5 from 5.7.4 to 5.7.5\r\n- [ba6fe31c](https://github.com/quay/clair/commit/ba6fe31c743674b828c5cee5ca269fe2545f1871): bump go.opentelemetry.io/otel/exporters/prometheus\r\n- [40b0402e](https://github.com/quay/clair/commit/40b0402e4945d6e28076b0bf8345550fb64cba35): bump the golang-x group with 2 updates\r\n- [f9635886](https://github.com/quay/clair/commit/f96358865c699367dd3fa197c7b579c73780ec3d): bump github.com/quay/zlog from 1.1.8 to 1.1.9\r\n- [4415106e](https://github.com/quay/clair/commit/4415106e79b9ef686133f7f9dc218c5c64e16da2): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [b7325ada](https://github.com/quay/clair/commit/b7325adaaea397ceda18b86e75295d43781b0bd7): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [78b92595](https://github.com/quay/clair/commit/78b92595494b4cc2a221dd1d8f8f19235ee594e9): bump the otel group with 11 updates\r\n- [62956271](https://github.com/quay/clair/commit/629562717ccdd276f0d23ea2d2a814f817fa9b5b): bump github.com/urfave/cli/v2 from 2.27.6 to 2.27.7\r\n- [440eee8e](https://github.com/quay/clair/commit/440eee8e1dccfd24f55cf97b23a52e3666c346cc): bump github.com/google/go-containerregistry\r\n- [e75e2e2b](https://github.com/quay/clair/commit/e75e2e2b43d2990f656c7505f0dcc61c4a3219eb): bump the golang-x group with 3 updates\r\n- [cf20adbd](https://github.com/quay/clair/commit/cf20adbddc9dd63917e6321cd5c0d1f0467d51cf): bump google.golang.org/grpc from 1.72.2 to 1.73.0\r\n- [d9c211b4](https://github.com/quay/clair/commit/d9c211b4eedfc4254005fc99ff02b9e6d730e9ac): bump github.com/quay/claircore from 1.5.37 to 1.5.38\r\n- [6338de8b](https://github.com/quay/clair/commit/6338de8b2318c30973eba180969e49242e42f50c): bump github.com/ugorji/go/codec from 1.2.12 to 1.2.14\r\n- [566271a1](https://github.com/quay/clair/commit/566271a163f8be8817e9c2d6e199aa5cf229b3b8): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [3e3a2d33](https://github.com/quay/clair/commit/3e3a2d336195c8a64ece2ae387c0f556c76d165a): bump github.com/google/go-containerregistry\r\n- [81b725ba](https://github.com/quay/clair/commit/81b725ba9ee96443e9013dc3817edd4677beee38): bump google.golang.org/grpc from 1.72.1 to 1.72.2\r\n- [faad36e2](https://github.com/quay/clair/commit/faad36e2c040e7588c6be9cc2dc91f39b037ae68): bump the otel group with 11 updates\r\n- [7979e036](https://github.com/quay/clair/commit/7979e036f09e90e12a61aa7152bbc8d780cdbc08): bump google.golang.org/grpc from 1.72.0 to 1.72.1\r\n- [99ab2c1a](https://github.com/quay/clair/commit/99ab2c1ab17bb58e9e2e7ff10fc5a524d0e8d60d): bump the golang-x group with 2 updates\r\n- [a166f610](https://github.com/quay/clair/commit/a166f6103a50b3374797f7825270fc74d95ca51c): bump github.com/quay/claircore from 1.5.36 to 1.5.37\r\n- [d8e9dcf4](https://github.com/quay/clair/commit/d8e9dcf43083d7c5812f85190ffaeebe2b4e8db9): bump google.golang.org/grpc from 1.71.1 to 1.72.0\r\n- [bfa8f11d](https://github.com/quay/clair/commit/bfa8f11de0d6ff542c23c5146248473b932b9b4b): bump github.com/quay/claircore from 1.5.35 to 1.5.36\r\n- [f8a41628](https://github.com/quay/clair/commit/f8a4162819ca57e13e073c7e52ab78093347cd84): bump github.com/prometheus/client_golang\r\n- [7ce22abe](https://github.com/quay/clair/commit/7ce22abec64cc1ffa0b96522f9c1903340539ff4): bump google.golang.org/grpc from 1.71.0 to 1.71.1\r\n- [c53cf2ba](https://github.com/quay/clair/commit/c53cf2bafc79dcd13b8a27532da5e2118dc0d1a3): bump the golang-x group with 2 updates\r\n- [a5833a44](https://github.com/quay/clair/commit/a5833a4405c11add7666e1532551a5d71e3036e5): bump golang.org/x/net in the golang-x group\r\n- [cc6fb14a](https://github.com/quay/clair/commit/cc6fb14ada0f9af9411fef5a247dad04a77e269b): bump github.com/rs/zerolog from 1.33.0 to 1.34.0\r\n- [851e4a36](https://github.com/quay/clair/commit/851e4a36dfd093bda1a81ff555a13c6d8fae38bb): bump github.com/urfave/cli/v2 from 2.27.5 to 2.27.6\r\n- [e9997624](https://github.com/quay/clair/commit/e9997624ee9ae9e030052f764f9b2e428a9021f7): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [a73e832b](https://github.com/quay/clair/commit/a73e832bb478f34ec5cc74f3e63d79be4a0b8867): bump github.com/prometheus/client_golang\r\n- [35110e9e](https://github.com/quay/clair/commit/35110e9e3b285dfefa2f8e4e858fb24fda84d245): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [0a9866e3](https://github.com/quay/clair/commit/0a9866e39c2398ecf80b289c1b90227f0c1ba966): bump the golang-x group with 3 updates\r\n- [1ce14606](https://github.com/quay/clair/commit/1ce146061c87336eb3f41d394fbab4e15b237922): bump the otel group with 11 updates\r\n- [919d5287](https://github.com/quay/clair/commit/919d5287ee85489e211f0f909078a7ff204af886): bump github.com/google/go-cmp in /config\r\n- [2673e4f4](https://github.com/quay/clair/commit/2673e4f4a9adf3b836d0ba9d6b5dd28823f540ce): bump github.com/rogpeppe/go-internal from 1.13.1 to 1.14.1\r\n- [cf7af98a](https://github.com/quay/clair/commit/cf7af98a4571e2a05ca0839000be2ca275a647c6): bump github.com/go-jose/go-jose/v3 from 3.0.3 to 3.0.4\r\n- [6c9fae1e](https://github.com/quay/clair/commit/6c9fae1e29f50dc11871f28cbe51d609120a065b): bump github.com/google/go-cmp from 0.6.0 to 0.7.0\r\n- [707d8049](https://github.com/quay/clair/commit/707d80495e98786757f31f7028bc54f98e524276): bump github.com/prometheus/client_golang\r\n- [136a618f](https://github.com/quay/clair/commit/136a618f241f48c00a32b0386e9225bb5d1dfa7d): bump github.com/klauspost/compress from 1.17.11 to 1.18.0\r\n- [3e7c6e74](https://github.com/quay/clair/commit/3e7c6e7463307ebef02b708e85d3092c41771e44): bump the golang-x group with 3 updates\r\n- [73db520d](https://github.com/quay/clair/commit/73db520d4c8d0a55e8aa2e4f507412443f12226a): bump github.com/evanphx/json-patch/v5 from 5.9.10 to 5.9.11\r\n- [a3a60f10](https://github.com/quay/clair/commit/a3a60f1017a482909f9451c04501d9c3c179855f): bump google.golang.org/grpc from 1.69.4 to 1.70.0\r\n- [cc29705c](https://github.com/quay/clair/commit/cc29705c7cb02f77566db47dc57c4cac78032420): bump github.com/evanphx/json-patch/v5 from 5.9.0 to 5.9.10\r\n- [d05b4049](https://github.com/quay/clair/commit/d05b4049c7cceda76416b35795ef9290f82c5d95): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [8b99d320](https://github.com/quay/clair/commit/8b99d32021936f2eadda01c38b2bb788272cb7bb): bump the otel group with 11 updates\r\n- [b2c66991](https://github.com/quay/clair/commit/b2c669913bbd4ef1a7df5c2dfad6459ee8fcb117): bump google.golang.org/grpc from 1.69.2 to 1.69.4\r\n- [ef4a1f11](https://github.com/quay/clair/commit/ef4a1f113ae4c192feeadaf50571ff8f11ddb6ed): bump the golang-x group with 2 updates\r\n- [38b77499](https://github.com/quay/clair/commit/38b774994da0481efb4b852d86b96332167baef8): bump golang.org/x/net in the golang-x group\r\n- [80c0381a](https://github.com/quay/clair/commit/80c0381a0d6de6ab79b04294980c1d7e59deb72a): bump the otel group across 1 directory with 2 updates\r\n- [3eff1ef1](https://github.com/quay/clair/commit/3eff1ef131d17b383fdf84172818f6e8d5d307e2): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [5bf85313](https://github.com/quay/clair/commit/5bf853139ea1a3cdcc5ee73fe21b18c7fef4fe35): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [9ebb61d9](https://github.com/quay/clair/commit/9ebb61d945cc8b61d507adee56e020788bcfb931): bump golang.org/x/crypto from 0.30.0 to 0.31.0\r\n- [0881e079](https://github.com/quay/clair/commit/0881e07960cd3799d78707760876cf713e7de29a): bump the golang-x group with 2 updates\r\n- [f556ef16](https://github.com/quay/clair/commit/f556ef162483b3e39605d7073c0ab02108323da1): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [bf8737a1](https://github.com/quay/clair/commit/bf8737a14ae5ab91e1747238f327feade8d9084b): bump golang.org/x/net in the golang-x group\r\n- [f1d9aae4](https://github.com/quay/clair/commit/f1d9aae4eb4952687c02f7ba1f9237e2d8510fd2): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n### Chore(Manifests)\r\n- [48b75fe4](https://github.com/quay/clair/commit/48b75fe45d534081c65d3a55e8206b8ca405f276): add anti-affinity rules\r\n### Ci\r\n- [a0a35fd7](https://github.com/quay/clair/commit/a0a35fd7b6f2aed63adf9feb2c5d5af76a93278e): Allow go test to access un-vendored dependencies\r\n### Cicd\r\n- [ab791a2e](https://github.com/quay/clair/commit/ab791a2ee21107beb49cd516807f1b15c21b085e): run multiarch tests without a full container\r\n- [935a61f3](https://github.com/quay/clair/commit/935a61f3142baf1d426d52cb20dddc74a259cc99): vendor modules into nightly source\r\n### Clairctl\r\n- [4c93f8ea](https://github.com/quay/clair/commit/4c93f8ea2611855503e9c0ca18e0d5e7f9aa55e7): Print a friendly error on panic\r\n -  [#2221](https://github.com/quay/clair/issues/2221)### Config\r\n- [0db9beaf](https://github.com/quay/clair/commit/0db9beaf1c5fa7da76d03a06672000666f62b591): add ability to disable enrichment\r\n- [7ab81b38](https://github.com/quay/clair/commit/7ab81b3866677804f19dffdf29422d6213a4ba2c): clean environment in example\r\n### Dev\r\n- [503215f5](https://github.com/quay/clair/commit/503215f5100fff89ea1656281394a151fd9cb8b5): rename dashboard.json file to clair.json\r\n- [65cd4244](https://github.com/quay/clair/commit/65cd4244e3b322e7a9c75482cdd6696b6ab24ec3): add a grafana dashboard for postgres stats\r\n### Docker\r\n- [10485679](https://github.com/quay/clair/commit/1048567920dd7aa56442c55c3b928a09f5f9899d): remove version line from docker-compose.yaml\r\n### Docker-Compose\r\n- [8c71b46e](https://github.com/quay/clair/commit/8c71b46e83770234c08e86dea1fa53f01c6a8ad8): update containers\r\n### Enrichments\r\n- [6527a9ec](https://github.com/quay/clair/commit/6527a9ec3e9ab360cb2ed18646041e628fd2dcda): disable enrichers if config option is set\r\n### Fix\r\n- [0a8c3864](https://github.com/quay/clair/commit/0a8c3864648d43fa2650742dba351efdd8c035fe): typo in variable name\r\n### Go.Mod\r\n- [6db583f7](https://github.com/quay/clair/commit/6db583f7dcffaa3d94ba7566df23b79dc430057e): Update Go version to 1.24.9 for CVE-2025-47907\r\n### Health\r\n- [b57b9fa6](https://github.com/quay/clair/commit/b57b9fa642ab2cb561fb205f5349fd81adb56c82): using atomic.Uint32\r\n### Introspection\r\n- [797c2f45](https://github.com/quay/clair/commit/797c2f45fbd8b3c6660a5ef5979e62ffa0b26107): implement OTLP support for metrics and traces\r\n### Misc\r\n- [5891f64b](https://github.com/quay/clair/commit/5891f64bd2451ddf62ad01176416aa8eccba9b79): remove API doc make target, CI check\r\n### Notifier\r\n- [a9a68e18](https://github.com/quay/clair/commit/a9a68e18dd8e4fec4d05a2e82dda92e14b7542e3): increase default durations to be more reasonable\r\n### Openapi\r\n- [8c540b96](https://github.com/quay/clair/commit/8c540b964f6b8afc99f6a82f60fede028fc739f1): rebuild OpenAPI spec\r\n### Signer\r\n- [1c6d0496](https://github.com/quay/clair/commit/1c6d0496ea19a72b0d0dcaff959b4554d19b7b9e): initialize before checking for PSK\r\n - Fixes [#2214](https://github.com/quay/clair/issues/2214) -  [#2221](https://github.com/quay/clair/issues/2221)### Stomp\r\n- [b2501ba3](https://github.com/quay/clair/commit/b2501ba3f277034283d1ecfb30b6fb808ab8ffc9): ignore Unsubscribe error in test\r\n- [0b8e3507](https://github.com/quay/clair/commit/0b8e3507a0425fde64932627245a66458cb853da): add deprecation notice\r\n- [684be8d0](https://github.com/quay/clair/commit/684be8d043d43b66915fbf0d8976c1230a15f9b3): catch test-specific error\r\n### Types/V1\r\n- [50d0164b](https://github.com/quay/clair/commit/50d0164b0cf9d305f4cc5af1f0a9787e67623ca9): add JSON API v1 types and schemas\r\n### Reverts\r\n- cicd: exclude darwin/arm64\r\n\r\n\r\n[Unreleased]: https://github.com/quay/clair/compare/v4.9.0...HEAD\r\n[v4.9.0]: https://github.com/quay/clair/compare/v4.8.0...v4.9.0\r\n",
      "date_published": "2025-12-10T18:34:49Z",
      "tags": [
        "security"
      ],
      "_tool_id": "clair",
      "_version": "v4.9.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.104.2",
      "url": "https://github.com/anchore/grype/releases/tag/v0.104.2",
      "title": "[Grype] v0.104.2",
      "content_text": "### Bug Fixes\n\n- Since version 0.104.0 shaded jars are not reported [[#3098](https://github.com/anchore/grype/issues/3098)]\n- db search fails with misleading message (out of memory) when no db is present [[#3049](https://github.com/anchore/grype/issues/3049) [#3077](https://github.com/anchore/grype/pull/3077) @JvD-Ericsson]\n\n### Additional Changes\n\n- replace os.Chdir with t.Chdir in test code [[#3067](https://github.com/anchore/grype/pull/3067) @joonas]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.104.1...v0.104.2)**\n\n",
      "date_published": "2025-12-09T23:17:35Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.104.2"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.38.2",
      "url": "https://github.com/anchore/syft/releases/tag/v1.38.2",
      "title": "[Syft] v1.38.2",
      "content_text": "### Bug Fixes\r\n\r\n- drop cpe from gguf [[#4383](https://github.com/anchore/syft/pull/4383) @spiffcs]\r\n- emit lua rockspec dependencies in metadata [[#4376](https://github.com/anchore/syft/pull/4376) @willmurphyscode]\r\n- Invalid SBOMs are created when GO replace directive is used [[#4415](https://github.com/anchore/syft/issues/4415) [#4419](https://github.com/anchore/syft/pull/4419) @VictorHuu]\r\n- Incorrect CPE for Vercel's Next js [[#4443](https://github.com/anchore/syft/issues/4443) [#4450](https://github.com/anchore/syft/pull/4450) @willmurphyscode]\r\n- v1.38.0 generates empty sbom for tgz sources [[#4416](https://github.com/anchore/syft/issues/4416) [#4421](https://github.com/anchore/syft/pull/4421) @VictorHuu]\r\n- Syft: The dependency graph does not include all Requires-Dist relationships defined in the package’s METADATA file [[#4401](https://github.com/anchore/syft/issues/4401) [#4408](https://github.com/anchore/syft/pull/4408) @willmurphyscode]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.38.0...v1.38.2)**\r\n\r\n",
      "date_published": "2025-12-09T22:02:23Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.38.2"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.37.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.37.0",
      "title": "[Vuls] v0.37.0",
      "content_text": "## Changelog\n* a27a33971c50f2218bc5118dea6edac0ec2ee1c0 chore(deps): update dictionaries (#2373)\n* 064541c1aa0ded9110f40d1d31bea4439b7270c3 chore(deps): bump the others group with 2 updates (#2372)\n* c440fd5e6e41c6be7eb3e779924836dfa01859d6 chore(deps): bump github.com/aquasecurity/trivy from 0.67.2 to 0.68.0 in the trivy group (#2370)\n* 93df2a8541373b29a6d9ff9fafbeaa6bb00a3fbf chore(deps): bump the all group with 2 updates (#2366)\n* 3d0f9419582fcf782c05ea8a9795ec788ee4d684 chore(deps): bump the others group across 1 directory with 8 updates (#2371)\n* d8bff91dedbb7d07883c27560f747beecc6348f2 feat(detector/cve): support euvd (#2364)\n* 3f82b464e2216a229a5a792a08674e88f5c5da0d chore(deps): bump the all group across 2 directories with 2 updates (#2367)\n\n",
      "date_published": "2025-12-09T06:38:22Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.37.0"
    },
    {
      "id": "https://yamory.io/news/ncpc",
      "url": "https://yamory.io/news/ncpc",
      "title": "[Yamory] 株式会社アシュアードが、国産セキュリティ産業の発展に向け 「日本サイバーセキュリティ産業振興コミュニティ （NCPC）」へ参画",
      "content_text": "株式会社アシュアードが、国産セキュリティ産業の発展に向け 「日本サイバーセキュリティ産業振興コミュニティ （NCPC）」へ参画",
      "date_published": "2025-12-09T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-12-09"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.36.3",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.36.3",
      "title": "[Vuls] v0.36.3",
      "content_text": "## Changelog\n* 47c6cec13ed31499ad5916d6782d96d8cb937673 fix(scanner/redhatbase): update procPathToFQPN (#2363)\n* 340fbb2258cb6cdc320661689248b2c1db10c24a chore(deps): bump go-cve-dictionary version (#2362)\n* 1c2a238bd8a293b55c9391e55ffc60bdb317997a chore(deps): update vuls2 to json/v2 adaptation (#2359)\n* 3b1e4823c3753fb7185279ca86cf58b12905d741 fix(detector/vuls2): compare CVSSv3 (#2360)\n* 14d5c9adf7b29826b96c7fc87b85b1be0fdfa302 fix(ci/codeql): add json/v2 env var (#2358)\n* 037514abfe6784ca305715e2302b94a0765de0d4 chore(deps): bump the others group across 1 directory with 7 updates (#2357)\n* f5a29e73f31f41e69e71178611c6c50880989909 chore(deps): bump the go_modules group across 1 directory with 2 updates (#2356)\n* 2c8a955d11c4cfb1df17d57a57d50569d4723a41 chore(deps): bump the all group with 2 updates (#2351)\n* 03fbd9cdb4f407bc3415927b831449aba600813f feat(scanner/windows): add Windows 11 25H2 (#2354)\n* e790ec5b8706bfcc9a472e23c8615bfdeacd932b fix(contrib/future-vuls): add O_TRUNC flag (#2352)\n* 9714fdb9356903da7d612ab32a90d514fbf8877c chore(deps): bump the trivy group with 2 updates (#2334)\n* 2e83bf40dd86e6f007bb217e61a068900f11c58e chore(deps): revert the revert of docker cooldown (#2317) (#2350)\n\n",
      "date_published": "2025-12-01T03:15:07Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.36.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20251200_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20251200_hotfix/",
      "title": "[FutureVuls] 2025-12 [Hotfix]",
      "content_text": "2025-12-09 リリース内容\n#\n【緊急リリース】Next.js環境における脆弱性（React2Shell）検知ロジックの変更について\n#\n現在、React Server Components における深刻な脆弱性\nCVE-2025-55182\n（通称：React2Shell）が報告されています。\n本脆弱性は「React Server Components 関連パッケージ（react-server-dom-webpack 等）」および「Next.js」の両方に影響を及ぼしますが、Next.js を利用している環境において、脆弱性の重大度が正しく評価されない（SSVC が低く算出される）課題が確認されました。\nこれを受け、FutureVuls ではユーザの皆様が本脆弱性を適切にトリアージできるよう、\nNext.js環境における評価ロジックの緊急アップデート\nを実施いたしました。\n1. 対応の概要\n#\nNext.js に対する脆弱性検知において、これまで検知されていた「GHSA-ID」に加え、実質的な根本原因である「CVE-ID」としても検知するように変更しました。\n（※過去の検知履歴を保持するため、既存の GHSA-ID も継続して検知されます）\n対象パッケージ\n変更前 (Before)\n変更後 (After)\nNext.js\nGHSA-9qr9-h5gf-34mp\nCVE-2025-55182\nおよび\nGHSA-9qr9-h5gf-34mp\nReact Server Components関連\n(react-server-dom-webpack等)\nCVE-2025-55182\nCVE-2025-55182 (変更なし)\n※React Server Components 関連パッケージのみをご利用の環境では、以前より正しく CVE-ID で検知されており、本変更による影響はありません。\n2. 対応の背景と理由\n#\n課題：SSVC評価が低く算出されてしまう問題\n#\n12/09 15:00 (JST) 時点で、 Next.js の脆弱性アドバイザリ（GHSA-9qr9-h5gf-34mp）に対応する CVE-ID が、GitHub Seciruty Advisory 上で Alias として登録されていない状況です。 (GHSA-9qr9-h5gf-34mp のデータソースは\nこちら\n)\nこれにより、Next.js の検知には有効な CVE-ID が紐付かない状態となり、以下の弊害が発生していました。\nKEV（悪用が確認された脆弱性）として認識されない\n- 本来この脆弱性は KEV に登録されていますが、GHSA-ID 単体では KEV カタログとの照合が行われません。\nSSVC評価が本来より低く算出されてしまう\n- KEV に該当しないと判定されるため、Exploitation（悪用状況）が「None」となり、SSVC の決定ロジックにより優先度が「Immediate（即時）」ではなく、本来より低く評価されていました。\nFutureVulsでの特別対応\n#\n本脆弱性の深刻度と、すでに悪用が確認されている現状を鑑み、FutureVuls では以下の特別対応を実施しました。\nNext.jsの検知（GHSA-9qr9-h5gf-34mp）に対し、根本原因である「CVE-2025-55182」もマッピングするよう変更\nこれにより、KEV 情報が正しく参照されるようになり、SSVC 判断が\n「Immediate（即時対応）」\nや\n「Out-of-cycle（定例外対応）」\nとして適切に評価されるようになります。\n3. ユーザ様へのお願い\n#\n本リリース適用後、次回スキャン時より Next.js の脆弱性が\nCVE-2025-55182\nとして検出されます。\n対応のお願い:\nSSVC 評価が「Immediate」や「Out-of-cycle」に上昇する可能性があります。タスク一覧で\nCVE-2025-55182\nを確認し、優先的に対応をご検討ください。\nオーガニゼーション内の全サーバに対しスキャンを即時実行したい場合は、\n全サーバ一括スキャン\n機能をご利用ください。\n注意点（タスクの移行について）:\nこれまで\nGHSA-9qr9-h5gf-34mp\nとして検出されていたタスクは、これまでの対応履歴を保持するため、\nそのままのステータスで検知され続けます\n。\n同時に、\n別のタスク（新規タスク）\nとして\nCVE-2025-55182\nが検出されます。\n新しい CVE-ID のタスクで管理する場合は、必要に応じて旧タスク（GHSA-ID）を手動でクローズ（または非表示）してください。\nFutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。",
      "date_published": "2025-12-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-12 [Hotfix]"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.104.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.104.1",
      "title": "[Grype] v0.104.1",
      "content_text": "### Bug Fixes\r\n\r\n- Redact during file output [[#3068](https://github.com/anchore/grype/pull/3068) @kzantow]\r\n- Unaffected match table does not filter results if CPE matching is enabled [[#3056](https://github.com/anchore/grype/issues/3056) [#3066](https://github.com/anchore/grype/pull/3066) @kzantow]\r\n\r\n### Additional Changes\r\n\r\n- Migrate grype to use `mholt/archives` instead of anchore fork [[#3036](https://github.com/anchore/grype/pull/3036) @joonas]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.104.0...v0.104.1)**\r\n\r\n",
      "date_published": "2025-11-24T16:27:27Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.104.1"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.3.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.3.0",
      "title": "[OSV-Scanner] v2.3.0",
      "content_text": "This release migrates to the new `osv.dev` and `osv-schema` proto bindings for its internal data models ([#2328](https://github.com/google/osv-scanner/pull/2328)). This is primarily an internal change and should not impact users.\r\n\r\n### Features:\r\n\r\n- [Feature #2321](https://github.com/google/osv-scanner/pull/2321) Add support for license checks for RubyGems.\r\n- [Feature #2294](https://github.com/google/osv-scanner/pull/2294) Replace `requirementsenhanceable` extractor with transitive enricher.\r\n- [Feature #2344](https://github.com/google/osv-scanner/pull/2344) Use `osduplicate` annotators.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2329](https://github.com/google/osv-scanner/pull/2329) Add `--ignore-scripts` flag to npm lockfile generation.\r\n- [Bug #2311](https://github.com/google/osv-scanner/pull/2311) Improve logic for `--all-packages` flag.\r\n- [Bug #2309](https://github.com/google/osv-scanner/pull/2309) Exit with a non-zero code when showing help.\r\n- [Bug #2316](https://github.com/google/osv-scanner/pull/2316) Pre-commit hook now defaults to scanning current directory instead of failing.\r\n- [Bug #1507 (osv-scalibr)](https://github.com/google/osv-scalibr/pull/1507) Interpolate Maven projects before extracting repositories.\r\n\r\n## New Contributors\r\n* @Ly-Joey made their first contribution in https://github.com/google/osv-scanner/pull/2311\r\n* @pcastellazzi made their first contribution in https://github.com/google/osv-scanner/pull/2316\r\n\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.2.4...v2.3.0",
      "date_published": "2025-11-19T05:14:53Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.3.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.104.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.104.0",
      "title": "[Grype] v0.104.0",
      "content_text": "### Added Features\n\n- Add `--from` flag [[#3035](https://github.com/anchore/grype/pull/3035) @wagoodman]\n- Let a suppression expire to prevent that one will forget to resolve a vulnerability [[#3031](https://github.com/anchore/grype/issues/3031)]\n\n### Bug Fixes\n\n- Unnormalized fix version triggers false-positive in mssql-jdbc [[#3042](https://github.com/anchore/grype/issues/3042) [#3034](https://github.com/anchore/grype/pull/3034) @jamestexas]\n\n### Additional Changes\n\n- junit template use CDATA block to prevent XML parse errors [[#3019](https://github.com/anchore/grype/pull/3019) @nvtkaszpir]\n- Keep nested loggers labeled [[#3040](https://github.com/anchore/grype/pull/3040) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.103.0...v0.104.0)**\n\n",
      "date_published": "2025-11-17T22:39:08Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.104.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.38.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.38.0",
      "title": "[Syft] v1.38.0",
      "content_text": "### Added Features\n\n- add support for cataloging GGUF models [[#4184](https://github.com/anchore/syft/issues/4184) [#4279](https://github.com/anchore/syft/pull/4279) @spiffcs]\n- Support scanning a list of CPEs [[#3890](https://github.com/anchore/syft/issues/3890) [#4207](https://github.com/anchore/syft/pull/4207) @chovanecadam]\n- Syft does not detect Elixir binary on system [[#4333](https://github.com/anchore/syft/issues/4333) [#4334](https://github.com/anchore/syft/pull/4334) @rezmoss]\n\n### Bug Fixes\n\n- Support `extras` statements in Python PDM cataloger [[#4352](https://github.com/anchore/syft/pull/4352) @wagoodman]\n- Preserve --from argument order [[#4350](https://github.com/anchore/syft/pull/4350) @wagoodman]\n- SBOM generated by Syft 1.28 contains license elements missing `id` or `name` (causing CycloneDX parser error) [[#4363](https://github.com/anchore/syft/issues/4363)]\n- empty PURL output in dependency snapshot format breaks sbom-action [[#4311](https://github.com/anchore/syft/issues/4311)]\n- Interface includes constraint elements, can only be used in type parameters [[#4346](https://github.com/anchore/syft/issues/4346)]\n- Upgrade github.com/nwaples/rardecode@v1.1.3 to 2.2.1 [[#4338](https://github.com/anchore/syft/issues/4338)]\n- Upgrade to Golang 1.25.4 [[#4341](https://github.com/anchore/syft/issues/4341)]\n\n### Additional Changes\n\n- migrate syft to use mholt/archives instead of anchore fork [[#4029](https://github.com/anchore/syft/pull/4029) @Rupikz]\n- Add license enrichment from pypi to python packages [[#4295](https://github.com/anchore/syft/pull/4295) @timols]\n- license file search [[#4327](https://github.com/anchore/syft/pull/4327) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.37.0...v1.38.0)**\n\n",
      "date_published": "2025-11-17T17:55:51Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.38.0"
    },
    {
      "id": "https://yamory.io/news/SwiftPM",
      "url": "https://yamory.io/news/SwiftPM",
      "title": "[Yamory] 「Swift Package Manager （SwiftPM）」のスキャンに正式対応",
      "content_text": "「Swift Package Manager （SwiftPM）」のスキャンに正式対応",
      "date_published": "2025-11-17T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-11-17"
    },
    {
      "id": "https://yamory.io/news/security-awards2025",
      "url": "https://yamory.io/news/security-awards2025",
      "title": "[Yamory] 日本セキュリティ大賞2025 セキュリティ運用支援部門で「奨励賞」を受賞",
      "content_text": "日本セキュリティ大賞2025 セキュリティ運用支援部門で「奨励賞」を受賞",
      "date_published": "2025-11-14T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-11-14"
    },
    {
      "id": "https://yamory.io/news/vpn_data",
      "url": "https://yamory.io/news/vpn_data",
      "title": "[Yamory] ランサムウェアの主要な侵入口「VPN機器」の セキュリティ対策実態調査",
      "content_text": "ランサムウェアの主要な侵入口「VPN機器」の セキュリティ対策実態調査",
      "date_published": "2025-11-12T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-11-12"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20251111/",
      "url": "https://help.vuls.biz/releasenotes/20251111/",
      "title": "[FutureVuls] 2025-11-11",
      "content_text": "2025-11-11 リリース内容\n#\nスキャナの更新が必要です\n今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。\n- スキャナのバグ修正は\n最新版にのみ適用\nされます。\n- スキャナの更新方法は\nこちら\nです。自動更新オプションもご活用ください。\n対象\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.35.1\n[NEW]\nVersion: 2025/10\nWindows用\n[NEW] vuls v0.35.1\nVersion: 2025/04\nTrivy\n[NEW] v0.66.0\nVersion: 2025/04\n主な新機能\n#\n今回のリリースでは、ソフトウェアサプライチェーンリスク管理の中核となる EOL 管理機能を大幅に強化し、外部サービスとの連携や検知精度の向上を実現する新機能を追加しました。\n【大型機能】ソフトウェアサプライチェーンリスク・EOL管理の強化\n#\nソフトウェアの EOL（End of Life/サポート終了）は、脆弱性と同様に重要なセキュリティリスクです。今回のリリースでは、EOL リスクの発見から棚卸し、対応管理までを FutureVuls 上で一元的に実施できる体制を整えました。\n1. EOLの一元管理画面「サプライチェーンリスクタブ」の新設（CSIRTプラン限定）\n#\nグループおよびグループセット画面に\n「サプライチェーンリスク」タブ\nを新設し、その配下の「EOL」サブタブで EOL を迎える、または迎えたソフトウェアを一元管理できるようになりました。\n一覧画面でのリスク可視化\n:\n近日 EOL を迎えるソフトウェアや、既に EOL 済みのソフトウェアを一覧で把握できます。\nグループセット画面では、配下グループ全体の対応状況を横断的にモニタリングでき、「どこから手を付けるべきか」の判断を支援します。\n詳細画面での対応管理\n:\nEOL の詳細情報\n（期限、影響サーバ等）を確認しながら、優先度、担当者、対応期限などを設定し、対応方針をコメントで共有できます（\n@\nによるメンション通知も可能）。\nシステム担当者による対応登録から、セキュリティ担当者による承認まで、一画面で完結します。\n2. EOL通知機能の追加\n#\nEOL 期限の接近や対応状況の変化を\n自動で通知\nし、対応漏れを防ぎます。\n通知種別\nタイミング\n主な内容\n月次定期通知\n毎月月初\nグループ/グループセット内のEOL対応進捗サマリ\n随時通知\n新規EOL検知時など\n新規EOL検知情報や、対応ステータスの変更\nこれにより、ソフトウェア更新の事前準備に必要な情報を計画的に把握できるようになります。\n3. EOL検知の強化\n#\nEOL の検知対象と検知方法を大幅に拡張しました。\nFutureVuls独自ロジックによるOSSのEOL検知\n#\n多くのオープンソースソフトウェア（OSS）では、\nendoflife.date\nのような標準的なデータベースに EOL 日が登録されていなくても、明確に開発終了が宣言されている場合があります。\n例えば、開発者によってリポジトリがアーカイブされたり、非推奨（deprecated）と宣言されるような場合が該当します。\n今回のリリースでは、こうした公式に EOL が宣言された状態にある OSS を検出するため、FutureVuls 独自の解析ロジックを開発・導入しました。このロジックは、PURL を持つ OSS ライブラリについて、以下のような複数の情報源を複合的に分析し、endoflife.date などに公式な EOL 情報が掲載されていないソフトウェアのリスクをあぶり出します。\nGitHubリポジトリの状態\n:\nArchive\n化されているなど、開発が停止していることを示すステータスを検知。\nパッケージレジストリの情報\n: 各種パッケージレジストリ上で\nEOL\nや\ndeprecated\nとしてマークされている情報を検知。\n開発者による宣言\n:\nREADME\nファイルやドキュメント内に記載された「メンテナンス放棄」や「開発終了」といった宣言を解析。\n本機能は既に FutureVuls をご利用のお客様環境で稼働しており、登録されている\n約2万種類のOSSの解析が完了\nしています。今後も継続的に解析対象を拡大し、これまで可視化が難しかったソフトウェアサプライチェーンリスクの低減を支援します。\nその他の検知強化\n#\n検知対象の拡大\n: Red Hat Enterprise Linux Application Streams の EOL 検知に新たに対応しました。\nendoflife.date連携の強化\n: これまで\nendoflife.date\n掲載の OSS ライブラリの EOL 検知は PURL によって行っていましたが、今回のリリースで CPE による検知にも対応し、検知可能な範囲が拡大しました。\nお客様によるEOL管理\n:\nendoflife.date\nへ Pull Request を作成いただくことで、お客様自身で任意のソフトウェアの EOL を FutureVuls の\n管理対象に加えることも可能です\n。\n4. EOL延長サポートの選択機能\n#\n延長サポートを契約している OS やソフトウェアについて、標準の EOL 日ではなく、延長サポート期限を EOL 日として採用できるようになりました。\n5. 管理対象外ソフトウェアのステータス自動変更\n#\n「管理対象外」に設定されたソフトウェア\nは、ソフトウェアサプライチェーンリスクのステータスが自動的に\nRISK_ACCEPTED\nとして設定されます。\n【検知精度向上】Vulncheck NVD++連携によるCPE脆弱性検知の強化\n#\nCPE（共通プラットフォーム一覧）に基づく脆弱性検知のデータソースとして、新たに「Vulncheck NVD++」を追加しました。これにより、検知の網羅性と即時性が大幅に向上します。\nNIST NVD と比較して、Vulncheck NVD++は CPE 情報をより広く、より速く提供します。VulnCheck 社の分析によれば、2024年に公開された CVE において、NVD の CPE カバー率が41.35%であるのに対し、\nVulnCheckは76.95%をカバー\nしています。また、NVD と比較して\n平均で96時間（4日間）以上も早くCPEを生成\nしており、新たな脅威への迅速な対応を可能にします。\nこの連携強化により、これまで検知が難しかったソフトウェアの脆弱性を見つけ出し、より早いリスク対応が可能になります。\n詳しくは\nVulnCheck社のブログ記事\nもご参照ください。\n既に対応済みの古い脆弱性が過検知される場合について\n今回追加した「Vulncheck NVD++」では、一部 CVE に紐づく CPE のバージョン情報が欠落しており、ソフトウェアへ割り当てた CPE がバージョンを問わず脆弱性検知の対象となる場合があります。その結果、既に対応済みの古い脆弱性が過検知されることがあります。\nこれにより起票されたタスクは、お手数ですがステータスを手動で\nNOT_AFFECTED\nに変更してください。本件は 2025年12月中を目途に修正を予定しています。\n【資産管理】ソフトウェア管理機能の強化\n#\nソフトウェア資産の可視性と管理性を向上させるための機能を拡充しました。\nグループ画面への「ソフトウェア」タブ追加\n: これまでグループセットにしかなかったソフトウェアタブをグループ画面にも追加し、グループ内のソフトウェア資産を横断的に検索・確認できるようになりました。\nCPE/PURLの手動割当機能\n: スキャンで自動識別されないソフトウェアに対し、\n手動で CPE や PURL を割り当てる機能\nを追加しました。これにより、これまで難しかったソフトウェアの脆弱性や EOL 検知の精度を向上させることができます。\nソフトウェア共通機能の拡張\n: 管理対象外設定や関連タスクの確認などを、ソフトウェアの種別を問わず共通の操作性で実行できるようになりました。\nOSSライセンス表記のSPDX IDへの統一\n: ソフトウェア詳細画面などで表示される OSS ライセンスの表記を、\nSPDX License List\nで定義された Identifier 形式に正規化しました。これにより、ライセンス表記の揺れがなくなり、外部ツールとの連携やライセンス管理の自動化が容易になります。\nSPDX形式でのSBOMエクスポート\n#\nFutureVuls に登録されているサーバの構成情報を、\nSPDX JSON 形式でもエクスポート\nできるようになりました。\nサーバ詳細の右上に表示されている「SBOM ファイルのダウンロード」から、\nSPDX JSON\nを選択してください。\n複数のサーバを選択して SBOM エクスポートする機能について\nFutureVuls に登録されている複数のサーバを選択して、SBOM 形式でエクスポートする機能（\nマニュアル\n）については、2025年11月現在で CycloneDX 形式でのエクスポートにのみ対応しています。\nSPDX 形式でのエクスポートについては、今後のリリースで対応する計画です。\nその他の改良と仕様変更\n#\n【重要】APIをご利用のお客様へ：破壊的変更とレートリミット導入のお知らせ\n#\nソフトウェアIDの変更について\n#\n今回のリリースに含まれる「ソフトウェア管理 DB の刷新」に伴い、\n一部ソフトウェアのIDが変更\nされています。\n背景\n: パフォーマンスと将来の拡張性向上のため、内部データベース構造を全面的に刷新しました。これにより、OS、ライブラリ、GitHub 経由など、これまで個別に管理されていたソフトウェア情報が新しいテーブル構造に統合されました。\n影響\n: API で取得したソフトウェア ID を外部で保存・再利用しているスクリプトは、ID の変更により動作しなくなる可能性があります。お手数ですが、本リリース後に連携プログラムが正常に動作しているかご確認いただき、必要に応じて修正をご検討ください。\nAPIレートリミット導入の事前予告とバッチ取得APIの追加\n#\nサービスの安定性維持のため、\n2026年前半（2月〜3月頃）\nを目処に、APIトークンごとに\n1分間あたり20リクエスト\nのレートリミットを導入する予定です。\nこれに先立ち、高頻度のリクエストをされているお客様への影響を緩和するため、複数の情報を一度に取得できる以下のバッチ取得 API を新たに追加しました。\nタスクコメントバッチ取得 API\n(\nGET /v1/taskComments\n)\nグループセット脆弱性情報取得 API\n(\nGET /v1/groupSet/cveVulnInfos\n)\n現在、1分間に20リクエストを超える頻度で API をご利用の場合は、レートリミット導入までに、これらのバッチ取得 API を利用するよう実装の変更をご検討ください。\n詳細は「\nAPIサンプル\n」や「\nAPIドキュメント\n」を参照してください。\nAPI関連\n#\nSBOM関連APIの拡充\n: SBOM の CRUD 操作や、サーバ情報の SBOM 形式でのダウンロードが可能になりました。旧 API(\n/v1/lockfile/sbom\n)は非推奨となりますので、新 API(\n/v1/sbom\n)への移行をお願いします。詳しくは\nAPIドキュメント\nを参照してください。\nLLMサマリのAPI取得\n: 脆弱性詳細取得 API で、AI による脆弱性・脅威情報のサマリを取得できるようになりました。\nタスク一覧APIの拡張\n: レスポンスに SSVC 関連フィールドなどを追加しました。\nタスクコメントの修正\n: PublicAPI 経由で脆弱性を非表示にした際、タスクコメントに更新元が API であることが明示されるようになりました。\nパフォーマンス・安定性\n#\n表示・処理速度の改善\n: タスク数が多い環境でのタスク一覧画面の表示や、タスクコピー処理がタイムアウトする問題を解消しました。\nLinuxインストーラの安定性向上\n: 特定環境でインストーラがハングする問題を解消するため、OS パッケージ状態の事前チェック処理を追加しました。\n検知精度\n#\nAIサマリの再生成\n: ユーザがフィードバックを送信した際に、その内容を反映して AI サマリが再生成されるようになりました。\n不正CPE生成の修正\n:\nネットワーク機器をコマンドで登録する\n際、構成要素にスペースを含む不正な CPE が生成される問題を修正しました。\n  !!! warning \"対応が必要な作業\"\n      この修正を適用するには、\nsnmp2cpe\nの最新バイナリへの更新が必要です。\nUI/UX\n#\n所属情報画面の改善\n: ログイン後の所属情報画面のレイアウトを変更し、グループ/グループセットのフィルタ機能を追加しました。\n一覧画面メニューの整理\n: 利用頻度の低いボタンを「設定」ボタン内に集約し、メニューをシンプルにしました。\n仕様変更・その他\n#\nCSVレポートへの項目追加\n: CSV レポートの出力項目に「SSVC PRIORITY」を追加しました。\n「OWASP Top 10」列の削除\n: 各画面および CSV 出力から「OWASP Top 10」列を削除しました。\nプラットフォーム対応\n: スキャン対象 OS として Debian 13 (Trixie)をサポートしました。\nTrivyのバージョンアップ\n: Trivy を v0.66.0に更新しました。詳細は\nTrivyのサイト\nを参照ください。\nタスク API に\nlocation\nフィールドを追加\n: タスク API のレスポンスで、ソフトウェア情報に、\nlocation\nフィールドがある場合はレスポンスに含めるよう修正しました。これにより、ライブラリがどのアプリケーションに紐づくか識別できるようになりました。\nSBOM機能に関する修正\n: FutureVuls 上の Ubuntu 及び Debian のサーバ情報を SBOM ファイルとしてエクスポートして再度インポートした際に、一部の脆弱性の検知に失敗する問題を修正しました。該当の SBOM サーバを作成済みの場合は、再度インポートのし直しをお願いします。\n「別サーバの情報をコピー」時に、一部システムコメントをコピーしないように\n: 以下のシステムコメントをコピー対象から除外する仕様に変更しました。\n「~ の脆弱性が検知対象外になったため、関連するソフトウェアから削除されました」\n「~ が検知されたため、関連するソフトウェアに追加されました」\n【近日公開予定】AWS Inspector SBOM Export 連携機能\n#\n現在、AWS Inspector v2の SBOM Export 機能との連携強化を実装中です。この機能は近日中のリリースを予定しており、実現すると AWS 環境のソフトウェアを網羅的に把握できるようになります。\nこれにより、脆弱性の有無にかかわらず、ソフトウェアを網羅的に把握し、より包括的なソフトウェアサプライチェーンリスク管理（EOL 管理、ライセンス管理など）が可能になります。\n機能概要\n#\n簡単な設定\n: FutureVuls 上での有効化と、AWS 側での CloudFormation テンプレート適用で、数分で設定が完了します。\n自動連携\n: 一度設定すれば、FutureVuls のスキャン時に自動で SBOM がインポートされます。\n対応リソース\n: EC2インスタンス、Lambda 関数、ECR イメージ内の OS パッケージとアプリケーションライブラリ。\nご期待ください\n本機能は、お客様のソフトウェア資産管理を大きく向上させる重要な機能と位置づけております。リリース準備が整い次第、改めてご案内いたします。",
      "date_published": "2025-11-11T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-11-11"
    },
    {
      "id": "https://yamory.io/news/architecture_conference_2025",
      "url": "https://yamory.io/news/architecture_conference_2025",
      "title": "[Yamory] 「アーキテクチャConference 2025」出展および登壇のお知らせ",
      "content_text": "「アーキテクチャConference 2025」出展および登壇のお知らせ",
      "date_published": "2025-11-05T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-11-05"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.36.2",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.36.2",
      "title": "[Vuls] v0.36.2",
      "content_text": "## Changelog\n* 6efa3f0f89659c00439bc24befdd5896c7d0fd12 fix(ci/goreleaser): pin cosign version to v2.6.1 (#2346)\n\n",
      "date_published": "2025-11-04T10:48:47Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.36.2"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.36.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.36.1",
      "title": "[Vuls] [DO-NOT-USE] v0.36.1",
      "content_text": "[DO-NOT-USE]  build failed, code tree is OK but no binaries attached.\r\n\r\n## What's Changed\r\n* fix(ci/goreleaser): pin cosign version to v2.6.1 by @shino in https://github.com/future-architect/vuls/pull/2346\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.36.0...v0.36.1",
      "date_published": "2025-11-04T09:49:03Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.36.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.36.1-alpha1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.36.1-alpha1",
      "title": "[Vuls] [DO-NOT-USE] v0.36.1-alpha1",
      "content_text": "[DO-NOT-USE]  This is pre-release.\r\n\r\n## Changelog\r\n* 6efa3f0f89659c00439bc24befdd5896c7d0fd12 fix(ci/goreleaser): pin cosign version to v2.6.1 (#2346)\r\n\r\n",
      "date_published": "2025-11-04T09:04:05Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.36.1-alpha1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.36.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.36.0",
      "title": "[Vuls] [DO-NOT-USE] v0.36.0",
      "content_text": "[DO-NOT-USE]  build failed, code tree is OK but no binaries attached.\r\n\r\n## What's Changed\r\n* chore(ci/lint): update golangci-lint to v2.5.0 and adjust config by @shino in https://github.com/future-architect/vuls/pull/2332\r\n* chore(ci/scorecard): pinned hash by @MaineK00n in https://github.com/future-architect/vuls/pull/2337\r\n* feat(report): Implement SBOM SPDX-JSON format reporter by @ReiPenguin in https://github.com/future-architect/vuls/pull/2339\r\n* chore(deps): bump the all group across 1 directory with 6 updates by @dependabot[bot] in https://github.com/future-architect/vuls/pull/2343\r\n* chore(deps): bump the others group across 1 directory with 11 updates by @dependabot[bot] in https://github.com/future-architect/vuls/pull/2340\r\n* fix(cmd/saas): fix future-vuls upload by @shino in https://github.com/future-architect/vuls/pull/2345\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.35.1...v0.36.0",
      "date_published": "2025-11-04T06:20:51Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.36.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.103.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.103.0",
      "title": "[Grype] v0.103.0",
      "content_text": "### Added Features\n\n- Allow hyphen in version string [[#3021](https://github.com/anchore/grype/pull/3021) @willmurphyscode]\n- Respect rpmmod PURL qualifier [[#3020](https://github.com/anchore/grype/pull/3020) @willmurphyscode]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.102.0...v0.103.0)**\n\n",
      "date_published": "2025-11-03T20:00:40Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.103.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.37.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.37.0",
      "title": "[Syft] v1.37.0",
      "content_text": "### Added Features\n\n- Refactor fileresolver to not require base path [[#4298](https://github.com/anchore/syft/pull/4298) @Rupikz]\n- Describe cataloger capabilities via test observations [[#4318](https://github.com/anchore/syft/pull/4318) @wagoodman]\n- Support Java resource adapter extension .far as a Java archive [[#4183](https://github.com/anchore/syft/issues/4183) [#4193](https://github.com/anchore/syft/pull/4193) @kyounghunJang]\n- Add Java resource adapter extension \".rar\" as supported Java archive [[#4136](https://github.com/anchore/syft/issues/4136) [#4137](https://github.com/anchore/syft/pull/4137) @thomassui]\n\n### Bug Fixes\n\n- fix empty PURL Github format [[#4312](https://github.com/anchore/syft/pull/4312) @rezmoss]\n- Canonicalize Ghostscript CPE/PURL for ghostscript packages from PE Binaries [[#4308](https://github.com/anchore/syft/pull/4308) @kdt523]\n- Respect \"rpmmod\" PURL qualifier [[#4314](https://github.com/anchore/syft/pull/4314) @willmurphyscode]\n- fix dpkg packages that are in `deinstalled` state should not be in SBOM [[#3063](https://github.com/anchore/syft/issues/3063) [#4231](https://github.com/anchore/syft/pull/4231) @rkirk-nos]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.36.0...v1.37.0)**\n\n",
      "date_published": "2025-11-03T18:26:45Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.37.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20251100_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20251100_hotfix/",
      "title": "[FutureVuls] 2025-11 [Hotfix]",
      "content_text": "2025-11 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2025-11-12~2025-11-21 リリース内容\n#\nサーバコピー時にエラーが発生する不具合を修正\n#\nグループ間のサーバコピーを実施した際に、内部エラーが発生してコピーが完了しない不具合を修正しました。\nCPE登録時のソフトウェア名表示形式を修正\n#\nCPE を登録した際、ソフトウェア名が URI 形式ではなくプロダクト名のみで表示されてしまう不具合を修正しました。\nグループセットのCPE一覧取得APIのレスポンスに\nserverSoftwareID\nを追加\n#\nGET /v1/groupSet/pkgCpes\n(GetGroupSetPkgCpeList) のレスポンスに\nserverSoftwareID\nフィールドを追加しました。\nタスク一覧からの非表示設定で「アップデートパッチがでるまで」が選択できない不具合を修正\n#\nタスク一覧からの非表示設定ダイアログで、「アップデートパッチがでるまで」のオプションが選択できない不具合を修正しました。\nグループセット管理者権限を持つ場合の一部画面制御を修正\n#\nグループセット管理者権限を持つユーザが、オーガニゼーション設定のグループ画面でユーザ管理・グループ設定ボタンを押下できない場合がある不具合を修正しました。\nグループのソフトウェア一覧が空の場合の表示を改善\n#\nグループのソフトウェア一覧にデータが存在しない場合、「左上からソフトウェア名で検索を行えます」という案内を表示するように改善しました。\nSSMアップデートコマンドの文字化けを修正\n#\nSSM アップデートコマンド実行時に文字化けが発生する不具合を修正しました。\nタスクの一括非表示解除ができない不具合を修正\n#\nタスク一覧画面からタスクの一括非表示解除を行おうとするとエラーになる不具合を修正しました。\nタスクコピー終了時の文言を修正\n#\nタスクコピー終了後に表示されるメッセージをより分かりやすい文言に修正しました。\nEOL随時通知の日付がタイムゾーンの影響でずれる不具合を修正\n#\nEOL 随時通知の日付がタイムゾーンの影響で、画面上の日付とずれて表示される不具合を修正しました。\nマリシャス検知において、対象外のバージョンが誤検知される不具合を修正\n#\nあるソフトウェアの特定バージョンでマリシャス検知されると、マリシャス対象外のバージョンもマリシャスと検知されてしまう不具合を修正しました。検知処理の都合上、反映まで1週間程度かかる可能性があります。",
      "date_published": "2025-11-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-11 [Hotfix]"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.2.4",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.2.4",
      "title": "[OSV-Scanner] v2.2.4",
      "content_text": "### Features:\r\n\r\n- [Feature #2256](https://github.com/google/osv-scanner/pull/2256) Add experimental OSV-Scanner MCP server. (`osv-scanner experimental-mcp`)\r\n- [Feature #2284](https://github.com/google/osv-scanner/pull/2284) Update `osv-scalibr` integration, replacing `baseimagematch` with the base image enricher.\r\n- [Feature #2216](https://github.com/google/osv-scanner/pull/2216) Warn when vulnerabilities specified in the ignore config are not found during a scan (fixes \\#2206).\r\n\r\n### Fixes:\r\n\r\n- [Bug #2305](https://github.com/google/osv-scanner/pull/2305) Ignore common protocols and `.git` suffix when checking if an advisory affects a git repository (fixes \\#2291).\r\n- [Bug #2300](https://github.com/google/osv-scanner/pull/2300) Ensure the global logger is used in `cmdlogger` and `osv-scalibr` when set (fixes \\#2081).\r\n- [Bug #2295](https://github.com/google/osv-scanner/pull/2295) Fix Go stdlib license result matching (fixes \\#2191).\r\n\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.2.3...v2.2.4",
      "date_published": "2025-10-29T05:34:48Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.2.4"
    },
    {
      "id": "https://yamory.io/news/runtimeeol",
      "url": "https://yamory.io/news/runtimeeol",
      "title": "[Yamory] アプリケーション開発者主導でランタイムのEOL管理を実現する新機能を提供開始",
      "content_text": "アプリケーション開発者主導でランタイムのEOL管理を実現する新機能を提供開始",
      "date_published": "2025-10-27T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-27"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.102.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.102.0",
      "title": "[Grype] v0.102.0",
      "content_text": "### Added Features\n\n- Use Alma Linux specific advisories for Alma Linux scans [[#2745](https://github.com/anchore/grype/issues/2745) [#2939](https://github.com/anchore/grype/pull/2939) @willmurphyscode]\n\n### Bug Fixes\n\n- Bitnami packages with CPEs are not matched against CPE-based vulnerabilities [[#2997](https://github.com/anchore/grype/issues/2997)]\n\n### Additional Changes\n\n- add markdown template [[#2987](https://github.com/anchore/grype/pull/2987) @sebdanielsson]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.101.1...v0.102.0)**\n\n",
      "date_published": "2025-10-23T10:59:26Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.102.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.36.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.36.0",
      "title": "[Syft] v1.36.0",
      "content_text": "### Added Features\n\n- Add the ability to fetch remote licenses for pnpm-lock.yaml files [[#4286](https://github.com/anchore/syft/pull/4286) @timols]\n- support universal (fat) mach-o binary files [[#4278](https://github.com/anchore/syft/pull/4278) @JoeyShapiro]\n- pdm support [[#2709](https://github.com/anchore/syft/issues/2709) [#4234](https://github.com/anchore/syft/pull/4234) @paulslaby]\n\n### Bug Fixes\n\n- Remove duplicate image source providers [[#4289](https://github.com/anchore/syft/pull/4289) @Rupikz]\n- syft can't extract go module information from executables on Windows [[#4271](https://github.com/anchore/syft/issues/4271) [#4285](https://github.com/anchore/syft/pull/4285) @JoeyShapiro]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.34.2...v1.35.0)**\n\n",
      "date_published": "2025-10-22T20:21:18Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.36.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.101.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.101.1",
      "title": "[Grype] v0.101.1",
      "content_text": "### Bug Fixes\n\n- Panic error scanning images with v0.101.0 on some java dependencies [[#3002](https://github.com/anchore/grype/issues/3002)]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.101.0...v0.101.1)**\n\n",
      "date_published": "2025-10-16T13:42:08Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.101.1"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.34.2",
      "url": "https://github.com/anchore/syft/releases/tag/v1.34.2",
      "title": "[Syft] v1.34.2",
      "content_text": "### Bug Fixes\n\n- Extract zip archive with multiple entries [[#4283](https://github.com/anchore/syft/pull/4283) @Rupikz]\n- panic while resolving maven properties in archive parser [[#4288](https://github.com/anchore/syft/issues/4288) [#4290](https://github.com/anchore/syft/pull/4290) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.34.1...v1.34.2)**\n\n",
      "date_published": "2025-10-16T12:33:01Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.34.2"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.101.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.101.0",
      "title": "[Grype] v0.101.0",
      "content_text": "### Added Features\n\n- Add cyclonedx to RpmMetadata [[#2935](https://github.com/anchore/grype/pull/2935) @sfc-gh-rmaj]\n- `grype db search` can filter by fixed state [[#2968](https://github.com/anchore/grype/pull/2968) @willmurphyscode]\n- Support using VEX documents with directory scans and SBOMs [[#2471](https://github.com/anchore/grype/issues/2471) [#2811](https://github.com/anchore/grype/pull/2811) @alegrey91]\n\n### Bug Fixes\n\n- Issue installing Grype using documented curl command [[#2985](https://github.com/anchore/grype/issues/2985)]\n- Advisory ID blank in JSON output [[#2965](https://github.com/anchore/grype/issues/2965)]\n\n### Additional Changes\n\n- update flags with v3 to not use default config [[#3000](https://github.com/anchore/grype/pull/3000) @spiffcs]\n- fix Cosign documentation URL in installer [[#2995](https://github.com/anchore/grype/pull/2995) @lime]\n- set advisory id again [[#2979](https://github.com/anchore/grype/pull/2979) @willmurphyscode]\n- add db schema validation [[#2962](https://github.com/anchore/grype/pull/2962) @willmurphyscode]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.100.0...v0.101.0)**\n\n",
      "date_published": "2025-10-15T17:15:25Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.101.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.34.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.34.1",
      "title": "[Syft] v1.34.1",
      "content_text": "### Added Features\r\n\r\n- feat: enhance setup.py parser to handle unquoted dependencies [[#4255](https://github.com/anchore/syft/pull/4255) @HalaAli198]\r\n- feat: support for identifying ffmpeg/libav libraries [[#4227](https://github.com/anchore/syft/pull/4227) @popey]\r\n- feat: PNPM latest lockfile (version 9.0) [[#3927](https://github.com/anchore/syft/issues/3927) [#4256](https://github.com/anchore/syft/pull/4256) @bernardoamc]\r\n- Add Windows ARM64 releases [[#4179](https://github.com/anchore/syft/issues/4179) [#4237](https://github.com/anchore/syft/pull/4237) @compnerd]\r\n\r\n### Bug Fixes\r\n\r\n- fix: SBOM CPE mismatch for Qt5 causes Grype to miss CVE matches [[#4036](https://github.com/anchore/syft/issues/4036) [#4093](https://github.com/anchore/syft/pull/4093) @hawkaii]\r\n- fix: use of manifest files present in Snap packages when generating SBOMs [[#4147](https://github.com/anchore/syft/issues/4147) [#4151](https://github.com/anchore/syft/pull/4151) @popey]\r\n- fix: Pom xml only archive parser [[#4272](https://github.com/anchore/syft/pull/4272) @douglasclarke]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.33.0...v1.34.1)**\r\n\r\n",
      "date_published": "2025-10-15T15:43:12Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.34.1"
    },
    {
      "id": "https://yamory.io/local-government-summi2025",
      "url": "https://yamory.io/local-government-summi2025",
      "title": "[Yamory] 「第4回自治体サミット」出展および登壇のお知らせ",
      "content_text": "「第4回自治体サミット」出展および登壇のお知らせ",
      "date_published": "2025-10-15T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-15"
    },
    {
      "id": "https://yamory.io/4644435",
      "url": "https://yamory.io/4644435",
      "title": "[Yamory] フラッグス株式会社様の運用事例を公開",
      "content_text": "フラッグス株式会社様の運用事例を公開",
      "date_published": "2025-10-07T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-07"
    },
    {
      "id": "https://yamory.io/news/fair.j-lis",
      "url": "https://yamory.io/news/fair.j-lis",
      "title": "[Yamory] 「地方自治情報化推進フェア2025」出展および登壇のお知らせ",
      "content_text": "「地方自治情報化推進フェア2025」出展および登壇のお知らせ",
      "date_published": "2025-10-02T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-02"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.2.3",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.2.3",
      "title": "[OSV-Scanner] v2.2.3",
      "content_text": "## Changelog\r\n### Features:\r\n\r\n- [Feature #2209](https://github.com/google/osv-scanner/pull/2209) Add support for resolving git packages that have a version specified.\r\n- [Feature #2210](https://github.com/google/osv-scanner/pull/2210) Make the `--experimental-plugins` flag additive by default, and introduce a new `--experimental-no-default-plugins` flag.\r\n- [Feature #2203](https://github.com/google/osv-scanner/pull/2203) Update `osv-scalibr` to 0.3.4 for improved dependency extraction. See osv-scalibr changelog for additional information.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2214](https://github.com/google/osv-scanner/pull/2214) Fix issue where `input.Path` was incorrectly constructed on Windows when using the `-L` flag.\r\n- [Fix #2241](https://github.com/google/osv-scanner/pull/2241) **Performance:** Greatly reduce memory usage in the local matcher by only loading advisories relevant to the packages being scanned.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.2.2...v2.2.3",
      "date_published": "2025-10-01T04:55:36Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.2.3"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.35.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.35.1",
      "title": "[Vuls] v0.35.1",
      "content_text": "## Changelog\n* dc268aea08ebf357723c9a066560717b85e52fd2 chore(deps): bump the others group with 6 updates (#2328)\n* 2b527a23bbe6f440ebe2bfb6d5378819af17245a fix(scanner/debian): correctly merge NeedRestartProcs (#2329)\n* 6a6f187732fc0de8e143928ae72b828a657880c7 fix(detector/vuls2): temporarily fill in the version (#2330)\n\n",
      "date_published": "2025-10-01T03:16:32Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.35.1"
    },
    {
      "id": "https://yamory.io/news/smartsheet",
      "url": "https://yamory.io/news/smartsheet",
      "title": "[Yamory] 株式会社NTTデータ先端技術との共同実証により、脆弱性管理における承認ワークフロー構築の実現性を確認",
      "content_text": "株式会社NTTデータ先端技術との共同実証により、脆弱性管理における承認ワークフロー構築の実現性を確認",
      "date_published": "2025-10-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-01"
    },
    {
      "id": "https://yamory.io/news/2025-inhouse-dev",
      "url": "https://yamory.io/news/2025-inhouse-dev",
      "title": "[Yamory] 「内製開発フォーラム」出展および登壇のお知らせ",
      "content_text": "「内製開発フォーラム」出展および登壇のお知らせ",
      "date_published": "2025-10-01T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-10-01"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.35.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.35.0",
      "title": "[Vuls] v0.35.0",
      "content_text": "## Changelog\n* 5d61693fa12d91fbe9a0d0b08b4ba51236b57e47 chore(deps): update dictionaries (#2327)\n* 2cfed37f9585caad7c5678690b060e65b45ab625 chore(config): move trivy db default value ​​to detector (#2326)\n* d4d50e0f77808d2c182421f106aae34630eb4f76 chore(deps): bump the others group across 1 directory with 7 updates (#2322)\n* a8899b8c7a847c66e44c5ea4db9c9e662ddbdb2e feat(contrib/snmp2cpe): update convert command (#2324)\n* ebfb0d58aee3b89a55f7ec7544f2e025a99c84af feat(contrib/snmp2cpe): add timeout, retry option (#2323)\n* 2c9ed63669079f5de19e57ffa7e804ef33d5b059 refactor(contrib/future-vuls): remove cidr dependency (#2321)\n* a6bee180828dd97c018767c5c16e3a168d2c699f feat!(detector): detect fedora with vuls2 (#2310)\n* c28837149e0cd263a297095058c6726bd48d825a fix(scanner): set executed command string (#2319)\n* fbbbd5fc12a96e2c0a48adb1ded37c8b867ebae4 chore(deps): bump the all group across 2 directories with 1 update (#2302)\n* bb69109d7927ee4a789d0933eadc0a243edfc8db chore(deps): bump the all group across 1 directory with 5 updates (#2294)\n* 93e4457773520cd70bc87e6d50befce4cee4e8a5 chore(deps): revert docker cooldown (#2317)\n* 1f596c9171a32e60908afd3b891f473e944e4750 chore(deps): bump the others group with 2 updates (#2314)\n* cc7b7b6d2b2dd4ea315b0f0d38c1e13f61c50b02 feat(scanner/windows): update release info (#2316)\n* d2387c77f27fd78b4791d12331e003f965fb1067 feat(detector/vuls2): save digest of the vuls2 db (#2311)\n* 3bac107f1f874354ced1e6b92400b17a30892769 chore(deps): add cooldown periods (#2315)\n\n",
      "date_published": "2025-09-25T06:47:46Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.35.0"
    },
    {
      "id": "https://yamory.io/news/tis",
      "url": "https://yamory.io/news/tis",
      "title": "[Yamory] TIS株式会社の新サービスに 脆弱性管理クラウド「yamory」が採用",
      "content_text": "TIS株式会社の新サービスに 脆弱性管理クラウド「yamory」が採用",
      "date_published": "2025-09-25T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "yamory",
      "_version": "2025-09-25"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.100.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.100.0",
      "title": "[Grype] v0.100.0",
      "content_text": "### Added Features\n\n- Add unaffected package and CPE stores [[#2888](https://github.com/anchore/grype/pull/2888) @wagoodman]\n- use unaffected match table to remove appropriate vulns [[#2886](https://github.com/anchore/grype/pull/2886) @CrosleyZack]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.99.1...v0.100.0)**\n\n",
      "date_published": "2025-09-15T22:06:37Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.100.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.33.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.33.0",
      "title": "[Syft] v1.33.0",
      "content_text": "### Added Features\n\n- Modify RpmDBEntry to include modularityLabel for cyclonedx [[#4212](https://github.com/anchore/syft/pull/4212) @sfc-gh-rmaj]\n- Add locations onto packages read from Java native image SBOMs [[#4186](https://github.com/anchore/syft/pull/4186) @rudsberg]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.32.0...v1.33.0)**\n\n",
      "date_published": "2025-09-15T20:50:31Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "syft",
      "_version": "v1.33.0"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.34.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.34.0",
      "title": "[Vuls] v0.34.0",
      "content_text": "## What's Changed\r\n* feat(detector/exploitdb): add verified field for exploitdb by @MaineK00n in https://github.com/future-architect/vuls/pull/2298\r\n* chore(deps): bump the others group across 1 directory with 5 updates by @dependabot[bot] in https://github.com/future-architect/vuls/pull/2297\r\n* feat(detector): support vulncheck with go-cve-dictionary by @MaineK00n in https://github.com/future-architect/vuls/pull/2300\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.65.0 to 0.66.0 in the trivy group by @dependabot[bot] in https://github.com/future-architect/vuls/pull/2304\r\n* chore(deps): bump github.com/spf13/cobra from 1.9.1 to 1.10.1 in the others group across 1 directory by @dependabot[bot] in https://github.com/future-architect/vuls/pull/2307\r\n* fix(scanner/lockfile): fix binary lockfile scan on windows by @MaineK00n in https://github.com/future-architect/vuls/pull/2306\r\n* feat(scanner/lockfile): exchange contents encoded in base64 by @MaineK00n in https://github.com/future-architect/vuls/pull/2309\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.33.4...v0.34.0",
      "date_published": "2025-09-06T09:06:25Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.34.0"
    },
    {
      "id": "https://yamory.io/news/SecurityDaysFall2025",
      "url": "https://yamory.io/news/SecurityDaysFall2025",
      "title": "[Yamory] 「Security Days Fall 2025」出展および登壇のお知らせ",
      "content_text": "「Security Days Fall 2025」出展および登壇のお知らせ",
      "date_published": "2025-09-05T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-09-05"
    },
    {
      "id": "https://yamory.io/news/trocco",
      "url": "https://yamory.io/news/trocco",
      "title": "[Yamory] primeNumberが提供するクラウドETL「TROCCO」とのAPI連携を開始",
      "content_text": "primeNumberが提供するクラウドETL「TROCCO」とのAPI連携を開始",
      "date_published": "2025-09-02T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-09-02"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20250900_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20250900_hotfix/",
      "title": "[FutureVuls] 2025-09 [Hotfix]",
      "content_text": "2025-09 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2025-09-09 リリース内容\n#\nスキャナの更新\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2025年09月09日リリースのスキャナバージョン\n#\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.34.0\nVersion: 2025/04\nWindows用\n[NEW] vuls v0.34.0\nVersion: 2025/04\nTrivy\nv0.57.1\nVersion: 2025/04\nWindows環境でのバイナリスキャン不具合を修正\n#\nWindows 環境で JAR ファイルなどのバイナリファイルのスキャンが正常に動作しない不具合を修正しました。\n不具合の内容\n#\nWindows 環境でバイナリファイルをスキャンする際に、以下のエラーが発生してファイルを正しく読み込むことができませんでした。\nFailed to parse <C:\\path\\to\\example.jar>. \nerr: Failed to open zip. err: zip: not a valid zip file\n修正内容\n#\nWindows 環境でのバイナリファイルの読み取り処理を改善し、正常にスキャンできるようになりました。\nこの不具合は、Windows 環境でバイナリファイルを処理する際の内部的な読み取り方式に問題があったことが原因でした。今回の修正により、JAR ファイルなどが適切にアーカイブとして認識され、内部のライブラリ情報を正しく取得できるようになります。\n効果\n#\nWindows 環境でのローカルスキャンで JAR ファイルなどのバイナリファイルが正常に読み込まれます。\nLinux 環境から Windows 環境へのリモートスキャンで JAR ファイルなどのバイナリファイルが正常に読み込まれます。\n注意事項\n#\n今回の修正は Windows 環境でのファイル読み取り処理を改善するものですが、\n以前からの制約として、Windows 環境のスキャナで Linux 向けにビルドされた実行ファイル（Go や Rust のバイナリ等）をスキャン対象とした場合、内部構造を正しく解析できず、脆弱性が検知されない場合がございます。\nこちらは、スキャナの仕様上の制約となります。Linux 向けの実行ファイルをスキャンする際は、Linux 用スキャナをご利用ください。",
      "date_published": "2025-09-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-09 [Hotfix]"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.99.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.99.1",
      "title": "[Grype] v0.99.1",
      "content_text": "### Bug Fixes\n\n- Present fix available version in grype JSON output [[#2905](https://github.com/anchore/grype/pull/2905) @wagoodman]\n- detect patch numbers in fuzzy version comparison [[#2844](https://github.com/anchore/grype/pull/2844) @willmurphyscode]\n- Make timestamp in output configurable (so that results are more reproducible) [[#522](https://github.com/anchore/grype/issues/522) [#2724](https://github.com/anchore/grype/pull/2724) @gabetrau]\n- Grype .98 misidentifies the container package version [[#2884](https://github.com/anchore/grype/issues/2884)]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.99.0...v0.99.1)**\n\n",
      "date_published": "2025-08-30T14:34:21Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.99.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.33.4",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.33.4",
      "title": "[Vuls] v0.33.4",
      "content_text": "## What's Changed\r\n* fix(scanner/lockfile): remove /tmp/trivy-* directory by @MaineK00n in https://github.com/future-architect/vuls/pull/2299\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.33.3...v0.33.4",
      "date_published": "2025-08-27T05:27:19Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.33.4"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.2.2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.2.2",
      "title": "[OSV-Scanner] v2.2.2",
      "content_text": "### Features:\r\n\r\n- [Feature #2113](https://github.com/google/osv-scanner/pull/2113) Add support for Java reachability analysis to identify uncalled vulnerabilities in JAR files.\r\n- [Feature #2177](https://github.com/google/osv-scanner/pull/2177) Automatically parse `osv-scanner-custom.json` files as `osv-scanner.json` custom lockfiles.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2204](https://github.com/google/osv-scanner/pull/2204) Add a warning to guide users to the correct GitHub Action.\r\n- [Bug #2202](https://github.com/google/osv-scanner/pull/2202) Fix incorrect exit code when unimportant vulnerabilities are found in non-container scans.\r\n- [Bug #2188](https://github.com/google/osv-scanner/pull/2188) Fix handling of absolute paths on Windows.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.2.1...v2.2.2",
      "date_published": "2025-08-27T03:34:15Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.2.2"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.99.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.99.0",
      "title": "[Grype] v0.99.0",
      "content_text": "### Added Features\r\n\r\n- Add fix availability information to DB schema [[#2862](https://github.com/anchore/grype/pull/2862) @wagoodman]\r\n- Add support vulnerability matching for raspbian [[#2893](https://github.com/anchore/grype/pull/2893) @westonsteimel]\r\n- Add Vex CSAF support [[#1826](https://github.com/anchore/grype/pull/1826) @juan131]\r\n\r\n### Bug Fixes\r\n\r\n- include channel in grype db search output [[#2873](https://github.com/anchore/grype/pull/2873) @willmurphyscode]\r\n- add UnmarshalJSON to fix availability blob [[#2889](https://github.com/anchore/grype/pull/2889) @willmurphyscode]\r\n- Grype misdetect Grafana version [[#2783](https://github.com/anchore/grype/issues/2783)]\r\n\r\n### Breaking Changes\r\n\r\n- CSAF support [[#1826](https://github.com/anchore/grype/pull/1826) @juan131]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.98.0...v0.99.0)**\r\n\r\n",
      "date_published": "2025-08-27T00:47:35Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.99.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.32.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.32.0",
      "title": "[Syft] v1.32.0",
      "content_text": "### Added Features\r\n\r\n- Catalog entire build list for Go projects, not just packages listed in go.mod [[#432](https://github.com/anchore/syft/issues/432) [#4127](https://github.com/anchore/syft/pull/4127) @spiffcs]\r\n- package.json authors keyword parsing [[#2250](https://github.com/anchore/syft/issues/2250) [#4003](https://github.com/anchore/syft/pull/4003) @popey]\r\n- Conda ecosystem support (basic) [[#4002](https://github.com/anchore/syft/pull/4002)@SimeonStoykovQC]\r\n\r\n### Bug Fixes\r\n\r\n- When scanning the FFmpeg binary with Syft a new package is now added [[#3988](https://github.com/anchore/syft/issues/3988) [#3994](https://github.com/anchore/syft/pull/3994) @popey]\r\n- Warn loudly if SQLite driver is not present when needed [[#3234](https://github.com/anchore/syft/issues/3234) [#4150](https://github.com/anchore/syft/pull/4150) @kzantow]\r\n\r\n### Additional Changes\r\n\r\n- Update dependencies to use go.yaml.in/yaml [[#4157](https://github.com/anchore/syft/pull/4157) @n-bes]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.31.0...v1.32.0)**\r\n\r\n",
      "date_published": "2025-08-26T21:59:31Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.32.0"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.33.3",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.33.3",
      "title": "[Vuls] v0.33.3",
      "content_text": "## Changelog\n* 30a8e70f58bba07a9fd82ef38c18a6f1a3791f51 chore(ci): use per-job permissions (#2291)\n* 1f029216fbbe90bb1ee7c6b6ee6220732cae6d45 chore(deps): bump go.etcd.io/bbolt in the others group (#2293)\n* 0f3cf3747bc03a59f87aa9481902fc9465eb01a0 feat(os): add EOL for some OSes (#2287)\n* bc10750a751656d1f5f1edb12bc5db49dcd81749 chore(deps): Force go-getter v1.7.9 to fix CVE-2025-8959 (#2292)\n* 21311447f87f5bf8e45bd309053e07bc729b8afc chore(deps): bump the others group across 1 directory with 7 updates (#2288)\n* 8f94485f4e76469c76df15828d3bcea5ae42e174 chore(deps): bump helm.sh/helm/v3 (#2285)\n* e1ddeb1c5601e8a9fdd5277b87e084ae69b9786f chore(deps): bump github.com/aquasecurity/trivy (#2286)\n* 65c6962ac7d618091700bca35a60344775679019 chore(deps): bump the all group across 2 directories with 2 updates (#2277)\n* 48e5d68ceda1ef0295511b9b6db1504b9830be74 fix(scanner/lockfile): view lockfiles according to permissions in local scan (#2290)\n* ba9281cef9380b714d65749a2aaad877fee2d7bf feat(gost/debian): support debian 13 (trixie) (#2282)\n* 72c92af986d5ab96fc8fa884a088ec08f4d16c47 fix(ci): replace with actual default branch name (#2280)\n* 96aadf20a9f7798a7e77d299afe7dc1e94bfec3b feat(detector): detect ubuntu with vuls2 (#2271)\n* 737f8a4af1a61a76a7a2c5d20f92c3e45da7d429 fix(scanner/windows): do not format arch in parseRegistry (#2269)\n* 200111e9474503f1c5fe791d36870383ab234639 chore(deps): bump github.com/aquasecurity/trivy in the trivy group (#2263)\n* 1312d7e3d6f653c47ad361a96908f450ad81ea6a chore(deps): bump the others group across 1 directory with 11 updates (#2273)\n* 3c277a4bc3bf6eca392c460d7a33ac21310cb100 chore(deps): bump the all group with 4 updates (#2255)\n* 9375d40ea3c5094c5bf234514224404fb0fd45c5 chore(deps): bump helm.sh/helm/v3 (#2265)\n* 172e444c71e77a0dc16348caf13302fdf26df653 chore(deps): bump github.com/aws/aws-sdk-go-v2/service/s3 (#2262)\n* c6be1eb7ed5373a919339404ed1aa4fe5e78fce5 chore(deps): bump the all group across 1 directory with 2 updates (#2261)\n* d5f097509b8d8c94a3f774fed763b0c0ea8ee94a fix(contrib/trivy): add some oses and cve content types (#2259)\n* 5e90ccf7283552c4b9ea6c9e7ce9e9dfdc1e7ec5 fix(ci): add contrib to dependabot's docker settings (#2260)\n\n",
      "date_published": "2025-08-21T01:29:16Z",
      "tags": [
        "security"
      ],
      "_tool_id": "vuls",
      "_version": "v0.33.3"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.98.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.98.0",
      "title": "[Grype] v0.98.0",
      "content_text": "### Added Features\n\n- move debian 13 (trixie) to released and debian 14 (forky) to testing/sid/unstable [[#2861](https://github.com/anchore/grype/pull/2861) @westonsteimel]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.97.2...v0.98.0)**\n\n",
      "date_published": "2025-08-13T17:38:04Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.98.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.31.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.31.0",
      "title": "[Syft] v1.31.0",
      "content_text": "### Added Features\n\n- Option to set `PackageSupplier` in root of SPDX document generated by CLI [[#3098](https://github.com/anchore/syft/issues/3098) [#4131](https://github.com/anchore/syft/pull/4131) @spiffcs]\n\n### Bug Fixes\n\n- closed reader during java binary detection [[#4129](https://github.com/anchore/syft/pull/4129) @kzantow]\n- support multiple letters in openssl patch version [[#4106](https://github.com/anchore/syft/pull/4106) @honigbot]\n- Can not have license ID [[#1964](https://github.com/anchore/syft/issues/1964) [#4132](https://github.com/anchore/syft/pull/4132) @spiffcs]\n- Syft sometimes reports URL for license value when scanning JARs with a URL in `Bundle-License` field of manifest [[#3186](https://github.com/anchore/syft/issues/3186)]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.30.0...v1.31.0)**\n\n",
      "date_published": "2025-08-13T15:04:57Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.31.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.2.1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.2.1",
      "title": "[OSV-Scanner] v2.2.1",
      "content_text": "\r\n### Fixes\r\n\r\n- [Bug #2151](https://github.com/google/osv-scanner/issues/2151) Filter by ecosystem before querying.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.2.0...v2.2.1",
      "date_published": "2025-08-11T00:54:06Z",
      "tags": [
        "other"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.2.1"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.97.2",
      "url": "https://github.com/anchore/grype/releases/tag/v0.97.2",
      "title": "[Grype] v0.97.2",
      "content_text": "## Grype v0.97.2\r\n\r\n### Added Features\r\n\r\n- new syft version adds binary classifier for hashicorp vault [[#4121](https://github.com/anchore/syft/pull/4121) @willmurphyscode]\r\n\r\n### Bug Fixes\r\n\r\n- fix: update syft's nondeterministic Java archive purl and improve groupID for better matching [[#3521](https://github.com/anchore/syft/issues/3521) [#4118](https://github.com/anchore/syft/pull/4118) @kzantow]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.97.1...v0.97.2)**\r\n\r\n",
      "date_published": "2025-08-08T19:45:03Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.97.2"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.30.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.30.0",
      "title": "[Syft] v1.30.0",
      "content_text": "### Added Features\r\n\r\n- add binary classifier for hashicorp vault [[#4121](https://github.com/anchore/syft/pull/4121) @willmurphyscode]\r\n\r\n### Bug Fixes\r\n\r\n- fix: update nondeterministic Java archive cataloging and improve groupID [[#3521](https://github.com/anchore/syft/issues/3521) [#4118](https://github.com/anchore/syft/pull/4118) @kzantow]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.29.1...v1.30.0)**\r\n\r\n",
      "date_published": "2025-08-08T18:32:55Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.30.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.2.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.2.0",
      "title": "[OSV-Scanner] v2.2.0",
      "content_text": "OSV-Scanner now supports all OSV-Scalibr features behind experimental flags (`--experimental-plugins`, see details [here](https://google.github.io/osv-scanner/experimental/manual-plugin-selection/))!\r\n\r\n### Features:\r\n\r\n- [Feature #2146](https://github.com/google/osv-scanner/pull/2146) Allow manual OSV-Scalibr plugin selection.\r\n- [Feature #2144](https://github.com/google/osv-scanner/pull/2144) Add OSV-Scalibr version to osv-scanner --version output.\r\n- [Feature #2021](https://github.com/google/osv-scanner/pull/2021) Add experimental support for running OSV-Scalibr detectors.\r\n- [Feature #2079](https://github.com/google/osv-scanner/pull/2079) Fall back to offline extractor if the transitive one fails, so at least direct dependencies are returned.\r\n- [Feature #2032](https://github.com/google/osv-scanner/pull/2032) Add summary section at the top of outputs and a 'Fixed Version' column.\r\n- [Feature #2076](https://github.com/google/osv-scanner/pull/2076) Support Ubuntu severity type.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2141](https://github.com/google/osv-scanner/pull/2141) Fix OSV-Scanner json scans not matching with correct ecosystem.\r\n- [Bug #2084](https://github.com/google/osv-scanner/pull/2084) Show absolute paths when scanning containers.\r\n- [Bug #2126](https://github.com/google/osv-scanner/pull/2126) Log and preserve package count before continuing on db error.\r\n- [Bug #2095](https://github.com/google/osv-scanner/pull/2095) Pass through plugin capabilities correctly.\r\n- [Bug #2051](https://github.com/google/osv-scanner/pull/2051) Properly flag if running on Linux or Mac OSs for plugin compatibility.\r\n- [Bug #2072](https://github.com/google/osv-scanner/pull/2072) Add missing \"text\" property in description fields.\r\n- [Bug #2068](https://github.com/google/osv-scanner/pull/2068) Change links in output to go to the specific vulnerability page instead of the list page.\r\n- [Bug #2064](https://github.com/google/osv-scanner/pull/2064) Fix SARIF v3 output to include results.\r\n\r\n### API Changes:\r\n\r\n- [API Change #2096](https://github.com/google/osv-scanner/pull/2096) Allow log handler to be overridden.\r\n\r\n## New Contributors\r\n* @brabster made their first contribution in https://github.com/google/osv-scanner/pull/2072\r\n* @Aejkatappaja made their first contribution in https://github.com/google/osv-scanner/pull/2032\r\n* @dizzydroid made their first contribution in https://github.com/google/osv-scanner/pull/2106\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.1.0...v2.2.0",
      "date_published": "2025-08-07T03:47:31Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.2.0"
    },
    {
      "id": "https://yamory.io/news/unlimitedoption",
      "url": "https://yamory.io/news/unlimitedoption",
      "title": "[Yamory] 大規模組織／プロジェクト向け「ユーザー数／チーム数無制限オプション」を提供開始",
      "content_text": "大規模組織／プロジェクト向け「ユーザー数／チーム数無制限オプション」を提供開始",
      "date_published": "2025-08-07T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-08-07"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.97.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.97.1",
      "title": "[Grype] v0.97.1",
      "content_text": "### Bug Fixes\n\n- Multiple EUS advisories where only some are fixed result in unexpected vulnerabilities [[#2840](https://github.com/anchore/grype/issues/2840) [#2841](https://github.com/anchore/grype/pull/2841) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.97.0...v0.97.1)**\n\n",
      "date_published": "2025-08-01T16:20:51Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.97.1"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.97.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.97.0",
      "title": "[Grype] v0.97.0",
      "content_text": "### Added Features\n\n- Add support for RHEL EUS [[#2446](https://github.com/anchore/grype/issues/2446) [#2787](https://github.com/anchore/grype/pull/2787) @wagoodman]\n\n### Bug Fixes\n\n- Error scanning snap \"unsupported source: source.SnapMetadata\" [[#2819](https://github.com/anchore/grype/issues/2819) [#2821](https://github.com/anchore/grype/pull/2821) @kzantow]\n\n### Additional Changes\n\n- add channel to os / distro [[#2782](https://github.com/anchore/grype/pull/2782) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.96.1...v0.97.0)**\n\n",
      "date_published": "2025-07-30T19:29:46Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.97.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.29.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.29.1",
      "title": "[Syft] v1.29.1",
      "content_text": "### Bug Fixes\n\n- Missing license information for tzdata [[#4102](https://github.com/anchore/syft/issues/4102)]\n- Improve JVM Scan Accuracy for JDK and JRE Detection [[#4071](https://github.com/anchore/syft/issues/4071) [#4046](https://github.com/anchore/syft/pull/4046) @kzantow]\n- Azul JDK classified as Oracle JRE [[#3893](https://github.com/anchore/syft/issues/3893) [#4046](https://github.com/anchore/syft/pull/4046) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.29.0...v1.29.1)**\n\n",
      "date_published": "2025-07-30T18:28:38Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.29.1"
    },
    {
      "id": "https://yamory.io/news/crossorganizationalmanagement",
      "url": "https://yamory.io/news/crossorganizationalmanagement",
      "title": "[Yamory] 大規模組織向け「組織横断管理機能」をリリース",
      "content_text": "大規模組織向け「組織横断管理機能」をリリース",
      "date_published": "2025-07-30T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-30"
    },
    {
      "id": "https://yamory.io/4517774",
      "url": "https://yamory.io/4517774",
      "title": "[Yamory] 株式会社インテージテクノスフィアがyamoryを導入",
      "content_text": "株式会社インテージテクノスフィアがyamoryを導入",
      "date_published": "2025-07-28T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-28"
    },
    {
      "id": "https://yamory.io/4509424",
      "url": "https://yamory.io/4509424",
      "title": "[Yamory] 株式会社WorkVisionがyamoryを導入",
      "content_text": "株式会社WorkVisionがyamoryを導入",
      "date_published": "2025-07-24T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-24"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.96.1",
      "url": "https://github.com/anchore/grype/releases/tag/v0.96.1",
      "title": "[Grype] v0.96.1",
      "content_text": "### Syft Improvments\r\n- Update to latest version of syft [v1.29.0](https://github.com/anchore/syft/releases/tag/v1.29.0)\r\n\r\n### Performance Improvements\r\n- Create ignore regex objects conditionally[[#2805](https://github.com/anchore/grype/pull/2805) @wagoodman ]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.96.0...v0.96.1)**\r\n\r\n",
      "date_published": "2025-07-21T21:10:35Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "grype",
      "_version": "v0.96.1"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.29.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.29.0",
      "title": "[Syft] v1.29.0",
      "content_text": "### Added Features\n\n- Catalog python `uv.lock` files [[#3268](https://github.com/anchore/syft/issues/3268) [#3763](https://github.com/anchore/syft/pull/3763) @jkugler]\n\n### Additional Changes\n\n- Pkg Metadata type unmarshal bug [[#4043](https://github.com/anchore/syft/pull/4043) @houdini91]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.28.0...v1.29.0)**\n\n",
      "date_published": "2025-07-21T19:49:39Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "syft",
      "_version": "v1.29.0"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.96.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.96.0",
      "title": "[Grype] v0.96.0",
      "content_text": "### Added Features\n\n- Added the EPSS score and KEV indications as CycloneDX `vulnerabilities.ratings` entries [[#2695](https://github.com/anchore/grype/issues/2695) [#2765](https://github.com/anchore/grype/pull/2765) @AlinaPodoba]\n\n### Bug Fixes\n\n- The `go run` and `go install` broken due to useless `redirect` directive in `go.mod` [[#2777](https://github.com/anchore/grype/issues/2777) [#2780](https://github.com/anchore/grype/pull/2780) @stefanb]\n- EPSS implementation using percentile instead of percent probability [[#2778](https://github.com/anchore/grype/issues/2778) [#2785](https://github.com/anchore/grype/pull/2785) @wagoodman]\n- Latest version of grype with V6 schema lists incorrect URL for v6 database [[#2513](https://github.com/anchore/grype/issues/2513)]\n\n### Additional Changes\n\n- Add more detail around cataloging and DB load log statements [[#2779](https://github.com/anchore/grype/pull/2779) @wagoodman]\n- add version set and combined constraint [[#2763](https://github.com/anchore/grype/pull/2763) @wagoodman]\n- add v6 OS store [[#2766](https://github.com/anchore/grype/pull/2766) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.95.0...v0.96.0)**\n\n",
      "date_published": "2025-07-15T13:13:59Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "grype",
      "_version": "v0.96.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20250714/",
      "url": "https://help.vuls.biz/releasenotes/20250714/",
      "title": "[FutureVuls] 2025-07-14",
      "content_text": "2025-07-14 リリース内容\n#\nスキャナの更新\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2025年07月14日リリースのスキャナバージョン\n#\nスキャナのバージョン統合\nLinux 用スキャナと Windows 用スキャナのバージョン統合を行いました。\n今後は Linux 用スキャナと Windows 用スキャナのバージョンが同じになります。\nスキャナのバージョンの確認方法は「\nこちら\n」からご確認ください。\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux 用\n[NEW] vuls v0.33.1\nVersion: 2025/04\nWindows 用\n[NEW] vuls v0.33.1\nVersion: 2025/04\nTrivy\nv0.57.1\nVersion: 2025/04\n新機能\n#\nCisco・Palo Alto 機器の脆弱性管理を強化：ネットワークディスカバリーとの連携で検知精度が向上\n#\n今回のアップデートで、\nPalo Alto Networks\nと\nCisco Systems\nのセキュリティアドバイザリを FutureVuls に独自に取り込みました。\nこれにより、以前からご好評をいただいている Fortinet 社製品と同様の、\n「発見から高精度な検知まで」\nという一気通貫の脆弱性管理が、Cisco、Palo Alto 製品でも可能になります。\nアップデートで実現する強力な連携\n#\nFutureVuls の\nネットワークディスカバリー機能\nは、これまでもお客様のネットワークに接続された Cisco や Palo Alto などの機器を自動で発見できていました。しかし、脆弱性スキャンは NVD 情報に依存していたため、最新の脆弱性検知にタイムラグが生じるという課題がありました。\n今回のアップデートでベンダーアドバイザリと直接連携したことにより、このワークフローが大幅に強化されます。\nステップ 1: 管理外の機器を発見（従来機能）\nネットワークディスカバリー機能で、資産管理されていない \"野良ネットワーク機器\" となっている Cisco・Palo Alto 機器を発見します。\nステップ 2: 高精度・迅速に脆弱性を検知（今回強化）\n発見した機器に対し、NVD への登録を待つことなく、ベンダー独自の高鮮度な情報で脆弱性をスキャン。これにより、\n検知のタイムラグを解消\nし、本当のリスクを迅速に把握できます。\nこの連携は、管理下にない機器がもたらすセキュリティリスクを根本から低減させる、FutureVuls の強みです。ぜひこの機会にご活用ください。\n(ご参考:\n以前の Fortinet 社製品向け機能のリリース内容\n)\nLLM による脆弱性サマリ・脅威情報サマリの自動表示\n#\n脆弱性詳細画面に、LLM （大規模言語モデル）によって自動生成されたサマリを表示する機能を追加しました。\n脆弱性サマリ\n：全ての CVE に対し、NVD や各ベンダー情報・CVSS・CWE・EPSS などをもとに要約を自動生成します。\n脅威情報サマリ\n：実際に悪用が確認された CVE （SSVC 「Exploitation」が Active、または KEV 登録済み）に対して、攻撃事例や対処策を要約します。\nこの機能により、セキュリティの専門家でなくても脆弱性の概要や重要度を把握しやすくなります。\nLLM サマリ情報の取り扱い\nLLM サマリは参考情報です。最終的な判断は、必ず一次情報や公式情報をご確認ください。2025 年 7 月リリース時点では、脅威情報は毎日更新されますが、更新頻度は将来変更される可能性があります。\nImmediate なタスク検知時の Slack 通知\n#\nSSVC Priority が 「Immediate」 のタスクを検知した際に、Slack へ通知できるようになりました。\nImmediate タスクごとに 1 件通知\n通知スレッドで対応状況を記録・共有可能\n通知から\nLLM による脆弱性サマリ\nも確認可能\n設定方法は\nSlack App 通知設定\nを参照してください。\nWindows 上で lockfile のスキャンが可能に\n#\nこれまで Linux のみの対応だった lockfile スキャンが、Windows でも利用可能になりました。\nこれにより、Windows 上の OS パッケージと lockfile ライブラリを、FutureVuls で\n一つのサーバ情報として一元管理\nできます。\nCSV 形式でのソフトウェア情報登録機能\n#\nFutureVuls にソフトウェア情報を登録する際、CPE 形式だけでなく「プロダクト名,バージョン,\nベンダー\n名」の CSV 形式でも登録できるようになりました。\n登録後は、\nCPE/PURLの手動割当機能\nで簡単に CPE の割り当てを行え、脆弱性検知の対象にできます。\n詳細は「\nソフトウェア登録のマニュアル\n」を参照してください。\n各脆弱性の検知根拠をまとめた Web サイト「VulsDB」を公開\n#\nFutureVuls で検知された各脆弱性の最新の検知条件をまとめた Web サイト「VulsDB」（\nhttps://cve.vuls.biz/\n）を公開しました。\nFutureVuls のタスク詳細からもリンクしており、各 CVE-ID の検知条件をすぐに確認できます。\n主なユースケース\n#\nFutureVuls で検知された脆弱性について、その検知条件を調査する\nFutureVuls で検知されなかった脆弱性について、なぜ検知対象外だったのかを調査する\n2025 年 7 月現在、Red Hat Enterprise Linux や AlmaLinux をはじめとする、主要な OS の脆弱性情報に対応しています。\n今後、継続してサポート対象を増やしていく予定です。\n改良\n#\nグループセットのタスクタブでページングサイズを選択可能に\n#\nグループセットのタスクタブで、一度に表示するタスクの件数を 30、50、100、200、500 件から選択できるようになりました。\nこれにより、大量のタスクをより効率的に確認・管理できます。\nタスク一覧取得 API にステータス更新日時でのフィルタ条件を追加\n#\nグループ・グループセット内のタスク一覧を取得できる FutureVuls API に、「ステータス更新日時」でのフィルタ条件を追加しました。\n例えば、「2025 年 7 月 14 日以降にステータスが\nPATCH_APPLIED\nに切り替わったタスク一覧」は、次のように抽出できます。\ncurl\n-s\n-H\n'accept: application/json'\n-H\n'Authorization:xxxxxxxxxxxxx'\n'https://rest.vuls.biz/v1/groupSet/tasks?filterStatusUpdatedAtAfter=2025-07-14T00:00:00Z&filterStatus=patch_applied'\n詳細は\nAPI ドキュメント\nを参照してください。\nNVD 検索リンクを JVN チェックオフ時にも表示\n#\nCPE の追加・割り当てダイアログで、JVN チェックボックスがオフの際にも NVD 検索ページのリンクを表示するようになりました。\nこれにより、CPE の NVD 登録状況をより簡単に確認できます。\n優先度設定マニュアルの改善\n#\n脆弱性優先度とタスク優先度の設定方法や、優先度が継承されるタイミングについてマニュアルを追記・改善しました。\n修正されたマニュアルは\nこちら\nを参照してください。\nInspector で検知した脆弱性が、FutureVuls 上でパッチ適用が可能に\n#\nAmazon Inspector を連携しているインスタンスで、脆弱性の検知からパッチ適用までの一連の作業が FutureVuls 上で完結できるようになりました。\nこれまで AWS マネジメントコンソールで行う必要があったパッチ適用作業が必要なくなり、FutureVuls の画面から\nSSM アップデート\nの実行や、手動で適用するための\nアップデートコマンド\nの取得が可能になります。\n本機能は、SSM エージェントがインストールされた以下の OS を搭載したインスタンスでご利用いただけます。\nAmazon Linux\nAlmaLinux\nCentOS\nDebian\nFedora\nOracle Linux\nRed Hat Enterprise Linux\nRocky Linux\nSUSE Linux Enterprise Server (SLES)\nUbuntu\nIdP-Initiated SSO 認証の不具合修正\n#\nIdP-Initiated 経由の SSO 認証で、認証処理後の FutureVuls ページへの遷移が不安定になる問題を修正しました。\nこれにより、FutureVuls でログアウトしないまま Okta などの IdP ダッシュボードから再度ログインしようとすると、ログインページに戻されてしまう問題が解消されます。\nこの修正に伴い、大変お手数ですが、IdP-Initiated SSO をご利用のオーガニゼーション（SAML IDP の登録時に「IdP-initiated SSO を受け付ける」を有効にしている場合）では、\nRelayState\nの再登録をお願いいたします\n。\nお使いの IdP の管理画面にて、FutureVuls のオーガニゼーション設定画面に表示される\nRelayState\nを再度入力してください。\nOkta の場合\n: 管理画面の [アプリケーション] > [サインオン] > [設定] から、SAML 2.0 の「デフォルトのリレー状態」に入力します。\nOneLogin の場合\n: 管理画面の [Application] > [Configuration] > [Application details] から、「RelayState」に入力します。\nRelayState\nは、FutureVuls の [オーガニゼーション設定] > [セキュリティ] > [SAML IdP の登録] にある「IdP 情報の編集」ボタンをクリックすると表示されます。\n仕様変更\n#\nユーザ管理システムの大幅改修\n#\nより効率的で安全なユーザ管理を実現するため、ユーザ管理システムを大幅に改修しました。すべてのアカウントがオーガニゼーションに所属する新しい構造へ移行します。\nすべてのユーザは、必ずいずれかのオーガニゼーションに所属します。\n複数のオーガニゼーションに所属している場合、ログイン時にアクセスするオーガニゼーションを選択します。\nオーガニゼーション管理者による一元的なユーザ管理が可能になります。\n承認フローが廃止され、ユーザ追加処理が即時反映されるようになりました。\nSSO 情報の共有機能を廃止し、各オーガニゼーションで独立して設定する仕様に変更しました。\nこの仕様変更によるお客様への影響は下記のとおりです。\n単一のオーガニゼーションにのみ所属している場合、通常の操作フローに変更はありません。\n複数のオーガニゼーションに所属している場合、ログイン時にオーガニゼーションを選択する手順が追加されます。\nLinux / Windows スキャナのバージョン統一\n#\nWindows ホストから Linux ターゲットをスキャンする場合に、ホスト側の Windows スキャナのバージョンが使用され、最新版の Linux スキャナでスキャンが行われない問題がありました。この問題を解決するため、 Linux 用と Windows 用のスキャナバージョンを統一し、常に最新のバージョンでスキャンが実行されるようになりました。\nスキャナによるスキャン結果のアップロード失敗時にもスキャン結果ファイルが削除されるように変更\n#\n従来は、スキャン結果のアップロードに成功した場合にのみスキャン結果の JSON ファイルを削除していましたが、古いスキャン結果が残存することを防ぐため、\nアップロードの成否にかかわらず\nスキャン完了後には JSON ファイルを削除する仕様に変更しました。\nお使いの環境に古いスキャン結果ファイルが残存している場合は、手動での削除をお願いいたします。\nTrivy スキャン時のサーバ名仕様変更\n#\nTrivy スキャン時に登録されるサーバ名を「イメージ名のみ」に変更し、サーバ一覧ではイメージ名とイメージタグを個別のカラムとして表示するようにしました",
      "date_published": "2025-07-14T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-07-14"
    },
    {
      "id": "https://yamory.io/news/personassignment",
      "url": "https://yamory.io/news/personassignment",
      "title": "[Yamory] 担当者割当機能をリリース",
      "content_text": "担当者割当機能をリリース",
      "date_published": "2025-07-14T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-14"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.1.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.1.0",
      "title": "[OSV-Scanner] v2.1.0",
      "content_text": "# v2.1.0\r\n\r\n### Features:\r\n\r\n- [Feature #2038](https://github.com/google/osv-scanner/pull/2038) Add CycloneDX location field to the output source string.\r\n- [Feature #2036](https://github.com/google/osv-scanner/pull/2036) Include upstream source information in vulnerability grouping to improve accuracy.\r\n- [Feature #1970](https://github.com/google/osv-scanner/pull/1970) Hide unimportant vulnerabilities by default to reduce noise, and adds a `--show-all-vulns` flag to show all.\r\n- [Feature #2003](https://github.com/google/osv-scanner/pull/2003) Add experimental summary output format for the reporter.\r\n- [Feature #1988](https://github.com/google/osv-scanner/pull/1988) Add support for CycloneDX 1.6 report format.\r\n- [Feature #1987](https://github.com/google/osv-scanner/pull/1987) Add support for `gems.locked` files used by Bundler.\r\n- [Feature #1980](https://github.com/google/osv-scanner/pull/1980) Enable transitive dependency extraction for Python `requirements.txt` files.\r\n- [Feature #1961](https://github.com/google/osv-scanner/pull/1961) Deprecate the `--sbom` flag in favor of the existing `-L/--lockfile` flag for scanning SBOMs.\r\n- [Feature #1963](https://github.com/google/osv-scanner/pull/1963) Stabilize various experimental fields in the output by moving them out of the experimental struct.\r\n- [Feature #1957](https://github.com/google/osv-scanner/pull/1957) Use a dedicated exit code for invalid configuration files.\r\n\r\n### Fixes:\r\n\r\n- [Bug #2046](https://github.com/google/osv-scanner/pull/2046) Correctly set the user agent string for all outgoing requests.\r\n- [Bug #2019](https://github.com/google/osv-scanner/pull/2019) Use more natural language in the descriptions for extractor-related flags.\r\n- [Bug #1982](https://github.com/google/osv-scanner/pull/1982) Correctly parse Ubuntu package information with suffixes (e.g. `:Pro`, `:LTS`).\r\n- [Bug #2000](https://github.com/google/osv-scanner/pull/2000) Ensure CDATA content in XML is correctly outputted in guided remediation.\r\n- [Bug #1949](https://github.com/google/osv-scanner/pull/1949) Fix filtering of package types in vulnerability counts.\r\n\r\n## New Contributors\r\n* @Vialathor made their first contribution in https://github.com/google/osv-scanner/pull/1949\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.3...v2.1.0",
      "date_published": "2025-07-11T04:42:31Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.1.0"
    },
    {
      "id": "https://yamory.io/news/azure_renkei",
      "url": "https://yamory.io/news/azure_renkei",
      "title": "[Yamory] Azure組織連携機能をリリース",
      "content_text": "Azure組織連携機能をリリース",
      "date_published": "2025-07-04T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-04"
    },
    {
      "id": "https://github.com/anchore/grype/releases/tag/v0.95.0",
      "url": "https://github.com/anchore/grype/releases/tag/v0.95.0",
      "title": "[Grype] v0.95.0",
      "content_text": "### Added Features\n\n- Add string severity to db search json results [[#2730](https://github.com/anchore/grype/pull/2730) @wagoodman]\n- Add package specifier overrides for `kb`, `dpkg`, and `apkg` [[#2742](https://github.com/anchore/grype/pull/2742) @westonsteimel]\n\n### Bug Fixes\n\n- show related NVD records for non-NVD matches [[#2755](https://github.com/anchore/grype/pull/2755) @kzantow]\n- assume that a vulnerability with no ranges is always vulnerable [[#2759](https://github.com/anchore/grype/pull/2759) @wagoodman]\n- DB should hydrate for when the client has new features [[#2758](https://github.com/anchore/grype/pull/2758) @wagoodman]\n- show relationship back to NVD for all CVE ids [[#2756](https://github.com/anchore/grype/pull/2756) @westonsteimel]\n- properly escape CPE segments [[#2731](https://github.com/anchore/grype/pull/2731) @kzantow]\n- msrc matcher should search by package ecosystem, not by distro [[#2748](https://github.com/anchore/grype/pull/2748) @westonsteimel]\n- Grype does not report any vulnerabilities for CPEs with target_sw field set to value that does not correspond to known package type [[#2768](https://github.com/anchore/grype/issues/2768) [#2772](https://github.com/anchore/grype/pull/2772) @willmurphyscode]\n- malformed CPE in grype db search output [[#2767](https://github.com/anchore/grype/issues/2767) [#2769](https://github.com/anchore/grype/pull/2769) @westonsteimel]\n- vex documents from the --vex flag do get processed or applied to the output correctly [[#1836](https://github.com/anchore/grype/issues/1836) [#2741](https://github.com/anchore/grype/pull/2741) @willmurphyscode]\n\n### Additional Changes\n\n- replace deprecated GoReleaser configurations [[#2729](https://github.com/anchore/grype/pull/2729) @emmanuel-ferdman]\n- specify types for all match details [[#2762](https://github.com/anchore/grype/pull/2762) @wagoodman]\n- Refactor the version package [[#2735](https://github.com/anchore/grype/pull/2735) @wagoodman]\n\n**[(Full Changelog)](https://github.com/anchore/grype/compare/v0.94.0...v0.95.0)**\n\n",
      "date_published": "2025-07-02T17:26:05Z",
      "tags": [
        "security"
      ],
      "_tool_id": "grype",
      "_version": "v0.95.0"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.28.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.28.0",
      "title": "[Syft] v1.28.0",
      "content_text": "### Added Features\n\n- add native support for snap packages [[#1088](https://github.com/anchore/syft/issues/1088) [#3929](https://github.com/anchore/syft/pull/3929) @wagoodman]\n\n### Additional Changes\n\n- upgrade tablewriter dependency to use new API [[#3990](https://github.com/anchore/syft/pull/3990) @cpanato]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.27.1...v1.28.0)**\n\n",
      "date_published": "2025-07-02T16:35:53Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "syft",
      "_version": "v1.28.0"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.33.2",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.33.2",
      "title": "[Vuls] v0.33.2",
      "content_text": "## What's Changed\r\n* fix(oval): add pseudo server type in NewOVALClient by @MaineK00n in https://github.com/future-architect/vuls/pull/2254\r\n* chore(deps): bump the others group with 3 updates by @dependabot in https://github.com/future-architect/vuls/pull/2252\r\n* chore(deps): bump the vuls group across 1 directory with 7 updates by @dependabot in https://github.com/future-architect/vuls/pull/2258\r\n* chore(deps): bump the trivy group with 2 updates by @dependabot in https://github.com/future-architect/vuls/pull/2257\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.33.1...v0.33.2",
      "date_published": "2025-07-02T04:57:59Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.33.2"
    },
    {
      "id": "https://yamory.io/dev-productivity-conference2025",
      "url": "https://yamory.io/dev-productivity-conference2025",
      "title": "[Yamory] 「開発生産性Conference 2025」出展および登壇のお知らせ",
      "content_text": "「開発生産性Conference 2025」出展および登壇のお知らせ",
      "date_published": "2025-07-01T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-07-01"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.33.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.33.1",
      "title": "[Vuls] v0.33.1",
      "content_text": "## What's Changed\r\n* feat!(contrib/trivy): delete image tag from server name when scanning by trivy by @sadayuki-matsuno in https://github.com/future-architect/vuls/pull/2250\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.33.0...v0.33.1",
      "date_published": "2025-06-25T04:34:30Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.33.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.33.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.33.0",
      "title": "[Vuls] v0.33.0",
      "content_text": "## What's Changed\r\n* fix(cmd/discover): fix ping options for windows by @MaineK00n in https://github.com/future-architect/vuls/pull/2211\r\n* fix(scanner): scan lockfiles by @MaineK00n in https://github.com/future-architect/vuls/pull/2206\r\n* feat(ubuntu): add 25.04 plucky by @MaineK00n in https://github.com/future-architect/vuls/pull/2210\r\n* feat(detector/vuls2): should download db when the schema versions are different by @MaineK00n in https://github.com/future-architect/vuls/pull/2212\r\n* fix(detector/vuls2): get metadata after opening db by @MaineK00n in https://github.com/future-architect/vuls/pull/2214\r\n* chore(deps): bump github.com/MaineK00n/vuls2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2215\r\n* chore(ci): update dependabot.yml to group dependencies by @shino in https://github.com/future-architect/vuls/pull/2216\r\n* chore(deps): bump github/codeql-action from 3.28.15 to 3.28.16 by @dependabot in https://github.com/future-architect/vuls/pull/2194\r\n* chore(deps): bump github.com/open-policy-agent/opa from 1.2.0 to 1.4.0 in the go_modules group across 1 directory by @dependabot in https://github.com/future-architect/vuls/pull/2200\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.61.0 to 0.62.1 in the trivy group by @dependabot in https://github.com/future-architect/vuls/pull/2221\r\n* chore(deps): update tablewriter to v1.0.7 by @shino in https://github.com/future-architect/vuls/pull/2228\r\n* refactor(scanner/redhatbase): strictly parse updatable package line by @MaineK00n in https://github.com/future-architect/vuls/pull/2218\r\n* chore(deps): bump the others group across 1 directory with 6 updates by @dependabot in https://github.com/future-architect/vuls/pull/2229\r\n* chore(deps): bump the trivy group with 2 updates by @dependabot in https://github.com/future-architect/vuls/pull/2224\r\n* feat(os): add rhel-10 eol by @MaineK00n in https://github.com/future-architect/vuls/pull/2230\r\n* chore(ci): add group all for docker by @MaineK00n in https://github.com/future-architect/vuls/pull/2232\r\n* fix(integration): correct the wrong submodule hash by @shino in https://github.com/future-architect/vuls/pull/2233\r\n* chore(deps): bump the others group with 3 updates by @dependabot in https://github.com/future-architect/vuls/pull/2234\r\n* fix(scanner/windows): print debug log in detect by @MaineK00n in https://github.com/future-architect/vuls/pull/2237\r\n* fix(scanner/windows): allow only cab file scan for offline scan by @MaineK00n in https://github.com/future-architect/vuls/pull/2236\r\n* feat(detector/vuls2): add ignore vulnerability pattern by @MaineK00n in https://github.com/future-architect/vuls/pull/2239\r\n* feat(reporter): add row separator for --format-list by @MaineK00n in https://github.com/future-architect/vuls/pull/2241\r\n* chore(deps): bump the all group across 1 directory with 8 updates by @dependabot in https://github.com/future-architect/vuls/pull/2227\r\n* chore(deps): bump the all group with 2 updates by @dependabot in https://github.com/future-architect/vuls/pull/2235\r\n* feat(server): open db before starting server by @MaineK00n in https://github.com/future-architect/vuls/pull/2244\r\n* feat(detector/cve): support paloalto and cisco by @MaineK00n in https://github.com/future-architect/vuls/pull/2240\r\n* chore(deps): bump the others group across 1 directory with 8 updates by @dependabot in https://github.com/future-architect/vuls/pull/2243\r\n* fix(detector/vuls2): filter VulnerabilityData by Root ID by @MaineK00n in https://github.com/future-architect/vuls/pull/2247\r\n* feat!(detector): detect oracle and alpine with vuls2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2157\r\n* chore(deps): bump the others group with 5 updates by @dependabot in https://github.com/future-architect/vuls/pull/2245\r\n* fix(subcmds/saas): remove timestamped directory in results-dir  by @FutureHirai in https://github.com/future-architect/vuls/pull/2248\r\n* chore(deps): update dictionaries by @shino in https://github.com/future-architect/vuls/pull/2249\r\n\r\n## New Contributors\r\n* @FutureHirai made their first contribution in https://github.com/future-architect/vuls/pull/2248\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.32.0...v0.33.0",
      "date_published": "2025-06-24T02:56:59Z",
      "tags": [
        "security"
      ],
      "_tool_id": "vuls",
      "_version": "v0.33.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.3",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.3",
      "title": "[OSV-Scanner] v2.0.3",
      "content_text": "# v2.0.3\r\n\r\n### Features:\r\n\r\n- [Feature #1943](https://github.com/google/osv-scanner/pull/1943) Added a flag to suppress \"no package sources found\" error.\r\n- [Feature #1844](https://github.com/google/osv-scanner/pull/1844) Allow flags to be passed after scan targets, e.g. `osv-scanner ./scan-this-dir --format=vertical`, by updating to cli/v3\r\n- [Feature #1882](https://github.com/google/osv-scanner/pull/1882) Added a `stable` tag to container images for releases that follow semantic versioning.\r\n- [Feature #1846](https://github.com/google/osv-scanner/pull/1846) Experimental: Add `--experimental-extractors` and `--experimental-disable-extractors` flags to allow for more granular control over which OSV-Scalibr dependency extractors are used.\r\n\r\n### Fixes:\r\n\r\n- [Bug #1856](https://github.com/google/osv-scanner/pull/1856) Improve XML output by guessing and matching the indentation of existing `<dependency>` elements.\r\n- [Bug #1850](https://github.com/google/osv-scanner/pull/1850) Prevent escaping of single quotes in XML attributes for better readability and correctness.\r\n- [Bug #1922](https://github.com/google/osv-scanner/pull/1922) Prevent a potential panic in `MatchVulnerabilities` when the API response is nil, particularly on timeout.\r\n- [Bug #1916](https://github.com/google/osv-scanner/pull/1916) Add the \"ubuntu\" namespace to the debian purl type to correctly parse dpkg BOMs generated on Ubuntu.\r\n- [Bug #1871](https://github.com/google/osv-scanner/pull/1871) Ensure inventories are sorted by PURL in addition to name and version to prevent incorrect deduplication of packages.\r\n- [Bug #1919](https://github.com/google/osv-scanner/pull/1919) Improve error reporting by including the underlying error when the response body from a Maven registry cannot be read.\r\n- [Bug #1857](https://github.com/google/osv-scanner/pull/1857) Fix an issue where SPDX output is not correctly outputted because it was getting overwritten.\r\n- [Bug #1873](https://github.com/google/osv-scanner/pull/1873) Fix the GitHub Action to not ignore general errors during execution.\r\n- [Bug #1955](https://github.com/google/osv-scanner/pull/1955) Fix issue causing error messages to be spammed when not running in a git repository.\r\n- [Bug #1930](https://github.com/google/osv-scanner/pull/1930) Fix issue where Maven client loses auth data during extraction.\r\n\r\n### Misc:\r\n\r\n- Update dependencies and updated golang to 1.24.4\r\n\r\n## New Contributors\r\n* @jacj9 made their first contribution in https://github.com/google/osv-scanner/pull/1860\r\n* @ikkebr made their first contribution in https://github.com/google/osv-scanner/pull/1830\r\n* @LeonLow97 made their first contribution in https://github.com/google/osv-scanner/pull/1882\r\n* @osv-robot made their first contribution in https://github.com/google/osv-scanner/pull/1912\r\n* @laojianzi made their first contribution in https://github.com/google/osv-scanner/pull/1922\r\n* @Avgor46 made their first contribution in https://github.com/google/osv-scanner/pull/1916\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.2...v2.0.3",
      "date_published": "2025-06-16T02:20:16Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.3"
    },
    {
      "id": "https://yamory.io/news/internetinitiative",
      "url": "https://yamory.io/news/internetinitiative",
      "title": "[Yamory] インターネットイニシアティブが、yamoryを採用",
      "content_text": "インターネットイニシアティブが、yamoryを採用",
      "date_published": "2025-06-16T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-06-16"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.27.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.27.1",
      "title": "[Syft] v1.27.1",
      "content_text": "### Bug Fixes\n\n- Allow decoding of enterprise-modified anchorectl json files [[#3997](https://github.com/anchore/syft/pull/3997) @wagoodman]\n- Allow decoding of anchorectl json files [[#3973](https://github.com/anchore/syft/pull/3973) @wagoodman]\n\n### Additional Changes\n\n- provide separate nonroot image [[#3998](https://github.com/anchore/syft/pull/3998) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.27.0...v1.27.1)**\n\n",
      "date_published": "2025-06-12T13:51:06Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.27.1"
    },
    {
      "id": "https://yamory.io/news/interoptokyobestofaward",
      "url": "https://yamory.io/news/interoptokyobestofaward",
      "title": "[Yamory] Interop Tokyo Best of Show Award 審査員特別賞を受賞",
      "content_text": "Interop Tokyo Best of Show Award 審査員特別賞を受賞",
      "date_published": "2025-06-12T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-06-12"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.27.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.27.0",
      "title": "[Syft] v1.27.0",
      "content_text": "### Added Features\r\n\r\n- add syft schema version to version command [[#3949](https://github.com/anchore/syft/pull/3949) @spiffcs]\r\n\r\n### Bug Fixes\r\n\r\n- Remove CPE product candidates for phf, prometheus, hyper and Rust crates [[#3967](https://github.com/anchore/syft/pull/3967) @jayvdb]\r\n- Remove CPE product candidates for opentelemetry and redis Rust crates [[#3962](https://github.com/anchore/syft/pull/3962) @jayvdb]\r\n- Harden Container Runtime with Non-Root User [[#3941](https://github.com/anchore/syft/pull/3941) @MikeTheCyberGuy]\r\n- terraform provider lock entries should not require constraints [[#3934](https://github.com/anchore/syft/pull/3934) @ghouscht]\r\n- sbom cataloger returning upstream package [[#3662](https://github.com/anchore/syft/issues/3662) [#3981](https://github.com/anchore/syft/pull/3981) @kzantow]\r\n- Syft missing md5 sums and list data for dpkg packages under `status.d/` [[#3912](https://github.com/anchore/syft/issues/3912)]\r\n- Failure to detect dependency relationships between Python packages [[#3958](https://github.com/anchore/syft/issues/3958) [#3965](https://github.com/anchore/syft/pull/3965) @christoph-blessing]\r\n- Heavy memory consumption when directory scanning deb source [[#3928](https://github.com/anchore/syft/issues/3928) [#3953](https://github.com/anchore/syft/pull/3953) @kzantow]\r\n- In versions 1.25.0 and later, graalvm-native-image-cataloger adds 3-6 hours to Syft [[#3942](https://github.com/anchore/syft/issues/3942) [#3944](https://github.com/anchore/syft/pull/3944) @kzantow]\r\n- Syft incorrectly reports multiple APKs as parents of symlinked files [[#3847](https://github.com/anchore/syft/issues/3847) [#3923](https://github.com/anchore/syft/pull/3923) @luhring]\r\n\r\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.26.1...v1.27.0)**\r\n\r\nA HUGE thank you to @rezmoss for his help identifying and solving an issue causing excessive time and memory consumption with large numbers of symlinks! ❤️ ",
      "date_published": "2025-06-09T18:45:20Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.27.0"
    },
    {
      "id": "https://yamory.io/news/sakurainternet",
      "url": "https://yamory.io/news/sakurainternet",
      "title": "[Yamory] さくらインターネット株式会社様がyamoryを導入",
      "content_text": "さくらインターネット株式会社様がyamoryを導入",
      "date_published": "2025-06-05T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-06-05"
    },
    {
      "id": "https://yamory.io/4413411",
      "url": "https://yamory.io/4413411",
      "title": "[Yamory] 株式会社アズビル様がyamoryを導入",
      "content_text": "株式会社アズビル様がyamoryを導入",
      "date_published": "2025-06-03T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-06-03"
    },
    {
      "id": "https://yamory.io/news/awssummitjapan2025",
      "url": "https://yamory.io/news/awssummitjapan2025",
      "title": "[Yamory] 「AWS Summit Japan」出展のお知らせ",
      "content_text": "「AWS Summit Japan」出展のお知らせ",
      "date_published": "2025-05-28T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-05-28"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.26.1",
      "url": "https://github.com/anchore/syft/releases/tag/v1.26.1",
      "title": "[Syft] v1.26.1",
      "content_text": "### Bug Fixes\n\n- Dotnet deps binary cataloger hangs [[#3919](https://github.com/anchore/syft/issues/3919) [#3930](https://github.com/anchore/syft/pull/3930) @kzantow]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.26.0...v1.26.1)**\n\n",
      "date_published": "2025-05-22T12:45:40Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.26.1"
    },
    {
      "id": "https://yamory.io/news/interop2025",
      "url": "https://yamory.io/news/interop2025",
      "title": "[Yamory] 「Interop Tokyo 2025」出展のお知らせ",
      "content_text": "「Interop Tokyo 2025」出展のお知らせ",
      "date_published": "2025-05-22T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-05-22"
    },
    {
      "id": "https://github.com/anchore/syft/releases/tag/v1.26.0",
      "url": "https://github.com/anchore/syft/releases/tag/v1.26.0",
      "title": "[Syft] v1.26.0",
      "content_text": "### Added Features\n\n- Read version resources from non-.NET DLLs and executables [[#3842](https://github.com/anchore/syft/issues/3842) [#3911](https://github.com/anchore/syft/pull/3911) @wagoodman]\n\n### Bug Fixes\n\n- `pkg.JavaArchive.PomProperties` is being populated even though no `pom.properties` file was present for analysis [[#3922](https://github.com/anchore/syft/pull/3922) @wagoodman]\n- syft 1.24.0 debug container - wget fails TLS [[#3891](https://github.com/anchore/syft/issues/3891) [#3915](https://github.com/anchore/syft/pull/3915) @spiffcs]\n\n**[(Full Changelog)](https://github.com/anchore/syft/compare/v1.25.1...v1.26.0)**\n\n",
      "date_published": "2025-05-20T21:35:14Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "syft",
      "_version": "v1.26.0"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.32.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.32.0",
      "title": "[Vuls] v0.32.0",
      "content_text": "## What's Changed\r\n* fix(detector/vuls2): fix cvss v3.1 vector check by @MaineK00n in https://github.com/future-architect/vuls/pull/2204\r\n* chore(deps): bump github.com/MaineK00n/vuls2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2197\r\n* Create scorecard.yml by @kotakanbe in https://github.com/future-architect/vuls/pull/2203\r\n* fix(detector/vuls2): fix postConvert by @MaineK00n in https://github.com/future-architect/vuls/pull/2205\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.31.1...v0.32.0",
      "date_published": "2025-05-16T07:25:34Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.32.0"
    },
    {
      "id": "https://yamory.io/news/netstar",
      "url": "https://yamory.io/news/netstar",
      "title": "[Yamory] ネットスター株式会社様がyamoryを導入",
      "content_text": "ネットスター株式会社様がyamoryを導入",
      "date_published": "2025-05-13T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-05-13"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.31.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.31.1",
      "title": "[Vuls] v0.31.1",
      "content_text": "## What's Changed\r\n* fix(ci/goreleaser): set id-token to none for all jobs by @MaineK00n in https://github.com/future-architect/vuls/pull/2202\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.31.0...v0.31.1",
      "date_published": "2025-05-08T09:10:34Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.31.1"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.31.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.31.0",
      "title": "[Vuls] v0.31.0",
      "content_text": "## What's Changed\r\n* chore(deps): bump github.com/containerd/containerd from 1.7.25 to 1.7.27 by @dependabot in https://github.com/future-architect/vuls/pull/2151\r\n* fix(scanner/redhatbase): fix cmd in scanUpdatablePackages by @MaineK00n in https://github.com/future-architect/vuls/pull/2156\r\n* chore(deps): bump github.com/golang-jwt/jwt/v5 from 5.2.1 to 5.2.2 by @dependabot in https://github.com/future-architect/vuls/pull/2152\r\n* chore(actions): Adjust GitHub Actions permissions (write for release, read-only for others) by @kotakanbe in https://github.com/future-architect/vuls/pull/2154\r\n* chore(deps): bump github.com/golang-jwt/jwt/v4 from 4.5.1 to 4.5.2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2160\r\n* fix(actions): Add security-events write permission to CodeQL results upload by @kotakanbe in https://github.com/future-architect/vuls/pull/2162\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.60.0 to 0.61.0 by @dependabot in https://github.com/future-architect/vuls/pull/2163\r\n* fix(report): Refactor SBOM generation: split functions, improve PURL logic, set OS as root by @kl-sinclair in https://github.com/future-architect/vuls/pull/2171\r\n* chore(deps): bump golangci/golangci-lint-action from 6 to 7 by @dependabot in https://github.com/future-architect/vuls/pull/2166\r\n* chore(deps): Pin GitHub Actions and Docker image, configure Dependabot by @kotakanbe in https://github.com/future-architect/vuls/pull/2159\r\n* fix(report): skip empty properties in OS package SBOM components by @kl-sinclair in https://github.com/future-architect/vuls/pull/2181\r\n* fix(report): omit empty CWE and rating fields in CycloneDX SBOM by @kl-sinclair in https://github.com/future-architect/vuls/pull/2182\r\n* feat(detector/vuls2): open with Read Only Mode by @MaineK00n in https://github.com/future-architect/vuls/pull/2180\r\n* fix(cmd/saas): add timeout option by @wadda0714 in https://github.com/future-architect/vuls/pull/2183\r\n* chore(deps): bump golang.org/x/text from 0.23.0 to 0.24.0 by @dependabot in https://github.com/future-architect/vuls/pull/2167\r\n* chore(deps): bump the aws group with 4 updates by @dependabot in https://github.com/future-architect/vuls/pull/2170\r\n* chore(deps): bump docker/setup-buildx-action from afeb29a6e0d7d6258844ecabe6eba67d13443680 to 941183f0a080fa6be59a9e3d3f4108c19a528204 by @dependabot in https://github.com/future-architect/vuls/pull/2174\r\n* chore(deps): bump goreleaser/goreleaser-action from 6.2.1 to 6.3.0 by @dependabot in https://github.com/future-architect/vuls/pull/2177\r\n* chore(deps): bump docker/build-push-action from 84ad562665bb303b549fec655d1b64f9945f3f91 to 88844b95d8cbbb41035fa9c94e5967a33b92db78 by @dependabot in https://github.com/future-architect/vuls/pull/2175\r\n* chore(deps): bump github/codeql-action from e0ea141027937784e3c10ed1679e503fcc2245bc to 45775bd8235c68ba998cffa5171334d58593da47 by @dependabot in https://github.com/future-architect/vuls/pull/2176\r\n* chore(deps): bump golang.org/x/oauth2 from 0.28.0 to 0.29.0 by @dependabot in https://github.com/future-architect/vuls/pull/2169\r\n* chore(deps): bump the go_modules group across 1 directory with 2 updates by @dependabot in https://github.com/future-architect/vuls/pull/2179\r\n* feat!(detector): timeout can be set, default is no timeout by @MaineK00n in https://github.com/future-architect/vuls/pull/2185\r\n* feat(detector/vuls2): fill cvss v4.0 by @MaineK00n in https://github.com/future-architect/vuls/pull/2186\r\n* chore(deps): bump github.com/kotakanbe/go-pingscanner by @MaineK00n in https://github.com/future-architect/vuls/pull/2201\r\n* feat(ci): support signed release by @kotakanbe in https://github.com/future-architect/vuls/pull/2184\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.30.0...v0.31.0",
      "date_published": "2025-05-08T08:07:28Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.31.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20250500_hotfix/",
      "url": "https://help.vuls.biz/releasenotes/20250500_hotfix/",
      "title": "[FutureVuls] 2025-05 [Hotfix]",
      "content_text": "2025-05 Hotfix リリース内容\n#\n今月の Hotfix リリースでは、以下を修正しました。\nリリース内容に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。\n2025-05-02 リリース内容\n#\nSSVC 精度向上のため、JPCERT/CC の Windows パッチ注意喚起を PoC 判定から除外\n#\nJPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起を、\nExploitation: PoC\nとみなさないように調整し、SSVC の判定精度を向上させました。\n背景\n#\nこれまで FutureVuls では、JPCERT/CC が発表する\nWindows 定期セキュリティパッチの注意喚起\n（例:\nhttps://www.jpcert.or.jp/at/2019/at190032.html\n）を\n「PoC（概念実証コード）が公開済みの脆弱性」\nと判定していました。\nその結果、定期セキュリティパッチに含まれる多数の CVE が\nPoC あり\nと誤って評価され、対応すべき脆弱性を選定する際のノイズとなるケースがありました。\n変更点\n#\n以下の条件を満たすタスクについては、他の条件（例: Metasploit に攻撃モジュールが存在する など）が\n同時に成立しない限り\n、\nPoC あり\nと判定しないよう仕様を変更しました。\n脆弱性詳細の警戒情報\n欄に JPCERT/CC による Windows 定期セキュリティパッチの注意喚起\nのみ\nが記載されている\n条件を満たさない場合\n上記\nWindows 定例パッチの注意喚起\n以外の JPCERT/CC の注意喚起は、\n引き続き PoC あり\nと判定され、SSVC に反映されます。\n効果\n#\nWindows 月例パッチに関連するタスクが不要に\nPoC あり\nと判断されなくなります。\nSSVC 優先度判定の精度が向上\nし、ノイズが低減されます。\n真に緊急対応が必要なタスクを迅速かつ的確に特定できます。\n2025-05-07 リリース内容\n#\nタスクコメント内でメンションされたユーザにメール通知が飛ばない不具合の修正\n#\n4/21 から 5/7 にかけて、タスクコメント内でメンションされたユーザにメール通知が飛ばない不具合が発生しておりました。\n5/7 20:00 頃に不具合を修正しましたので、以降はメンションされたユーザに対し、通知が飛ぶようになっております。\n2025-05-15 リリース内容\n#\nSBOMインポート時の誤検知を修正：バージョン情報のepoch値取り込み不備を解消\n#\nSBOM ファイルをインポートする際に、ソフトウェアバージョンの epoch 値が正しく取り込まれない不具合を修正しました。\nこの不具合により、一部のソフトウェアでは誤検知が発生しており、修正を適用するにはSBOMファイルの再インポートが必要です。\n本不具合の影響を受けるお客様\n#\nepoch を用いたバージョン管理が行われているソフトウェアを、SBOM ファイル経由で FutureVuls に取り込まれているお客様が対象です。\n本不具合による影響詳細\n#\n脆弱性検知時には「お使いのソフトウェアバージョン番号」と「脆弱性修正後のソフトウェアバージョン番号」の比較を実施しており、まず最初に epoch バージョンの比較をします。\n修正前の状態では、SBOM ファイルからインポートされた全てのソフトウェアの epoch バージョンは\n0\nとして取り込まれていたため、epoch バージョン\n1\n以降のバージョンで修正された脆弱性が全て検知対象となる不具合が発生しておりました。\nお客様へのお願い：SBOM ファイルの再インポート\n#\n本不具合の修正を適用するには、SBOM ファイルを再インポートする必要がございます。\nepoch を用いたバージョン管理が行われているソフトウェアをお使いの方は\nSBOM ファイルの更新\nの実施をお願いいたします。",
      "date_published": "2025-05-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-05 [Hotfix]"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.2",
      "title": "[OSV-Scanner] v2.0.2",
      "content_text": "### Fixes:\r\n\r\n- [Bug #1842](https://github.com/google/osv-scanner/pull/1842) Fix an issue in the GitHub Action where call analysis for Go projects using the `tool` directive (Go 1.24+) in `go.mod` files would fail. The scanner image has been updated to use a newer Go version.\r\n- [Bug #1806](https://github.com/google/osv-scanner/pull/1806) Fix an issue where license overrides were not correctly reflected in the final scan results and license summary.\r\n- [Fix #1825](https://github.com/google/osv-scanner/pull/1825), [#1809](https://github.com/google/osv-scanner/pull/1809), [#1805](https://github.com/google/osv-scanner/pull/1805), [#1803](https://github.com/google/osv-scanner/pull/1803), [#1787](https://github.com/google/osv-scanner/pull/1787) Enhance XML output stability and consistency by preserving original spacing and minimizing unnecessary escaping. This helps reduce differences when XML files are processed.\r\n\r\n## New Contributors\r\n* @s-index made their first contribution in https://github.com/google/osv-scanner/pull/1812\r\n* @shahar-h made their first contribution in https://github.com/google/osv-scanner/pull/1842\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.1...v2.0.2",
      "date_published": "2025-04-30T06:19:23Z",
      "tags": [
        "other"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20250421/",
      "url": "https://help.vuls.biz/releasenotes/20250421/",
      "title": "[FutureVuls] 2025-04-21",
      "content_text": "2025-04-21 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は「\nこちら\n」です。自動更新オプションを活用してください。\nスキャナのバージョンの確認方法は「\nこちら\n」です。\n2025年04月21日リリースのスキャナバージョン\n#\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.29.0\n[NEW]\nVersion: 2025/04\nWindows用\nvuls v0.25.2\n[NEW]\nVersion: 2025/04\nTrivy\n0.57.1\n[NEW]\nVersion: 2025/04\n新機能\n#\n1. 「一覧テンプレ」 — ビュー設定の社内標準化\n#\nオーガニゼーションの管理者(オーナ)が作成した「表示設定」（列の表示/非表示、並び順、フィルタ条件、ソート条件）を、オーガニゼーション内の全メンバが利用できる機能です。\nオーガニゼーション管理者は、複数の「一覧テンプレ」をオーガニゼーション設定で作成・登録可能です。\n全ユーザは一覧の上部メニューの「一覧テンプレ」から簡単に設定を反映できます。\nオーガニゼーション管理者がテンプレを修正すれば、全ユーザが同じ表示設定を共有できます。\n保存される情報: 列の表示・非表示、並び順、フィルタ条件、ソート条件\nユースケース\n#\n全社統一ルールの適用\n: SSVC や CVSS など重要な項目に合わせたビューを全メンバで共有可能。\nオンボーディングの簡略化\n: 新規メンバも既存メンバと同じ表示設定をすぐ利用可能。\n設定方法\n#\nオーナによるビュー作成\n:\nオーガニゼーション設定 > 一覧テンプレ\nで表示設定を決め、「追加」ボタンで保存。\nユーザによるビュー選択\n: テーブル上部「一覧テンプレ」から選ぶだけで設定が反映。\n2. 「閲覧権限のみ」権限 — 他グループの対応状況を確認可能に\n#\nグループやグループセットへ「閲覧専用」で参加できる権限を追加しました。\n閲覧とタスクコメント投稿\nだけに権限を制限でき、社内ナレッジを安全に共有できます。\nある脆弱性について、他グループの対応を確認したい場合にご利用ください。\nメンバ権限の画面例\n#\n閲覧権限のみの画面例\n#\n3. SBOM エクスポート機能強化\n#\n追加内容\n詳細\n主な利点\nSBOM のマージ機能\nサーバを複数選び1つの SBOM にマージ\n複数のサーバから構成される製品のSBOM生成に便利\n脆弱性のない CPE も出力\n出力に含まれないCPEがある問題を修正\nサーバ・製品の全資産を出力可能に\nPURL 生成精度向上\nOSSやOSパッケージ情報からPURLへのマッピング機能を改良\n再インポート時の EOL 判定が正確に\n4. CPE リコメンド精度向上\n#\nWindows にインストールされたサードパーティ製ソフトウェアは、\nCPE を割り当ててはじめて脆弱性検知の対象\nになります。FutureVuls では、その割り当てを支援するために「推奨 CPE（リコメンド）」機能を提供しています\n（参考:\nブログ記事\n「Windows のサードパーティソフトウェアの脆弱性検知がもっとラクに」\n）。\n今回のリリースでは、リコメンド機能のアルゴリズムを刷新しました。主な変更点は次のとおりです。\n割り当て実績が多い CPE 上位 3 件\nを提示\nDeprecated（非推奨）CPE を自動的に除外\nこれにより CPE の割り当てがより楽に正確になりました。\n5. CPE 追加／割り当てダイアログに NVD 検索リンク\n#\nCPE 割り当てダイアログから\nNVD の CPE 検索ページ\nへ直接遷移でき、\n登録の有無や Deprecated かを即確認できます。\n6. SAML 連携で IdP‑initiated SSO に対応\n#\nIdP 側ポータルから直接 FutureVuls へ遷移可能に。詳細は\nマニュアル\nをご覧ください。\n7. ダッシュボード「グループセット サマリ」を新設\n#\nグループセットの総脆弱性件数・対応進捗を最上段に集約表示し、CSIRT でも全体状況を一目で把握可能。\n8. グループセットからのユーザ一括管理\n#\n複数ユーザの追加・削除・権限変更をまとめて実行でき、組織改編時の管理負荷を大幅に軽減。\n9. ECR 連携 — リポジトリを一括選択で登録\n#\nAWS ECR 連携時に複数リポジトリをチェックボックスで一括登録できます。\n詳細は\nECRコンテナレジストリ連携\nにてご確認ください。\n10. 新タスクステータス\nALT_RESOLVED\n#\n設定変更、機能無効化、ブロックルール適用など、脆弱性にパッチを当てる以外の方法で解決した状態を表す\nALT_RESOLVED\nを追加しました。詳細は\nタスクステータス\nにてご確認ください。\n11. サーバタグ追加・削除 API\n#\nREST API でサーバタグ管理を自動化。詳細は\nFutureVuls API\nにてご確認ください。\n仕様変更・改善\n#\n変更点\n影響・メリット\nダッシュボードの「KEV に含まれる未対応」項目を削除\nSSVC で KEV を考慮しているため、重複となる同項目を削除。ダッシュボードは「重要な未対応」に集約し見やすく\n表示名を「サーバ」から「サーバ・製品」に統一\nサーバ・自社製品・ネットワーク機器やアプライアンスも対象であることを明確化\n一覧画面の優先度 HIGH の強調表示を廃止\n一覧画面を見やすく\nプロセス実行中アイコン刷新\n状態を 3 種類に整理し、視認性向上\nCVSS スコア差異修正\n一覧と詳細で値が異なるケースがあった問題を改善\nタスクコメント更新日時の正確化\nコメント投稿時にコメント更新日時が正しく更新されるよう修正\nメール通知の詳細変更\n#\n種類\n具体的な変更点\nDaily / Weekly レポート\n・警戒タグ通知に\nタスク数\nと\n対応期限\nを追加\n・「マイタスク」ボタンと担当サーバ区分を廃止\n・レイアウト崩れを修正\n一括メール送信\nTo\n送信から\nBCC\n送信へ切り替え\n実行者 CC 追加\n以下の通知メールの\nCC\nに操作実行者を自動追加：\n・タスク（単体 / 一括）更新\n・タスクコメント登録\n・PSIRT レスポンス更新\n・PSIRT レスポンスコメント登録\n・オーガニゼーションの有償化",
      "date_published": "2025-04-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-04-21"
    },
    {
      "id": "https://yamory.io/4344723",
      "url": "https://yamory.io/4344723",
      "title": "[Yamory] yamory 採用サイトを公開しました",
      "content_text": "yamory 採用サイトを公開しました",
      "date_published": "2025-04-04T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2025-04-04"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.1",
      "title": "[OSV-Scanner] v2.0.1",
      "content_text": "## Changelog\r\n \r\n ### Features:\r\n \r\n - [Feature #1730](https://github.com/google/osv-scanner/pull/1730) Add support for extracting dependencies from .NET `packages.config` and `packages.lock.json` files.\r\n - [Feature #1770](https://github.com/google/osv-scanner/pull/1770) Add support for extracting dependencies from rust binaries compiled with cargo-auditable.\r\n - [Feature #1761](https://github.com/google/osv-scanner/pull/1761) Improve output when scanning for OS packages, we now show binary packages associated with a source package in the table output.\r\n \r\n ### Fixes:\r\n \r\n - [Bug #1752](https://github.com/google/osv-scanner/pull/1752) Fix paging depth issue when querying the osv.dev API.\r\n - [Bug #1747](https://github.com/google/osv-scanner/pull/1747) Ensure osv-reporter prints warnings instead of errors for certain messages to return correct exit code (related to [osv-scanner-action#65](https://github.com/google/osv-scanner-action/issues/65)).\r\n - [Bug #1717](https://github.com/google/osv-scanner/pull/1717) Fix issue where nested CycloneDX components were not being parsed.\r\n - [Bug #1744](https://github.com/google/osv-scanner/pull/1744) Fix issue where empty CycloneDX SBOMs was causing a panic.\r\n - [Bug #1726](https://github.com/google/osv-scanner/pull/1726) De-duplicate references in CycloneDX report output for improved validity.\r\n - [Bug #1727](https://github.com/google/osv-scanner/pull/1727) Remove automatic opening of HTML reports in the browser (fixes [#1721](https://github.com/google/osv-scanner/issues/1721)).\r\n - [Bug #1735](https://github.com/google/osv-scanner/pull/1735) Require a tag when scanning container images to prevent potential errors.\r\n \r\n ### API Changes:\r\n \r\n - [API Change #1763](https://github.com/google/osv-scanner/pull/1763) Made the SourceType enum public.\r\n\r\n## New Contributors\r\n* @AlexLaroche made their first contribution in https://github.com/google/osv-scanner/pull/1730\r\n* @kuscar made their first contribution in https://github.com/google/osv-scanner/pull/1726\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.0...v2.0.1",
      "date_published": "2025-04-03T04:10:55Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.1"
    },
    {
      "id": "https://yamory.io/news/kinyu-it",
      "url": "https://yamory.io/news/kinyu-it",
      "title": "[Yamory] 株式会社アシュアードが、 特定非営利活動法人 金融IT協会へ入会",
      "content_text": "株式会社アシュアードが、 特定非営利活動法人 金融IT協会へ入会",
      "date_published": "2025-04-01T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-04-01"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.30.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.30.0",
      "title": "[Vuls] v0.30.0",
      "content_text": "## What's Changed\r\n* fix(models/cvecontents): a little more accurate sort by @shino in https://github.com/future-architect/vuls/pull/2122\r\n* chore(ci): review of build flags, increase of runner storage by @MaineK00n in https://github.com/future-architect/vuls/pull/2123\r\n* feat(scanner/python/uv): add python uv/poetry-v2 support along with updating trivy to 0.59.1 by @dependabot in https://github.com/future-architect/vuls/pull/2118\r\n* chore(deps): bump golang.org/x/sync from 0.10.0 to 0.11.0 by @dependabot in https://github.com/future-architect/vuls/pull/2125\r\n* chore(deps): bump golang.org/x/text from 0.21.0 to 0.22.0 by @dependabot in https://github.com/future-architect/vuls/pull/2126\r\n* chore(deps): bump go.etcd.io/bbolt from 1.3.11 to 1.4.0 by @dependabot in https://github.com/future-architect/vuls/pull/2128\r\n* chore(deps): bump github.com/spf13/cobra from 1.8.1 to 1.9.1 by @dependabot in https://github.com/future-architect/vuls/pull/2129\r\n* chore(deps): bump golang.org/x/oauth2 from 0.25.0 to 0.27.0 by @dependabot in https://github.com/future-architect/vuls/pull/2133\r\n* chore(deps): bump github.com/google/go-cmp from 0.6.0 to 0.7.0 by @dependabot in https://github.com/future-architect/vuls/pull/2136\r\n* chore(deps): bump github.com/gosnmp/gosnmp from 1.38.0 to 1.39.0 by @dependabot in https://github.com/future-architect/vuls/pull/2137\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.59.1 to 0.60.0 by @dependabot in https://github.com/future-architect/vuls/pull/2140\r\n* chore(deps): bump golang.org/x/text from 0.22.0 to 0.23.0 by @dependabot in https://github.com/future-architect/vuls/pull/2141\r\n* chore(deps): bump golang.org/x/oauth2 from 0.27.0 to 0.28.0 by @dependabot in https://github.com/future-architect/vuls/pull/2143\r\n* chore(deps): bump golang.org/x/net from 0.34.0 to 0.36.0 by @dependabot in https://github.com/future-architect/vuls/pull/2146\r\n* chore(deps): bump the aws group across 1 directory with 4 updates by @dependabot in https://github.com/future-architect/vuls/pull/2149\r\n* feat!(deps): bump vuls dictionary libs by @MaineK00n in https://github.com/future-architect/vuls/pull/2150\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.29.0...v0.30.0",
      "date_published": "2025-03-18T06:43:13Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.30.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.0",
      "title": "[OSV-Scanner] v2.0.0",
      "content_text": "This release merges the improvements, features, and fixes from v2.0.0-rc1, v2.0.0-beta2, and v2.0.0-beta1.\r\n\r\n**Important:** This release includes several breaking changes aimed at future-proofing OSV-Scanner. Please consult our comprehensive **[Migration Guide](https://google.github.io/osv-scanner/migration-guide.html)** to ensure a smooth upgrade.\r\n\r\n### Features:\r\n\r\n- **Layer and base image-aware container scanning:**\r\n  - Rewritten support for Debian, Ubuntu, and Alpine container images.\r\n  - Layer level analysis and vulnerability breakdown.\r\n  - Supports Go, Java, Node, and Python artifacts within supported distros.\r\n  - Base image identification via `deps.dev`.\r\n  - Usage: `osv-scanner scan image <image-name>:<tag>`\r\n- **Interactive HTML output:**\r\n  - Severity breakdown, package/ID/importance filtering, vulnerability details.\r\n  - Container image layer filtering, layer info, base image identification.\r\n  - Usage: `osv-scanner scan --serve ...`\r\n- **Guided Remediation for Maven pom.xml:**\r\n  - Remediate direct and transitive dependencies (non-interactive mode).\r\n  - New `override` remediation strategy.\r\n  - Support for reading/writing `pom.xml` and parent POM files.\r\n  - Private registry support for Maven metadata.\r\n  - Machine-readable output for guided remediation.\r\n- **Enhanced Dependency Extraction with `osv-scalibr`:**\r\n  - Haskell: `cabal.project.freeze`, `stack.yaml.lock`\r\n  - .NET: `deps.json`\r\n  - Python: `uv.lock`\r\n  - Artifacts: `node_module`s, Python wheels, Java uber jars, Go binaries\r\n- [Feature #1636](https://github.com/google/osv-scanner/pull/1636) `osv-scanner update` command for updating the local vulnerability database (formerly experimental).\r\n- [Feature #1582](https://github.com/google/osv-scanner/pull/1582) Add container scanning information to vertical output format.\r\n- [Feature #1587](https://github.com/google/osv-scanner/pull/1587) Add support for severity in SARIF report format.\r\n- [Feature #1569](https://github.com/google/osv-scanner/pull/1569) Add support for `bun.lock` lockfiles.\r\n- [Feature #1547](https://github.com/google/osv-scanner/pull/1547) Add experimental config support to the `scan image` command.\r\n- [Feature #1557](https://github.com/google/osv-scanner/pull/1557) Allow setting port number with `--serve` using the new `--port` flag.\r\n\r\n### Breaking Changes:\r\n\r\n- [Feature #1670](https://github.com/google/osv-scanner/pull/1670) Guided remediation now defaults to non-interactive mode; use the `--interactive` flag for interactive mode.\r\n- [Feature #1670](https://github.com/google/osv-scanner/pull/1686) Removed the `--verbosity=verbose` verbosity level.\r\n- [Feature #1673](https://github.com/google/osv-scanner/pull/1673) & [Feature #1664](https://github.com/google/osv-scanner/pull/1664) All previous experimental flags are now out of experimental, and the experimental flag mechanism has been removed.\r\n- [Feature #1651](https://github.com/google/osv-scanner/pull/1651) Multiple license flags have been merged into a single `--license` flag.\r\n- [Feature #1666](https://github.com/google/osv-scanner/pull/1666) API: `reporter` removed; logging now uses `slog`, which can be overridden.\r\n- [Feature #1638](https://github.com/google/osv-scanner/pull/1638) API: Deprecated packages removed, including `lockfile` (migrated to `OSV-Scalibr`).\r\n\r\n### Improvements:\r\n\r\n- [Feature #1561](https://github.com/google/osv-scanner/pull/1561) Updated HTML report for better contrast and usability (from beta2).\r\n- [Feature #1584](https://github.com/google/osv-scanner/pull/1584) Make skipping the root git repository the default behavior (from beta2).\r\n- [Feature #1648](https://github.com/google/osv-scanner/pull/1648) Updated HTML report styling to improve contrast (from rc1).\r\n\r\n### Fixes:\r\n\r\n- [Fix #1598](https://github.com/google/osv-scanner/pull/1598) Fix table output vulnerability ordering.\r\n- [Fix #1616](https://github.com/google/osv-scanner/pull/1616) Filter out Ubuntu unimportant vulnerabilities.\r\n- [Fix #1585](https://github.com/google/osv-scanner/pull/1585) Fixed issue where base images are occasionally duplicated.\r\n- [Fix #1597](https://github.com/google/osv-scanner/pull/1597) Fixed issue where SBOM parsers are not correctly parsing CycloneDX files when using the `bom.xml` filename.\r\n- [Fix #1566](https://github.com/google/osv-scanner/pull/1566) Fixed issue where offline scanning returns different results from online scanning.\r\n- [Fix #1538](https://github.com/google/osv-scanner/pull/1538) Reduce memory usage when using guided remediation.\r\n\r\nWe encourage everyone to upgrade to OSV-Scanner v2.0.0 and experience these powerful new capabilities! As always, your feedback is invaluable, so please don't hesitate to share your thoughts and suggestions.\r\n\r\n- [General V2 feedback](https://github.com/google/osv-scanner/discussions/1529)\r\n- [Container scanning feedback](https://github.com/google/osv-scanner/discussions/1521)\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.9.2...v2.0.0",
      "date_published": "2025-03-17T03:58:44Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.0"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-rc1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-rc1",
      "title": "[OSV-Scanner] v2.0.0-rc1",
      "content_text": "Our first release candidate for OSV-Scanner V2, which includes various breaking changes osv-scanner to help future proof osv-scanner in V2! See the changelog for beta1 and beta2 for the full list of changes.\r\n\r\nWe've also added a migration guide here: https://google.github.io/osv-scanner/migration-guide.html\r\n\r\nAs always, please feel free to give us your feedback! \r\n\r\n- [General V2 feedback](https://github.com/google/osv-scanner/discussions/1529)\r\n- [Container scanning feedback](https://github.com/google/osv-scanner/discussions/1521)\r\n\r\n### Changes:\r\n\r\n- [Feature #1670](https://github.com/google/osv-scanner/pull/1670) Guided remediation now makes non-interactive the default mode, and adds the `--interactive` flag.\r\n- [Feature #1670](https://github.com/google/osv-scanner/pull/1686) Removes the `--verbosity=verbose` verbosity level.\r\n- [Feature #1673](https://github.com/google/osv-scanner/pull/1673) & [Feature #1664](https://github.com/google/osv-scanner/pull/1664) Moves all our experimental flags out of experimental, and removes the experimental flags.\r\n- [Feature #1651](https://github.com/google/osv-scanner/pull/1651) License flags have been merged into a single license flag. See `--help` or migration guide for more details.\r\n\r\n### Features:\r\n\r\n- [Feature #1636](https://github.com/google/osv-scanner/pull/1636) `osv-scanner update` command has been released as an experimental feature.\r\n- [Feature #1582](https://github.com/google/osv-scanner/pull/1582) Add container scanning related information to vertical output format.\r\n- [Feature #1587](https://github.com/google/osv-scanner/pull/1587) Add support for severity in SARIF report format.\r\n\r\n### Fixes\r\n\r\n- [Fix #1677](https://github.com/google/osv-scanner/pull/1677) Fix OS filter for HTML report.\r\n- [Fix #1598](https://github.com/google/osv-scanner/pull/1598) Fix table output vulnerability ordering.\r\n- [Fix #1661](https://github.com/google/osv-scanner/pull/1661) Add spinner to iframs in the HTML report.\r\n- [Fix #1648](https://github.com/google/osv-scanner/pull/1648) Updated HTML report styling to improve contrast.\r\n- [Fix #1616](https://github.com/google/osv-scanner/pull/1616) Display git scanning results in HTML report.\r\n- [Fix #1616](https://github.com/google/osv-scanner/pull/1616) Filter out Ubuntu unimportant vulnerabilities.\r\n\r\n### API changes\r\n\r\n- [Feature #1666](https://github.com/google/osv-scanner/pull/1666) Removes `reporter`, all logging now goes through slog, which you can override to change the output.\r\n- [Feature #1638](https://github.com/google/osv-scanner/pull/1638) All deprecated packages have been removed from the osv-scanner module, this includes the `lockfile` package, which has been migrated to the `OSV-Scalibr` library.\r\n\r\n## New Contributors\r\n* @mickem made their first contribution in https://github.com/google/osv-scanner/pull/1587\r\n* @WeizhouRen made their first contribution in https://github.com/google/osv-scanner/pull/1661\r\n* @vitorRibeiro7 made their first contribution in https://github.com/google/osv-scanner/pull/1648\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.0-beta2...v2.0.0-rc1",
      "date_published": "2025-03-10T00:08:08Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.0-rc1"
    },
    {
      "id": "https://yamory.io/news/zdnet_yamory3",
      "url": "https://yamory.io/news/zdnet_yamory3",
      "title": "[Yamory] 「ZDNET Japan」でプロダクトオーナーの鈴木が執筆する連載記事の第3回が公開されました",
      "content_text": "「ZDNET Japan」でプロダクトオーナーの鈴木が執筆する連載記事の第3回が公開されました",
      "date_published": "2025-02-25T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-02-25"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.1.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.1.0",
      "title": "[Dependency-Check] Version 12.1.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-02-17T10:14:26Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v12.1.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.2",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.2",
      "title": "[Dependency-Check] Version 12.0.2",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-02-14T10:52:52Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v12.0.2"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-beta2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-beta2",
      "title": "[OSV-Scanner] v2.0.0-beta2",
      "content_text": "This second beta release brings a series of fixes and improvements to the previous release.\r\n\r\nPlease post your feedback in the following threads:\r\n- [General V2 feedback](https://github.com/google/osv-scanner/discussions/1529)\r\n- [Container scanning feedback](https://github.com/google/osv-scanner/discussions/1521)\r\n\r\n\r\n### Improvements:\r\n\r\n- [Feature #1561](https://github.com/google/osv-scanner/pull/1561) Updated HTML report for better contrast and usability\r\n- [Feature #1569](https://github.com/google/osv-scanner/pull/1569) Add support for bun.lock lockfiles.\r\n- [Feature #1584](https://github.com/google/osv-scanner/pull/1584) Make skip root git repository the default behavior.\r\n- [Feature #1547](https://github.com/google/osv-scanner/pull/1547) Add experimental config support to the image command.\r\n- [Feature #1557](https://github.com/google/osv-scanner/pull/1557) Allow setting port number when using the `--serve` flag with the new `--port` flag.\r\n\r\n### Fixes\r\n\r\n- [Fix #1585](https://github.com/google/osv-scanner/pull/1585) Fixed issue where base images are occasionally duplicated.\r\n- [Fix #1597](https://github.com/google/osv-scanner/pull/1597) Fixed issue where SBOM parsers are not correctly parsing CycloneDX files when using the `bom.xml` filename.\r\n- [Fix #1566](https://github.com/google/osv-scanner/pull/1566) Fixed issue where offline scanning returns different results from online scanning.\r\n- [Fix #1538](https://github.com/google/osv-scanner/pull/1538) Reduce memory usage when using guided remediation.\r\n\r\n\r\n\r\n## New Contributors\r\n* @Riddhimaan-Senapati made their first contribution in https://github.com/google/osv-scanner/pull/1557\r\n* @pranjalagg made their first contribution in https://github.com/google/osv-scanner/pull/1580\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v2.0.0-beta1...v2.0.0-beta2",
      "date_published": "2025-02-12T05:09:34Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.0-beta2"
    },
    {
      "id": "https://yamory.io/news/FreeBSD",
      "url": "https://yamory.io/news/FreeBSD",
      "title": "[Yamory] FreeBSDのスキャンに対応",
      "content_text": "FreeBSDのスキャンに対応",
      "date_published": "2025-02-06T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-02-06"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.29.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.29.0",
      "title": "[Vuls] v0.29.0",
      "content_text": "## Changelog\n* 4e3ee6a63d348f157a9b583bfe59b79f05c9a384 feat(contrib/trivy-to-vuls): add version in LibraryFixedIns (#2121)\n* fd2f94694826d4d57751c3ce8bb0ba7be98fba20 add libraryPkg version (#2120)\n* 1638c4b7cadc85833fe03b91c8458c9c5d3df693 chore(deps): bump the aws group across 1 directory with 5 updates (#2119)\n* 80b17a398b257b2f80781426f22cdf384a8d6690 chore(deps): bump github.com/samber/lo from 1.47.0 to 1.49.1 (#2117)\n* ea6384ca40a346e4235b1713a80f28d7f15947ed chore(deps): bump github.com/Azure/azure-sdk-for-go/sdk/storage/azblob (#2115)\n* f9d176e2c21913ae9d4802bd2d3a3bbdb571a764 fix(cmd/discover): add vuls2 section to the generated config.toml (#2113)\n* c6779e414325e69d63508d766ad7ff6f6d06a55e chore(deps): bump the aws group with 5 updates (#2104)\n* 8443175b4ee328edef3fd6a08ac0d20dab0d8686 chore(deps): bump github.com/go-git/go-git/v5 from 5.12.0 to 5.13.0 (#2109)\n* ee34c849e43f11b3a54ccbd4a67e3f836f3c203b chore(deps): bump golang.org/x/oauth2 from 0.24.0 to 0.25.0 (#2103)\n* e89fc33b5aeaa1152421ebf389e2e7c435f36d8f feat(detector): use vuls2 for RedHat, CentOS, Alma and Rocky (#2106)\n* 40e36ccfc594110c833a8bd7921118ec0ab62f33 fix(reporter/http): read response body (#2108)\n* 0ec945d0510cdebf92cdd8999f94610772689f14 fix(scanner/redhatbase): support for empty release in rpm -qa (#2101)\n* d3bf2a6f26e8e549c0732c26fdcc82725d3c6633 chore(deps): bump the aws group across 1 directory with 5 updates (#2102)\n* 98351be8baf4ac0c975604f07f0613b6ff1d0974 chore(deps): bump github.com/aquasecurity/trivy from 0.57.1 to 0.58.1 (#2100)\n\n",
      "date_published": "2025-02-05T04:45:58Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "vuls",
      "_version": "v0.29.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20250205/",
      "url": "https://help.vuls.biz/releasenotes/20250205/",
      "title": "[FutureVuls] 2025-02-05",
      "content_text": "2025-02-05 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2025年02月05日リリースのスキャナバージョン\n#\n(\nスキャナバージョンの確認方法\n)\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.29.0\nVersion: 2024/02\nWindows用\nvuls v0.25.2\n[NEW]\nVersion: 2025/02\nTrivy\n0.57.1\n2024/04\nRed Hat Enterprise Linux のスキャナ、ペーストスキャンはできる限り早く更新をお願いします\n#\n未修正(unfixed)の脆弱性をまったく検知できないリスクがあります。\n2024-12-16 リリースより前のスキャナ（\nvuls v0.28.0\nよりも古いバージョン）やペーストスキャンのコマンドを使っている場合には、2025年4月頃を予定している次回のリリースで未修正の脆弱性を検知できなくなります。次のリリースまでには新しいスキャナ（\nvuls v0.28.0\n以降のバージョン）の利用、およびペーストスキャンの新しいコマンドでの情報更新をおこなってください。\nペーストスキャンの新しいコマンドについては\nこちら\nをご参照ください。\n2025年4月頃予定の次回リリースでは、Red Hat Enterprise Linux の検知につかう脆弱性情報を、OVAL フォーマットのデータから VEX フォーマットのデータへ切り替える予定です。これは Red Hat 社による OVAL フォーマットでの脆弱性情報提供が終了するためです。\nVEX フォーマットのデータ:\nhttps://security.access.redhat.com/data/csaf/v2/vex/\nOVAL から VEX への変更について:\nhttps://www.redhat.com/en/blog/future-red-hat-security-data\nこれに伴うデータ内容の大きな差異として、未修正の脆弱性に対して影響を受けるパッケージの記述があります。\nOVAL フォーマットではバイナリパッケージ名で書かれていたのに対して、VEX フォーマットではソースパッケージ名で提供されます。\n他方、修正済み脆弱性の影響を受けるパッケージは両フォーマットともバイナリパッケージ名で変わりません。\nFutureVuls では Red Hat Enterprise Linux のパッケージスキャンにおいて、スキャナバージョン v0.27.0 まではバイナリパッケージ情報だけを収集していました。\nこれを、2024-12-16 リリースの v0.28.0 ではソースパッケージ情報も合わせて収集するようにする変更が入っています。\nまた、あわせてペーストスキャンの新しいコマンドもご案内しております。\nリリースノート該当項目\n最新バージョンのスキャナや、新しいコマンドによるペーストスキャンをご利用の場合、次回リリースでも未修正の脆弱性を含めて VEX フォーマットのデータに則って、正しく検知されます。古いスキャナやコマンドを使っている場合は更新をお願いします。\nAmazon Inspector連携でEC2を一括登録できるように\n#\nAmazon Inspector による EC2 の脆弱性スキャン結果を、より便利に FutureVuls へ連携できるようになりました。\nアップデート概要\n#\nグループに紐付く AWS 認証情報を用いて、EC2 インスタンスを FutureVuls コンソール上に一覧表示し、その中から複数選択してサーバ登録ができるようになりました。\nこれにより、これまでのように AWS コンソールでインスタンス ID を確認・コピーする手間が不要となり、FutureVuls コンソール内の操作のみで一括登録が完結します。\nまた、フィルタやソート、一括選択にも対応しています。\n特定のタグを付与した EC2インスタンスのみ抽出し、一括選択して登録するなど、より効率的にご利用いただけます。\nEC2 の Inspector 連携マニュアルは\nこちら\nをご参照ください。\n注意点\n#\n今回の機能アップデートに伴い、Inspector 連携機能を利用する際は、AWS IAM ポリシーに以下のアクションを追加する必要があります。\nListFindingAggregations\nCloudFormation テンプレートも更新済みですので、必要に応じてご利用ください。\n参考:\nAWS連携の設定手順\n認証付きプロキシ環境でもWindowsスキャナがインストール可能に\n#\nWindows スキャナのインストールが、認証付きプロキシ環境でも行えるようになりました。\nインストール時にプロキシの URL と認証情報を入力することで、認証付きプロキシ経由でのスキャナインストールが可能になります。\n入力した認証情報はインストール時に\nbatch_config.toml\nへ追記されるため、スキャン実行時に特別な操作は必要ありません。\nこれにより、Windows スキャナのインストール→Windows スキャン実行→結果を FutureVuls へアップロード、という一連のフローを認証付きプロキシ環境下でも実施できるようになりました。\nWindowsスキャナのインストール時に管理者権限をチェック\n#\nWindows スキャナのインストール時に使用する\nvuls-installer-v2.bat\nを管理者権限で実行していない場合、処理を停止するように修正しました。\nSBOMで異なるバージョンのライブラリも併せて管理可能に\n#\n複数の SBOM を FutureVuls にインポートする際、同一ソフトウェア名でバージョンが異なるライブラリを複数同時に管理できるようになりました。\nソフトウェアが新規検知された際に、タスクコメントを自動追加\n#\n対象となるソフトウェア種別は以下の通りです。\nソフトウェア種別\n説明\n具体例\npkg\nLinuxスキャン\nで追加されるソフトウェア\n(例 openssl)\nwindowsPkg\nWindowsスキャン\nで追加されるソフトウェア\n(例 Microsoft Edge)\ncpe\nCPEスキャン\nで追加されるソフトウェア\n(例 cpe:/o:fortinet:fortios:5.4.6)\ngithubPkg\nGitHubリポジトリスキャン\nで追加されるソフトウェア\n(例 Django)\nlibraryPkg\n依存ライブラリスキャン\nなどで追加されるソフトウェア\n(例 github.com/google/uuid)\nawsLambdaPkg\nAWS Lambda脆弱性スキャン\nで追加されるソフトウェア\n(例 github.com/moov-io/signedxml)\nwordpressPkg\nWordpressスキャン\nで追加されるソフトウェア\n(例 twenty twenty)\nこれまでは、ソフトウェアが脆弱性の対象外となった場合にのみタスクコメントが自動的に追加されていました。\nそのため、新たに検知対象になったソフトウェアについてはタスクコメントに表示されず、いつ検知され、いつ解消されたのかを時系列で把握しづらいという課題がありました。\n今回のアップデートにより、以下の場合にもタスクコメントが追加されるように変更し、ソフトウェアの状況をより把握しやすくしました。\n新規に検知された脆弱性の対象ソフトウェア\n既存の脆弱性情報が更新され、新たにソフトウェアが検知対象となった場合\nオーガニゼーション設定のメンバ一覧で各ユーザのグループセット所属状況を確認可能に\n#\n本機能は CSIRT プランのみ対象です。\nオーガニゼーション設定 > メンバ\nにおいて、それぞれのユーザがどのグループセットに所属しているかを確認できるようになりました。\nフィルタ条件の保持機能を追加\n#\n脆弱性・サーバ・タスクなど各種一覧のフィルタ条件を、画面遷移やログアウト後にも保持できるようになりました。\nこれまでは列の並びやソート状態のみ保持し、フィルタ条件は画面遷移時にリセットされる仕様でしたが、フィルタ条件を保持したいという要望に応え、一覧上部に配置した\nフィルタ保存\nボタンで「保持する/保持しない」の切り替えが可能になりました。\n優先度表記の変更をエクスポート機能にも反映\n#\nオーガニゼーション設定で優先度の表示名を上書きした際、脆弱性・タスク一覧の「エクスポート」から出力される CSV ファイルにも、その表示名が反映されるようになりました。\nFutureVuls APIのタスク一覧取得にEPSSスコア項目を追加\n#\nこれまで EPSS スコアは脆弱性詳細 API などでのみ確認可能でしたが、今回のアップデートにより、\ngetTaskList\nと\ngetGroupSetTaskList\nのレスポンスで\nepssScore\n/\nepssPercentile\nを取得できるようになりました。\nソフトウェアに補足情報を登録可能に\n#\nFutureVuls に登録されている「サーバ > ソフトウェア」それぞれに対して、補足情報を登録できるようになりました。\nまた、FutureVuls API からも補足情報を登録できます。詳細は\nFutureVuls API\nをご参照ください。\nMicrosoft Teams のマニュアルを最新化\n#\nWebhook の更新に関する追記\n#\n期限:\n2025年1月末をもって、更新されていない webhook URL は無効となります。詳細は\nMicrosoft からのお知らせ\nをご覧ください。\n対応:\n2025年2月以降も通知を受け取り続けるため、\n新しい webhook URL への更新方法\nを\nTeamsのマニュアルページ\nに追記しました。必要に応じて手順をご参照のうえ、更新をお願いいたします。\n最新の UI に対応\n#\n背景:\nTeams の UI が更新されたことで、マニュアルの画面表示と実際の UI に差異が生じていました。\n対応:\n2025年2月時点の最新 UI にあわせて、マニュアルの設定手順を更新しました。\n今後のリリース予定（Microsoft Teams関連）\n#\nコネクタサービスの廃止:\n2025年末をもってコネクタサービス (webhook URL) が廃止される予定です。今後は Microsoft Teams への通知を workflow に移行することが推奨されています。(\nMicrosoft からのお知らせ\n参照)\n移行時期:\n現在、Microsoft 側の workflow 仕様に起因する問題から、すぐに移行できない状況です。Microsoft による修正後、FutureVuls 側でも対応を予定しています。\n次回以降のリリース:\nコネクタ webhook URL から workflow への移行に関する詳細は、今後のリリースでマニュアルやサービス仕様とあわせてご案内する予定です。\nお問い合わせ時に役立つ「トレースID」が表示されるように\n#\nスキャン履歴画面や、エラー発生時のダイアログ上に「トレース ID」が表示されるようになりました。\nユーザサポートへ不具合等をお問い合わせいただく際に「トレース ID」をご入力いただくと、よりスムーズなサポートをご提供しやすくなりますので、ぜひご活用ください。\nその他のお問い合わせ時のコツについては「\nこちら\n」をご参照ください。\nその他変更\n#\nSAML IdP 登録時のメタデータファイルサイズ上限を緩和\n#\nSAML IdP 登録時にアップロードできるメタデータファイルの上限サイズを、10KB から 100KB に緩和しました。\nロール名の長さの上限を緩和\n#\nロール名の上限文字数を、従来の25文字から100文字に拡大しました。\nパスワードポリシーの強化\n#\nアカウントセキュリティをさらに高めるため、パスワードポリシーを更新しました。\n項目\nBefore\nAfter\nパスワードの最小文字数\n8文字\n10文字\nパスワードの再利用\n制限なし\n過去5回分のパスワードは再利用不可\nSSMアップデートコマンドの変更\n#\nAWS 連携による「\nSSMアップデート\n」コマンドの一部を更新しました。\nSSMドキュメント\nBefore\nAfter\nFutureVulsDryRunDnfPackage\ndnf install {{name}} --assumeno \\|\\| true\ndnf update {{name}} --assumeno \\|\\| true\nSSMドキュメントの更新方法\n#\n以下手順により、SSM アップデートコマンドの最新化をお願いします。\n以下の IAM ポリシーを任意の EC2サーバアタッチする\n{\n\"Version\"\n:\n\"2012-10-17\"\n,\n\"Statement\"\n:\n[\n{\n\"Sid\"\n:\n\"AllowCreateDeleteSSMDocument\"\n,\n\"Effect\"\n:\n\"Allow\"\n,\n\"Action\"\n:\n[\n\"ssm:CreateDocument\"\n,\n\"ssm:DeleteDocument\"\n],\n\"Resource\"\n:\n\"*\"\n}\n]\n}\nポリシーをアタッチした EC2サーバ内で下記コマンドを実行する\ncurl\n-s\nhttps://s3-ap-northeast-1.amazonaws.com/vuls-public-file/FutureVulsSSMPkgSetting.sh\n|\nVULS_AWS_REGION\n=\nap-northeast-1\nbash\nAWS アカウントにログイン後、\nAWS Systems Manager > ドキュメント > 自己所有\nに移動し、\nFutureVulsDryRunDnfPackage\nで検索する\nFutureVulsDryRunDnfPackage\nの\nコンテンツ\nに、以下の定義が表示されることを確認する\nschemaVersion\n:\n'2.2'\ndescription\n:\n'FutureVuls:\nDry-Run\nUpdate\nthe\nlatest\nversion\nor\nspecified\nversion\nof\na\npackage.'\nparameters\n:\nname\n:\ndescription\n:\n'(Required)\nThe\npackage\nto\ndry-run\nupdate.'\ntype\n:\n'String'\nallowedPattern\n:\n'^[a-zA-Z0-9].*'\nmainSteps\n:\n-\naction\n:\n'aws:runShellScript'\nname\n:\n'FutureVulsDryRunDnfPackage'\ninputs\n:\nrunCommand\n:\n-\n'dnf\nupdate\n{{name}}\n--assumeno\n||\ntrue'\n以上が今回のアップデート内容となります。詳細については各リンク先のマニュアルをご確認のうえ、ご活用ください。",
      "date_published": "2025-02-05T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2025-02-05"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-beta1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v2.0.0-beta1",
      "title": "[OSV-Scanner] v2.0.0-beta1",
      "content_text": "## Changelog\r\n\r\nThe first beta of OSV-Scanner V2 is here! This beta release introduces significant enhancements, including refactored dependency extraction capabilities, container image scanning, and guided remediation for Maven.\r\n\r\nThis beta release does _not_ introduce any breaking CLI changes and the beta period is expected to last approximately one month. However, as this is a beta release, there may be breaking changes breaking changes in the final release compared to the first beta.\r\n\r\nGitHub Action based on OSV-Scanner V2 is also coming soon - stay tuned!\r\n\r\nWe encourage you to try out these new features and would appreciate any feedback you might have on our discussion topics:\r\n\r\n- [General V2 feedback](https://github.com/google/osv-scanner/discussions/1529)\r\n- [Container scanning feedback](https://github.com/google/osv-scanner/discussions/1521)\r\n\r\n### Layer and base image-aware container scanning\r\n\r\nA significant new feature is a rewritten, layer-aware container scanning support for Debian, Ubuntu, and Alpine container images. OSV-Scanner can now analyze container images to provide:\r\n\r\n- Layers where a package was first introduced\r\n- Layer history and commands\r\n- Base images the image is based on\r\n- OS/Distro the container is running on\r\n\r\nThis layer analysis leverages [OSV-Scalibr](https://github.com/google/osv-scalibr), and supports the following OSes and languages:\r\n| Distro Support | Language Artifacts Support |\r\n| -------------- | -------------------------- |\r\n| Alpine OS | Go |\r\n| Debian | Java |\r\n| Ubuntu | Node |\r\n| | Python |\r\n\r\nBase image identification also leverages a new experimental API provided by https://deps.dev.\r\n\r\nFor usage, run the new `scan image` command:\r\n\r\n```\r\nosv-scanner scan image <image-name>:<tag>\r\n```\r\n\r\nCheck out our [documentation](https://google.github.io/osv-scanner/usage/scan-image) for more details.\r\n\r\n### Interactive HTML output\r\n\r\nA new, interactive HTML output is now available. This provides a lot more interactivity and information compared to terminal only outputs, including:\r\n\r\n- Severity breakdown\r\n- Package and ID filtering\r\n- Vulnerability importance filtering\r\n- Full vulnerability advisory entries\r\n\r\nAnd additionally for container image scanning:\r\n\r\n- Layer filtering\r\n- Image layer information\r\n- Base image identification\r\n\r\n![Screenshot of HTML output for container image scanning](./docs/images/html-container-output.png)\r\n\r\n### Guided Remediation for Maven pom.xml\r\n\r\nLast year we released a feature called [guided remediation](https://osv.dev/blog/posts/announcing-guided-remediation-in-osv-scanner/) for npm. We have now expanded support to Maven pom.xml.\r\n\r\nWith guided remediation support for Maven, you can remediate vulnerabilities in both direct and transitive dependencies through direct version updates or overriding versions through dependency management.\r\n\r\nWe’ve introduced a few new features for our Maven support:\r\n\r\n- A new remediation strategy `override` is introduced.\r\n- Support for reading and writing pom.xml files, including writing changes to local parent pom files.\r\n- Private registry can be specified to fetch Maven metadata.\r\n\r\nThe guided remediation support for Maven is only available in the non-interactive mode. For basic usage, run the following command:\r\n\r\n```\r\nosv-scanner fix --non-interactive --strategy=override -M path/to/pom.xml\r\n```\r\n\r\nWe also introduced machine readable output for guided remediation that makes it easier to integrate guided remediation into your workflow.\r\n\r\nFor more usage details on guided remediation, please see our [documentation](https://google.github.io/osv-scanner/experimental/guided-remediation/).\r\n\r\n### Enhanced Dependency Extraction with `osv-scalibr`\r\n\r\nWith the help from [OSV-Scalibr](https://github.com/google/osv-scalibr), we now also have expanded support for the kinds of dependencies we can extract from projects and containers:\r\n\r\n#### Source manifests and lockfiles\r\n\r\n- Haskell: `cabal.project.freeze`, `stack.yaml.lock`\r\n- .NET: `deps.json`\r\n- Python: `uv.lock`\r\n\r\n#### Artifacts\r\n\r\n- node_modules\r\n- Python wheels\r\n- Java uber jars\r\n- Go binaries\r\n\r\nThe full list of supported formats can be found [here](https://google.github.io/osv-scanner/supported-languages-and-lockfiles/).\r\n\r\nThe first beta doesn’t enable every single extractor currently available in OSV-Scalibr today. We’ll continue to add more leading up to the final 2.0.0 release.\r\n\r\nOSV-Scalibr also makes it incredibly easy to add new extractors. Please file a [feature request](https://github.com/google/osv-scalibr/issues) if a format you’re interested in is missing!\r\n\r\n\r\n## New Contributors\r\n* @ivmeta made their first contribution in https://github.com/google/osv-scanner/pull/1327\r\n* @janniclas made their first contribution in https://github.com/google/osv-scanner/pull/1398\r\n* @VishalGawade1 made their first contribution in https://github.com/google/osv-scanner/pull/1390\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.9.1...v2.0.0-beta1",
      "date_published": "2025-01-30T00:20:39Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v2.0.0-beta1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.1",
      "title": "[Dependency-Check] Version 12.0.1",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:09:45Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v12.0.1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v12.0.0",
      "title": "[Dependency-Check] Version 12.0.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:09:24Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v12.0.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.1.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.1.1",
      "title": "[Dependency-Check] Version 11.1.1",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:09:02Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v11.1.1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.1.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.1.0",
      "title": "[Dependency-Check] Version 11.1.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:08:40Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v11.1.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.0.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v11.0.0",
      "title": "[Dependency-Check] Version 11.0.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:08:18Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v11.0.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.4",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.4",
      "title": "[Dependency-Check] Version 10.0.4",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:07:58Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v10.0.4"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.3",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.3",
      "title": "[Dependency-Check] Version 10.0.3",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:07:38Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v10.0.3"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.2",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.2",
      "title": "[Dependency-Check] Version 10.0.2",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:07:17Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v10.0.2"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.1",
      "title": "[Dependency-Check] Version 10.0.1",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:06:56Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v10.0.1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v10.0.0",
      "title": "[Dependency-Check] Version 10.0.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:06:35Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v10.0.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.2.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.2.0",
      "title": "[Dependency-Check] Version 9.2.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:06:13Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.2.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.1.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.1.0",
      "title": "[Dependency-Check] Version 9.1.0",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:05:51Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.1.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.10",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.10",
      "title": "[Dependency-Check] Version 9.0.10",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:05:29Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.10"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.9",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.9",
      "title": "[Dependency-Check] Version 9.0.9",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:05:07Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.9"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.8",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.8",
      "title": "[Dependency-Check] Version 9.0.8",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:04:42Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.8"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.7",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.7",
      "title": "[Dependency-Check] Version 9.0.7",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:04:20Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.7"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.6",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.6",
      "title": "[Dependency-Check] Version 9.0.6",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:04:00Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.6"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.5",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.5",
      "title": "[Dependency-Check] Version 9.0.5",
      "content_text": "Refer to the [CHANGELOG.md](https://github.com/dependency-check/DependencyCheck/blob/main/CHANGELOG.md#change-log) for information about improvements and upgrade notes.",
      "date_published": "2025-01-24T13:03:39Z",
      "tags": [
        "other"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.5"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.4",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.4",
      "title": "[Dependency-Check] Version 9.0.4",
      "content_text": "- fix: utilize maven proxy if present (#6255)\n- fix: allow api key in cli to be quoted (#6253)\n- fix: use correct maven plugin reporting plugin (#6244)\n- fix: correct trailing comma in JSON report (#6245)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/74?closed=1).",
      "date_published": "2025-01-24T13:03:17Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.4"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.3",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.3",
      "title": "[Dependency-Check] Version 9.0.3",
      "content_text": "- fix: use Java properties for proxy configuration (#6238)\n- docs: update proxy configuration documentation (#6237)\n- docs: add documentation on caching (#6204)\n- docs: Clarify H2 database caching strategy (#6220)\n- docs: Update list of supported report formats (#6224)\n- docs: example 5 with new nvdDatafeedUrl parameter (#6215)\n- fix: prevent NPEs (#6232 and #6206)\n- fix: check valid for hours for NVD API (#6225)\n- fix: correct NVD cache last checked logic (#6218)\n- fix: nvd datafeed should process current year (#6213)\n- fix: correct references to cvssv2 and cvssv3 fields in json and xml reports (#6212)\n- fix: correct name on reference links in report (#6205)\n- fix: flaws int the gitlab report (#6193)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/73?closed=1).",
      "date_published": "2025-01-24T13:02:55Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.3"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.2",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.2",
      "title": "[Dependency-Check] v9.0.2",
      "content_text": "- fix: remove virtual match string on NVD API Request (#6177)\r\n- fix: correct meta data in report after switching the NVD API (#6154)\r\n- fix: retry HTTP connections to NVD on 502 and 504 errors (#6151)\r\n- fix: Gitlab report format needs severity capitalized (#6182)\r\n- fix: improve JDK update version parsing (#6163)\r\n- fix: mute JCS logging (again) (#6153)\r\n\r\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/72?closed=1).",
      "date_published": "2025-01-24T13:02:33Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.2"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.1",
      "title": "[Dependency-Check] Version 9.0.1",
      "content_text": "- fix: check java 8 update version; minimum JRE is 8 update 251 (#6118)\n- fix: add retry for failed NVD API requests (#6136)\n- docs: add default values to documentation for the NVD API Delay (#6135)\n- chore: Revert \"build(deps): bump com.h2database:h2 from 2.1.214 to 2.2.224\" (#6131)\n  - this is a **breaking change** for anyone that successfully created the H2 database with 9.0.0.\n- fix: mute jcs logging (#6130)\n- docs: update NVD notice (#6110)\n- fix: Use the correct key for NVD API-Key from Maven Settings serverId (#6109)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/71?closed=1).",
      "date_published": "2025-01-24T13:02:12Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v9.0.0",
      "title": "[Dependency-Check] Version 9.0.0",
      "content_text": "**breaking changes**: See the [upgrade notice](https://github.com/dependency-check/DependencyCheck#900-upgrade-notice)\r\n\r\n- feat: Utilize NVD API (#5978)\r\n- feat: gitlab dependency scanner report format #5919 (#5920)\r\n- fix: Use ASCII apostrophe for console message (#6076)\r\n\r\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/68?closed=1).",
      "date_published": "2025-01-24T13:01:49Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v9.0.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.3",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.3",
      "title": "[Dependency-Check] Version 8.4.3",
      "content_text": "- fix: bump jcs3 (#6047)\n- docs: Corrected docs on hostedSuppressions (#6035)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/70?closed=1).",
      "date_published": "2025-01-24T13:01:29Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v8.4.3"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.2",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.2",
      "title": "[Dependency-Check] Version 8.4.2",
      "content_text": "- fix: correct log configuration in cli (#6002)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/69?closed=1).",
      "date_published": "2025-01-24T13:01:07Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v8.4.2"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.1",
      "title": "[Dependency-Check] Version 8.4.1",
      "content_text": "- fix: upgrade to JCS3 (#5114)\n- fix: Support ~= version specifier in requirements.txt and pipfile (#5902)\n- fix: Version of dependency no longer ignored when CPE product has a 'java' suffix in a product name (#5901)\n- fix: Do not filter out evidences added by hints (#5900)\n- fix: fixes FP #5925 (#5927)\n\nSee the full listing of [changes](https://github.com/dependency-check/DependencyCheck/milestone/67?closed=1).",
      "date_published": "2025-01-24T13:00:47Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v8.4.1"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.0",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.4.0",
      "title": "[Dependency-Check] Version 8.4.0",
      "content_text": "### Added\n\n- feat: Add support for Nexus v3 to NexusAnalyzer (#5849)\n\n### Fixed\n\n- fix: Hint Analyzer should run before VersionFilter Analyzer (#5818)\n- chore: switch to sha1-pinning as suggested by Semgrep\n- fix: OSS Index Analyzer SocketTimeoutException exception handling based on warn only parameter (#5845)\n- fix: use curl with -L to follow github redirect (#5808)\n- fix: use curl with -L to follow github redirect\n- fix: #5671 out of memory error (#5789)\n- fix: #5671 Exit method as soon as we detect a loop to prevent an infinite loop leading to an OutOfMemoryError",
      "date_published": "2025-01-24T13:00:26Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "dependency-check",
      "_version": "v8.4.0"
    },
    {
      "id": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.3.1",
      "url": "https://github.com/jeremylong/DependencyCheck/releases/tag/v8.3.1",
      "title": "[Dependency-Check] Version 8.3.1",
      "content_text": "Re-release of 8.3.0 as 8.3.1.",
      "date_published": "2025-01-24T13:00:04Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "dependency-check",
      "_version": "v8.3.1"
    },
    {
      "id": "https://yamory.io/news/azure_scan",
      "url": "https://yamory.io/news/azure_scan",
      "title": "[Yamory] クラウドアセットスキャン機能の対応範囲を拡張",
      "content_text": "クラウドアセットスキャン機能の対応範囲を拡張",
      "date_published": "2025-01-24T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2025-01-24"
    },
    {
      "id": "https://yamory.io/news/sakicorporation",
      "url": "https://yamory.io/news/sakicorporation",
      "title": "[Yamory] 株式会社サキコーポレーション様がyamoryを導入",
      "content_text": "株式会社サキコーポレーション様がyamoryを導入",
      "date_published": "2024-12-23T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-12-23"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.9.2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.9.2",
      "title": "[OSV-Scanner] v1.9.2",
      "content_text": "## Changelog\r\n\r\n### Fixes:\r\n\r\n- [Bug #1327](https://github.com/google/osv-scanner/pull/1327) Parsing crash on malformed pnpm lockfile.\r\n- [Bug #1377](https://github.com/google/osv-scanner/pull/1377) Warn if a vulnerability is ignored multiple times in the same config.\r\n- [Bug #1394](https://github.com/google/osv-scanner/pull/1394) Guided remediation: handle extraneous/missing packages in package-lock.json more leniently.\r\n- [Bug #1443](https://github.com/google/osv-scanner/issues/1443) Go call analysis now works with Go version up to v1.23.4.\r\n- [Bug #1436](https://github.com/google/osv-scanner/pull/1436) Only fetch Maven snapshots and releases when enabled.\r\n- [Bug #1456](https://github.com/google/osv-scanner/pull/1456) Remove redundant calls from PreFetch.\r\n\r\n## New Contributors\r\n* @ivmeta made their first contribution in https://github.com/google/osv-scanner/pull/1327\r\n* @janniclas made their first contribution in https://github.com/google/osv-scanner/pull/1398\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.9.1...v1.9.2",
      "date_published": "2024-12-19T04:02:55Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.9.2"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.28.1",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.28.1",
      "title": "[Vuls] v0.28.1",
      "content_text": "## What's Changed\r\n* feat(config/os): update eol by @MaineK00n in https://github.com/future-architect/vuls/pull/2085\r\n* fix(detector/gost/ubuntu): detection logic when esm etc. are mixed by @MaineK00n in https://github.com/future-architect/vuls/pull/2090\r\n* chore(deps): bump github.com/CycloneDX/cyclonedx-go from 0.9.1 to 0.9.2 by @dependabot in https://github.com/future-architect/vuls/pull/2089\r\n* chore(deps): bump github.com/aws/aws-sdk-go-v2/service/s3 from 1.70.0 to 1.71.0 in the aws group by @dependabot in https://github.com/future-architect/vuls/pull/2078\r\n* chore(deps): bump golang.org/x/sync from 0.9.0 to 0.10.0 by @dependabot in https://github.com/future-architect/vuls/pull/2080\r\n* chore(deps): bump golang.org/x/crypto from 0.28.0 to 0.31.0 by @dependabot in https://github.com/future-architect/vuls/pull/2088\r\n* chore(deps): bump golang.org/x/text from 0.20.0 to 0.21.0 by @dependabot in https://github.com/future-architect/vuls/pull/2081\r\n* fix(scanner/redhatbase): don't return error when parse failure of source file by @shino in https://github.com/future-architect/vuls/pull/2092\r\n* fix(scanner/suse): skip table header in zypper -q lu by @MaineK00n in https://github.com/future-architect/vuls/pull/2093\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.28.0...v0.28.1",
      "date_published": "2024-12-18T16:56:57Z",
      "tags": [
        "other"
      ],
      "_tool_id": "vuls",
      "_version": "v0.28.1"
    },
    {
      "id": "https://yamory.io/news/hokendohjin-frontier",
      "url": "https://yamory.io/news/hokendohjin-frontier",
      "title": "[Yamory] 株式会社保健同人フロンティア様がyamoryを導入",
      "content_text": "株式会社保健同人フロンティア様がyamoryを導入",
      "date_published": "2024-12-18T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-12-18"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20241216/",
      "url": "https://help.vuls.biz/releasenotes/20241216/",
      "title": "[FutureVuls] 2024-12-16",
      "content_text": "2024-12-16 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2024年12月16日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.28.0\nVersion: 2024/02\nWindows用\nvuls v0.25.2\n[NEW]\nVersion: 2024/12\nTrivy\n[NEW] 0.57.1\n2024/04\nRedHat系の脆弱性検知方法の変更とスキャナ変更\n#\n検知の変更点1: 主なもの\n#\nAlmaLinux OS および Rocky Linux の検知に使う脆弱性情報を、それぞれの開発元が提供する情報に切り替えました。\nこれまでは Red Hat 社が提供する Red Hat Enterprise Linux 向けの脆弱性情報を流用する形で検知していたため、本リリースにより大きな差分が発生することがありえます。開発元の情報に切り替えたため、本リリース後の検知結果がより正確なものになります。\nAlmaLinux OS\nerrata ページ\nhttps://errata.almalinux.org/\nドキュメント\nhttps://wiki.almalinux.org/documentation/errata.html\nRocky Linux\nerrata ページ\nhttps://errata.rockylinux.org/\nドキュメント\nhttps://wiki.rockylinux.org/rocky/errata/\n検知の変更点2: バグ修正\n#\nOracle Linux の検知において、FIPS 関連パッケージの脆弱性が誤って検知されるバグを修正しました。\n具体的には、バージョン文字列に \"_fips\" を含まないパッケージは FIPS 関連パッケージの脆弱性は検知しないようになります。\nまた、バージョン文字列に \"_fips\" を含むパッケージは FIPS 関連パッケージの脆弱性のみを検知するようになります。\nRed Hat Enterprise Linux の検知において、バージョン比較におけるバグを修正しました。\n具体的な例としては、\"2.28-251.el8_10.5\" 、\"el8_\" とそれに続く数字が無視された状態の \"2.28-251.el8.5\" として比較されてしまっていた問題です。本リリースでは元のバージョン文字列を使うよう修正されました。\nOVAL データの曖昧性に起因する検知差異\nRed Hat Enterprise Linux の検知において、Red Hat 社が提供する OVAL フォーマットの脆弱性情報に、パッケージ修正ステータスが複数含まれる場合があります。\n例えば修正ステータスとして \"Affected\" (影響あり) と \"Will not fix\" (修正を行わない) の2つが含まれる場合、本リリースの前後で、Future Vuls において脆弱性と検知されなくなる問題が分かっています。\nこれは OVAL フォーマットの情報が曖昧であることが原因である、Red Hat 社が提供する別のフォーマットである CSAF を利用することで解決できる可能性があり、より良い検知結果を得るために鋭意対応中です。\nスキャナの変更点\n#\n前述のとおり、Red Hat Enterprise Linux では CSAF フォーマットの脆弱性情報を利用する変更を計画中であり、近日中にリリース予定です。\nこの情報を使った脆弱性検知では、バイナリパッケージに加えて、ソースパッケージの名称とバージョン情報が必要になります。そのため、スキャナにソースパッケージの名称を取得する機能を追加しました。\n対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Oracle Linux, Rocky Linux, AlmaLinux OS, Fedora Linux, open SUSE, SUSE Leap, SUSE Enterprise    です。\nこれに伴い、ペーストスキャンのコマンドも変更になります。\n対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Rocky Linux, AlmaLinux OS, Fedora Linux,\nopen SUSE, SUSE Leap, SUSE Enterprise です。\n対象となるサーバについては、画面の指示に従い、できるだけ早く構成情報を更新いただくことを推奨します。\n新機能：Amazon Inspector SBOMのインポート\n#\nAmazon Inspectorにより出力されたSBOM\nのインポートに対応しました。\n既存の\nAmazon Inspector連携\nでは、脆弱性のないソフトウェアは FutureVuls には登録されませんでしたが、Amazon Inspector からエクスポートした SBOM を FutureVuls にインポートすることにより、脆弱性のないソフトウェアも資産管理することが可能になります。\nSBOM インポート機能の詳細は以下のマニュアルを参照してください。\nサーバのSBOMインポート\nアプリケーションのSBOMインポート\nスキャン方法の選択肢と特徴\nSSVC最新更新日時をAPIでとれるように\n#\nFutureVuls API から取得できるタスクの項目に、\nssvcUpdatedAt（SSVC最新更新日時）\nを追加し、日付でのフィルタできるようになりました。\n（RFC3339形式で UTC 時刻を指定する仕様となっております。）\n対象 API\nv1/groupSet/tasks\n利用例\n#\nフィルタなしの場合\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/groupSet/tasks?limit=1000\"\n日本時間の\n2024年10月17日「以降」\nに SSVCPriority が更新されたタスクを取得したい（以下では UTC 時刻である2024年10月16日15時00分を指定）\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z\"\n# ex. タスク数をカウントしたい場合\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z\"\n|\njq\n.tasks\n[]\n.newedAt\n|\nwc\n-l\n日本時間の\n2024年10月17日「以前」\nに SSVCPriority が更新されたタスクを取得したい（以下では UTC 時刻である2024年10月16日15時00分を指定）\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/groupSet/tasks?filterSSVCUpdatedAtBefore=2024-10-16T15:00:00Z\"\n日本時間の\n2024年10月17日から2024年10月23日の間\nに SSVCPriority が更新されたタスクを取得したい（以下では UTC 時刻である2024年10月16日15時00分と2024年10月22日15時00分を指定）\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z&filterSSVCUpdatedAtBefore=2024-10-22T15:00:00Z\"\nAPIドキュメント\nで詳細な Response を確認できます。\nTrivy スキャンの際に発生していた rate limit に関する問題を緩和\n#\nTrivy スキャンを実行する際に発生する Trivy イメージを pull する操作が、rate limit 問題によって失敗するケースが散見されていました。\nFutureVuls ではスキャン時に利用する Trivy のバージョンを 0.57.1 に引き上げることで問題を緩和しています。\n（ Trivy の公式アナウンスは\nこちら\n）\nグループ単位で登録可能なサーバ数の上限を設定できるように\n#\nグループごとに登録可能なサーバ数の上限を設定できるようになりました。\nこの機能を利用することで、グループ内に想定数以上のサーバが追加されることを防ぐことができ、意図しないライセンス数の消費を防止できるようになります。\n画面操作について紹介\n#\nサーバ数上限は\nオーナ権限のユーザのみ\nが設定・変更可能です。\n「オーガニゼーション設定」>「グループ」から各グループのサーバ数上限を変更いただけます。\nまた、「サーバタブ」>「サーバ追加」をご確認いただくことで、グループ管理者やグループメンバが設定値を参照できます。\n画面操作のマニュアルについて\nこちら\nにも記載しています。\n最新情報についてはマニュアルをご参照ください。\nFutureVuls API について紹介\n#\nグループごとのサーバ上限数を便利に更新可能な FutureVuls API （\n[PUT] /v1/org/group/{groupID}\n）も同時に公開いたしました。\n詳しくは\nオーガニゼーションAPI一覧\nをご確認ください。\n対象 API の Swagger ドキュメントについては\nこちら\nをご確認ください。\nグループセットのタスク一覧に外部スキャンのフィルタを追加\n#\nグループセットのタスク一覧で外部スキャンのフィルタを追加しました。\n外部スキャンで登録された対象のタスクをフィルタして抽出できます。\nWindowsペーストサーバ構成更新時のカーネルバージョン未変更警告を追加\n#\nWindows Update 後に構成情報を更新する際、カーネルバージョンが変更されていない場合に警告を表示するようにしました。これにより、適用済み KB の判別ミスを防ぎます。",
      "date_published": "2024-12-16T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-12-16"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.28.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.28.0",
      "title": "[Vuls] v0.28.0",
      "content_text": "## What's Changed\r\n* feat(contrib/snmp2cpe): add --port/-P option by @MaineK00n in https://github.com/future-architect/vuls/pull/2046\r\n* feat(scanner/windows): support Windows 11 24H2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2051\r\n* fix(gost/windows): ignore other products that do not have KBs by @MaineK00n in https://github.com/future-architect/vuls/pull/2054\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.56.1 to 0.56.2 by @dependabot in https://github.com/future-architect/vuls/pull/2049\r\n* chore(deps): bump the aws group across 1 directory with 5 updates by @dependabot in https://github.com/future-architect/vuls/pull/2052\r\n* feat(ubuntu): add 24.10 oracular by @MaineK00n in https://github.com/future-architect/vuls/pull/2055\r\n* chore(deps): bump github.com/golang-jwt/jwt/v4 from 4.5.0 to 4.5.1 by @dependabot in https://github.com/future-architect/vuls/pull/2058\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.56.2 to 0.57.0 by @dependabot in https://github.com/future-architect/vuls/pull/2057\r\n* chore(deps): bump the aws group across 1 directory with 5 updates by @dependabot in https://github.com/future-architect/vuls/pull/2060\r\n* feat(scanner/windows): add Windows Server 2025 and 2022, 23H2 by @MaineK00n in https://github.com/future-architect/vuls/pull/2059\r\n* feat(oval/oracle): ignore fips patched version for non fips package versions by @wagde-orca in https://github.com/future-architect/vuls/pull/2047\r\n* chore(deps): bump golang.org/x/text from 0.19.0 to 0.20.0 by @dependabot in https://github.com/future-architect/vuls/pull/2061\r\n* chore(deps): bump golang.org/x/oauth2 from 0.23.0 to 0.24.0 by @dependabot in https://github.com/future-architect/vuls/pull/2063\r\n* fix(scanner/debian): fill kernel version from kernel package by @MaineK00n in https://github.com/future-architect/vuls/pull/2064\r\n* feat(scanner): skip SSH configuration validation when ssh-key(scan|gen) failed by @MaineK00n in https://github.com/future-architect/vuls/pull/2065\r\n* chore(deps): bump github.com/Azure/azure-sdk-for-go/sdk/storage/azblob from 1.4.1 to 1.5.0 by @dependabot in https://github.com/future-architect/vuls/pull/2068\r\n* chore(deps): bump the aws group across 1 directory with 5 updates by @dependabot in https://github.com/future-architect/vuls/pull/2069\r\n* chore(deps): bump github.com/aquasecurity/trivy from 0.57.0 to 0.57.1 by @dependabot in https://github.com/future-architect/vuls/pull/2067\r\n* refactor: remove old buildtag by @MaineK00n in https://github.com/future-architect/vuls/pull/2072\r\n* feat!(scanner/rpm): change queryformat (add sourcerpm) by @MaineK00n in https://github.com/future-architect/vuls/pull/2074\r\n* chore(deps): bump the aws group with 5 updates by @dependabot in https://github.com/future-architect/vuls/pull/2073\r\n\r\n\r\n**Full Changelog**: https://github.com/future-architect/vuls/compare/v0.27.0...v0.28.0",
      "date_published": "2024-12-08T08:38:28Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "vuls",
      "_version": "v0.28.0"
    },
    {
      "id": "https://yamory.io/news/isms",
      "url": "https://yamory.io/news/isms",
      "title": "[Yamory] ISMS認証「ISO/IEC 27001」取得のお知らせ",
      "content_text": "ISMS認証「ISO/IEC 27001」取得のお知らせ",
      "date_published": "2024-12-02T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-12-02"
    },
    {
      "id": "https://yamory.io/news/hybridscan",
      "url": "https://yamory.io/news/hybridscan",
      "title": "[Yamory] 「クラウドアセットスキャン機能」をアップデート",
      "content_text": "「クラウドアセットスキャン機能」をアップデート",
      "date_published": "2024-11-28T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-11-28"
    },
    {
      "id": "https://yamory.io/news/primenumber",
      "url": "https://yamory.io/news/primenumber",
      "title": "[Yamory] 株式会社primeNumber様がyamoryを導入",
      "content_text": "株式会社primeNumber様がyamoryを導入",
      "date_published": "2024-11-19T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-11-19"
    },
    {
      "id": "https://yamory.io/news/kddibusinessid",
      "url": "https://yamory.io/news/kddibusinessid",
      "title": "[Yamory] 「KDDI Business ID」のSSO認証に対応",
      "content_text": "「KDDI Business ID」のSSO認証に対応",
      "date_published": "2024-11-14T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-11-14"
    },
    {
      "id": "https://yamory.io/news/zdnet_yamory2",
      "url": "https://yamory.io/news/zdnet_yamory2",
      "title": "[Yamory] 「ZDNET Japan」でプロダクトオーナーの鈴木が執筆する連載記事の第2回が公開されました",
      "content_text": "「ZDNET Japan」でプロダクトオーナーの鈴木が執筆する連載記事の第2回が公開されました",
      "date_published": "2024-11-14T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-11-14"
    },
    {
      "id": "https://yamory.io/news/edgetech2024",
      "url": "https://yamory.io/news/edgetech2024",
      "title": "[Yamory] 「EdgeTech+ 2024」出展および登壇のお知らせ",
      "content_text": "「EdgeTech+ 2024」出展および登壇のお知らせ",
      "date_published": "2024-11-12T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-11-12"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.9.1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.9.1",
      "title": "[OSV-Scanner] v1.9.1",
      "content_text": "OSV-Scanner v2 is coming soon! The next release will start with version `v2.0.0-alpha1`.\r\n\r\nHere's a peek at some of the exciting upcoming features:\r\n\r\n- Standalone container image scanning support.\r\n  - Including support for Alpine and Debian images.\r\n- Refactored internals to use [`osv-scalibr`](https://github.com/google/osv-scalibr) library for better extraction capabilities.\r\n- HTML output format for clearer vulnerability results.\r\n- More control over output format and logging.\r\n- ...and more!\r\n\r\nImportantly, the CLI interface of osv-scanner will be maintained with minimal breaking changes.\r\nMost breaking changes will only be in the API. More details in the upcoming alpha release.\r\n\r\n---\r\n\r\nThis is the final feature v1 release of osv-scanner, future releases for v1 will only contain bug fixes.\r\n\r\n# v1.9.1\r\n\r\n### Features:\r\n\r\n- [Feature #1295](https://github.com/google/osv-scanner/pull/1295) Support offline database in fix subcommand.\r\n- [Feature #1342](https://github.com/google/osv-scanner/pull/1342) Add `--experimental-offline-vulnerabilities` and `--experimental-no-resolve` flags.\r\n- [Feature #1045](https://github.com/google/osv-scanner/pull/1045) Support private registries for Maven.\r\n- [Feature #1226](https://github.com/google/osv-scanner/pull/1226) Support `vulnerabilities.ignore` in package overrides.\r\n\r\n### Fixes:\r\n\r\n- [Bug #604](https://github.com/google/osv-scanner/pull/604) Use correct path separator in SARIF output when on Windows.\r\n- [Bug #330](https://github.com/google/osv-scanner/pull/330) Warn about and ignore duplicate entries in SBOMs.\r\n- [Bug #1325](https://github.com/google/osv-scanner/pull/1325) Set CharsetReader and Entity when reading pom.xml.\r\n- [Bug #1310](https://github.com/google/osv-scanner/pull/1310) Update spdx license ids.\r\n- [Bug #1288](https://github.com/google/osv-scanner/pull/1288) Sort sbom packages by PURL.\r\n- [Bug #1285](https://github.com/google/osv-scanner/pull/1285) Improve handling if `docker` exits with a non-zero code when trying to scan images\r\n\r\n### API Changes:\r\n\r\n- Deprecate auxillary public packages: As part of the V2 update described above, we have started deprecating some of the auxillary packages\r\n  which are not commonly used to give us more room to make better API designs. These include:\r\n  - `config`\r\n  - `depsdev`\r\n  - `grouper`\r\n  - `spdx`\r\n\r\n### Misc\r\n- Update build to go1.23.2\r\n\r\n## New Contributors\r\n* @emmanuel-ferdman made their first contribution in https://github.com/google/osv-scanner/pull/1351\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.9.0...v1.9.1",
      "date_published": "2024-10-31T00:20:54Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.9.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20241021/",
      "url": "https://help.vuls.biz/releasenotes/20241021/",
      "title": "[FutureVuls] 2024-10-21",
      "content_text": "2024-10-21 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2024年10月21日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.26.0-rc2 build-cb26be1\nVersion: 2024/02\nWindows用\nvuls v0.25.2 build-e25ec99\nVersion: 2023/09\nTrivy\n[NEW] 0.55.2\n2024/04\nFutureVulsロゴの変更\n#\nFutureVuls のロゴが新しくなり、クールな印象になりました。\nネットワークスキャンツールやWeb脆弱性診断結果をインポート可能に\n#\nNessus、OpenVAS、Nmap などのネットワークスキャンツールや、ASM（Attack Surface Management）サービス、Web 脆弱性診断レポートを簡単に FutureVuls にインポートして管理できるようになりました。\nユーザメリット\n#\n外部に露出した脆弱性を即座に把握\n#\nFutureVuls で検知した脆弱性の中から、外部に露出しているものを画面上で素早く特定できます。\n外部に露出している脆弱性が、どのサーバやアプリケーションに影響があるのかを、画面上からドリルダウンで確認でき、迅速に対応できるようになります。\nチケットでの一元管理\n#\nインポートしたスキャン結果を FutureVuls のチケット機能で一元管理できます。\n担当者、期限、優先度を設定し、進捗状況や対応履歴をチーム全体で共有できます。\nまた、外部露出した脆弱性が放置されるのを防ぎます。\n自動リスク評価で優先順位の明確化\n#\nFutureVuls の SSVC  (Stakeholder-Specific Vulnerability Categorization) 機能により、インポートしたスキャン結果を自動でリスク評価し、優先順位付けできます。\n詳細な情報の表示\n#\nFutureVuls が保持する脆弱性情報や最新の脅威情報を表示し、より精度の高い対応をサポートします。\n詳しくは「\nマニュアル\n」もご参照ください。\n組織内の脆弱性がランサムウェアで使われているかをチェックする機能を追加\n#\n昨今、企業がランサムウェアの被害を受けるケースが増加しています。ランサムウェア攻撃では VPN の脆弱性や、リモートデスクトップでのリモートコード実行（RCE）を悪用するものが多くあります（\n参考:警察庁サイバー犯罪の現状\n）。\nFutureVuls は、ランサムウェアキャンペーンで悪用されている脆弱性を特定するためにこの機能を追加しました。\n該当する脆弱性は「警戒情報」列でハッカー風のアイコンが表示され、優先対応が必要です。\nまた、「警戒情報」列のフィルタで該当の脆弱性のみを抽出できます。\n脆弱性一覧の「警戒情報」列で表示されるハッカー風のアイコン\n以下のデータソースで公開されている、ランサムウェアキャンペーン情報を利用しています。\nCISA KEVカタログ\nVulnCheck KEV\n詳しくは「\nマニュアル\n」もご参照ください。\nSSVC の判断に利用するデータソースを追加し、決定木の精度を向上\n#\nFutureVuls では、様々なデータソースを利用して SSVC の判断を自動化していますが、今回のリリースで SSVC の精度を向上させるために以下の新たなデータソースを追加しました。\nVulnrichment :\nhttps://github.com/cisagov/vulnrichment\nVulnCheck KEV :\nhttps://vulncheck.com/kev\nMicrosoft Security Response Center(MSRC) :\nhttps://msrc.microsoft.com/\nVulnrichment の利用\n#\nCISA（アメリカ合衆国サイバーセキュリティ・インフラストラクチャ庁）の\nVulnrichment\nプロジェクトは、公開されている CVE 情報を CISA が拡充させた公開リポジトリです。CISA が十分な裏付け情報があると判断した場合に、脆弱性情報が拡充されます。\nVulnrichment には、各 CVE について SSVC Decision Point の Exploitation と Automatable の値が掲載されています。今回のリリースでこの値を SSVC のデータソースとして用いるようになり精度が向上しました。\nVulnCheck KEV の利用\n#\n新たに VulnCheck KEV を SSVC Decision Point の Exploitation のデータソースとして利用することにしました。VulnCheck KEV は CISA KEV に比べて、掲載速度が20日程早い、カバー範囲が広いなどの特徴があります（\n参考\n）。\nMSRC の Exploitability の利用\n#\nMSRC では Microsoft の調査による脆弱性の Exploit 情報を\nExploitability\nとして公開しています。この Exploitability の値を SSVC Decision Point の Exploitation の判断に新たに利用するようにしました。\nExploitability\n説明\nSSVC Exploitation の判断\nDetected\nMicrosoft が Exploit 事例を確認している脆弱性\nActive\nMore Likely\n悪用コードが作成される可能性がある脆弱性、または類似の脆弱性が過去に悪用された事例がある\nPoC\nSSVC (Deployer Tree) のバージョンを2.1にアップデート\n#\nFutureVuls の SSVC の Deployer Tree が最新版であるバージョン2.1にアップデートされました。このアップデートにより、SSVC の設定がさらに簡単になりました。\n変更内容\n説明\nUtility から Automatable へ変更\n2.0では「Utility」は「Value Density」と「Automatable」から決まる指標でしたが、バージョン2.1では「Value Density」は対象から省かれました。\n決定木のシンプル化\n「Utility」から「Automatable」への変更により、決定木がシンプルになり、分岐数が108から72に減少しました。\n機能変更点:\nグループ設定 / ロール設定における SSVC 設定の\nDecision Point\nの設定項目から\nDensity\nが削除され、手動で設定する必要がある項目が3つから2つに減り、設定が簡単になりました。手動設定が必要な項目は\nExposure\nと\nHuman Impact\nのみです。\nGCP Artifact Registry をサポート\n#\nArtifact Registry は、GCP でのコンテナイメージの保存と管理に推奨されるサービスです。\nContainer Registry（GCR）は非推奨となったため、現在は Artifact Registry への移行が推奨されています。（詳細は\nこちら\n）\nFutureVuls でも GCR のサポートを終了し、新たに Artifact Registry のサポートを開始いたしました。\nまた、FutureVuls コンソールにコンテナイメージの一覧を表示し、一括登録できる機能を搭載いたしました。より便利になった Artifact Registry 連携機能を是非ご利用ください。\nなお、新機能をご利用するには\nGCP認証情報の登録\nが必要です。\n認証情報の登録後のコンテナイメージ登録方法について\nこちら\nで紹介しています。\nSBOMファイルを更新する機能を追加\n#\nインポートされた SBOM ファイルをサーバ詳細画面から管理できる機能を追加しました。これにより SBOM ファイルのダウンロードやファイル名の変更、ファイルの更新、ファイルの削除が可能です。SBOM インポート機能の詳細は以下のマニュアルを参照してください。\nサーバのSBOMインポート\nアプリケーションのSBOMインポート\n機能改善\n#\nオーガニゼーション内のユーザ名を管理者が変更できる機能を追加\n#\nCSIRT プランのみ対象の機能です。\nオーガニゼーション内で表示されるユーザ名を、組織のルールに沿った命名規則へ管理者が変更できる機能を追加しました。\nまた、複数オーガニゼーションに所属するユーザは、それぞれのオーガニゼーションごとに表示名を変えられます。\nユーザ本人は\nユーザ設定 > 所属情報\nより表示名を変更できます。\nFutureVulsAPIからグループメンバの一覧取得ができるように\n#\nグループに所属しているメンバ情報を取得できる新 API を追加しました。レスポンスには各ユーザの表示名、グループ内でのロール、メールアドレスなどが含まれます。グループ内メンバの一覧取得にご活用ください。\nAPIドキュメント\nで詳細な Response を確認できます。\nFutureVulsAPIから監査ログの一覧取得ができるように\n#\n組織全体の監査ログ情報を一ヶ月単位で取得できる新 API を追加しました。外部のツールにインポートして分析する用途でご利用ください。定期的なログ監査や管理作業を効率化するためにご活用いただけます。\nAPIドキュメント\nで詳細な Response を確認できます。\nタスク更新時のメールを通知用メールアドレスに転送可能に\n#\n通知用メールアドレスに対して、新たに「タスク更新時のメール」を転送できるようにしました。\nタスクコメントの追加や、タスクステータスの更新時などの通知を、FutureVuls に登録していないメールアドレスに対して転送可能になります。\nまた、通知用メールアドレスに転送する通知を選択可能になりました。\n共有が必要な機能のみを選択する形でご利用ください。\n通知用メールアドレスのマニュアルは\nこちら\n仕様変更\n#\nグループ間のサーバ移動をすべてのサーバで行えるように\n#\nこれまでペーストスキャンや SBOM インポートでつくられたサーバはグループ間でサーバ移動が行えませんでした。今回のアップデートにてこれらのサーバ種別を含むすべてのサーバのサーバ移動が行えるようになりました。\nサーバ移動をグループ管理者権限をもつユーザが行えるように\n#\nこれまでサーバ移動はオーナ権限や CSIRT 権限をもつユーザのみが行える機能でしたが、今回のアップデートにてグループ管理者権限をもつユーザもサーバ移動を行えるように権限を変更しました。\nこの変更に伴い、サーバ詳細に\nサーバ情報を他グループに移動\nボタンを追加し、オーガニゼーション設定内の\nサーバ情報を他グループへコピー\nボタンを削除しました。\n「検出方法の信頼度が低い脆弱性」の変更\n#\n重要フィルタ/自動脆弱性優先度/自動タスク優先度で設定可能な項目である「検出方法の信頼度が低い脆弱性」のフィルタを以下のように変更しました。\n「検出方法の信頼度が低い脆弱性」の設定項目を選択式からボタン式に変更\n検出方法の信頼度が低い脆弱性とは、「特に CPE のバージョン情報が不明な場合に、バージョン情報なしで検知した脆弱性」のことです\n新しく「Windows Rough Match」の設定項目を追加\nWindows、特に Edge で検出された脆弱性のうち、修正された KB や修正ビルドが不明なものをフィルタ評価の対象外にする\n脆弱性一覧の「攻撃コード」列を「Exploit信頼度」列に変更\n#\n脆弱性一覧に表示していた攻撃コードの有無を表す「攻撃コード」列を、KEV 情報なども考慮した「Exploit 信頼度」列に変更しました。\n具体的な変更は以下の通りです。\n値\n変更前\n変更後\nHigh\n信頼度Highの攻撃コード(metasploit)の情報がある\nSSVC Exploitation が Active、または信頼度Highの攻撃コード(metasploit)の情報がある\nLow\n信頼度Lowの攻撃コード(GitHubやExploit-DB)の情報がある\nSSVC Exploitation が PoC（これは変更前の条件を含みます）",
      "date_published": "2024-10-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-10-21"
    },
    {
      "id": "https://yamory.io/news/start-techblog",
      "url": "https://yamory.io/news/start-techblog",
      "title": "[Yamory] yamory Tech Blogを開設",
      "content_text": "yamory Tech Blogを開設",
      "date_published": "2024-10-18T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-10-18"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.8.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.8.0",
      "title": "[Clair] v4.8.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\r\n## [Unreleased]\r\n\r\n\r\n<a name=\"v4.8.0\"></a>\r\n## [v4.8.0] - 2024-10-09\r\n\r\n### NOTE\r\nThis release deprecates the updaters that rely on the Red Hat OVAL v2 security data in favor of the Red Hat [VEX data](https://www.redhat.com/en/blog/future-red-hat-security-data). This change includes a database migration to delete all the vulnerabilities that originated from the OVAL v2 feeds, meaning there could be a time in production environments before the VEX updater completes for the first time when no Red Hat vulnerabilities exist. This release also contains a `clairctl` admin command to clean up the deprecated vulnerabilities outside of the migration workflow which allows an operator to pre-run the migration: \r\n```\r\nclairctl -D admin pre v4.8.0\r\n```\r\n\r\n### Claircore\r\n\r\n- rhel: move IgnoreUnpatched config key from updater to matcher\r\n  <details>\r\n  Previously the IgnoreUnpatched config key was a part of the RHEL\r\n  updater and would dictate whether or not the updater would ingest\r\n  unpatched vulnerabilities. This change moves that key to the RHEL\r\n  matcher and dictates whether the matcher should check for a\r\n  fixed_in_version when querying potential vulnerabilities. This makes the\r\n  config option more usable at the expense of DB size.\r\n  </details>\r\n\r\n- rhel: add csaf/vex updater\r\n  <details>\r\n  Replace the RHEL OVAL updater with a CSAF/VEX updater for Red Hat\r\n  security data. Update the matching logic to deal with CPE patterns\r\n  coming from the VEX files. Remove RHEL updater and add a migration to\r\n  delete Red Hat OVAL data from the database.\r\n  </details>\r\n\r\n- datastore: add vuln and enrich stream updates\r\n  <details>\r\n  In an effort to reduce memory consumption during updating the\r\n  vulnerability database, add support for iterators. Extend Updater\r\n  interface with `UpdateVulnerabilitiesIter` method that performs\r\n  the same operation as `UpdateVulnerabilities` but accepts an iterator\r\n  function instead of a slice. Also, extend the `EnrichmentUpdater`\r\n  interface with `UpdateEnrichmentsIter` in the same way.\r\n  </details>\r\n\r\n- cpe: add match expression support\r\n  <details>\r\n  This adds support for NIST IR 7696, aka CPE2.3 Name Matching. It's\r\n  anticipated to be used in upcoming CSAF/VEX support. See\r\n  https://doi.org/10.6028/NIST.IR.7696 for the specification.\r\n  </details>\r\n\r\n\r\n### 'Chore\r\n- [ab3a754e](https://github.com/quay/clair/commit/ab3a754e1408d8fed0160ce999536c8fd2f452f7): update claircore to v1.5.19\r\n- [f783b356](https://github.com/quay/clair/commit/f783b356ce3c7903641913ee25d0a384c19602db): update claircore to v1.5.18\r\n- [9286ab86](https://github.com/quay/clair/commit/9286ab86517a6738bd82150e695badde814f8bab): update claircore to v1.5.17\r\n### Admin\r\n- [d3467bad](https://github.com/quay/clair/commit/d3467bad8aab1f463b51ed22ad377b78ef687920): add pre v4.8.0 admin command to delete OVAL vulns\r\n- [d53780b6](https://github.com/quay/clair/commit/d53780b6ada05c763576457cc7d0a8f98147f29e): add a check for compatible migration version\r\n- [87c24a9c](https://github.com/quay/clair/commit/87c24a9c63b59ebfeae76f198ddace78ff095c54): add command to update go packages with norm_version\r\n- [02e6c925](https://github.com/quay/clair/commit/02e6c9256ea5514088b7817df4df13c62b45fc73): add pre v4.7.3 admin command to create index\r\n### All\r\n- [55294aaf](https://github.com/quay/clair/commit/55294aafae6d943edf09328ed52c4e6d92676966): fix incorrect API paths\r\n- [daa78ec2](https://github.com/quay/clair/commit/daa78ec25bf087e65a1b5ac387880666515cc359): fix some typos\r\n### Amqp\r\n- [8fcd294c](https://github.com/quay/clair/commit/8fcd294c6609be94d6d56b14ff2b39046e8f134c): migrate to maintained package\r\n -  [#1793](https://github.com/quay/clair/issues/1793)### Auto\r\n- [07b0ea7b](https://github.com/quay/clair/commit/07b0ea7b47e7b15867bb6c5209eca995faf119f9): improve log messages\r\n -  [#2092](https://github.com/quay/clair/issues/2092)### Build(Deps)\r\n- [5092198b](https://github.com/quay/clair/commit/5092198b0459e12ec2472dd74c6c7d60b33e847d): bump golang.org/x/time from 0.6.0 to 0.7.0\r\n- [e7b6deac](https://github.com/quay/clair/commit/e7b6deacd205a9e2138f91115c7d19c87ffb2365): bump golang.org/x/net from 0.29.0 to 0.30.0\r\n- [55fb7735](https://github.com/quay/clair/commit/55fb773530fe243935f3ceb59606d500db27820e): bump github.com/klauspost/compress from 1.17.9 to 1.17.10\r\n- [7a2e7186](https://github.com/quay/clair/commit/7a2e7186b5d33cbbb2b66fbfbcbaaad3fb60c210): bump github.com/prometheus/client_golang\r\n- [698d9170](https://github.com/quay/clair/commit/698d9170d5d88e79b80ee3a5aa5f4f8b2a929e99): bump github.com/rogpeppe/go-internal from 1.12.0 to 1.13.1\r\n- [7ec7e04f](https://github.com/quay/clair/commit/7ec7e04f6eaff5cf4cacc11839d4b167f685a4b1): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [96ee336f](https://github.com/quay/clair/commit/96ee336fa33329d69819f00400a79491eca8952e): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [5fb41ed8](https://github.com/quay/clair/commit/5fb41ed8436ac629aef16d78658c3b7b6ce90232): bump golang.org/x/net from 0.28.0 to 0.29.0\r\n- [2a13e7b7](https://github.com/quay/clair/commit/2a13e7b751f934cfde15e64cebd8001686e4d839): bump peter-evans/create-pull-request from 6 to 7\r\n- [061b1e09](https://github.com/quay/clair/commit/061b1e091394f5ac49d18dab9727cf70f72dc0bc): bump github.com/prometheus/client_golang\r\n- [a2c920f4](https://github.com/quay/clair/commit/a2c920f4e8b82a753459fc772d763b3891d9f30c): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [bbaece4e](https://github.com/quay/clair/commit/bbaece4ef05e6cc1b5fc3f4de9ece173df2d908f): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [24aff4e4](https://github.com/quay/clair/commit/24aff4e4362e5eef9cf77aba231c11da8d7b6c3d): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [b203913a](https://github.com/quay/clair/commit/b203913af17ed8a5ba0a19514d52ea177618aafe): bump github.com/prometheus/client_golang\r\n- [96937294](https://github.com/quay/clair/commit/96937294d27187b80cd632b018c8e4aabdaf5d1a): bump github.com/grafana/pyroscope-go/godeltaprof\r\n- [01b57db6](https://github.com/quay/clair/commit/01b57db6fa2188a9630cec86239406d3ae706d2d): bump github.com/google/go-containerregistry\r\n- [7ceeaaa2](https://github.com/quay/clair/commit/7ceeaaa2e589e3a89414d2ede08799a359926b1d): bump github.com/go-stomp/stomp/v3 from 3.1.1 to 3.1.2\r\n- [c3ce1982](https://github.com/quay/clair/commit/c3ce198288a56c2d011cf114cae09704eee0e2bf): bump github.com/urfave/cli/v2 from 2.27.2 to 2.27.3\r\n- [95f5a5f2](https://github.com/quay/clair/commit/95f5a5f2afce16af5f7013025198d10294f5eb05): bump github.com/google/go-containerregistry\r\n- [1a5f342c](https://github.com/quay/clair/commit/1a5f342c73dc841a97e8f043e1f4fd7e310dea35): bump github.com/go-stomp/stomp/v3 from 3.1.0 to 3.1.1\r\n- [5821a5bf](https://github.com/quay/clair/commit/5821a5bfd0f4defe0f4cbb27bfc90102215a914d): bump golang.org/x/net from 0.26.0 to 0.27.0\r\n- [08587861](https://github.com/quay/clair/commit/0858786146e0b1971b4417b0c7744e035f1fef73): bump github.com/google/go-containerregistry\r\n- [74914938](https://github.com/quay/clair/commit/749149387eda7b4ecc564d9df24c6eb011fb0f94): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [67bdbbbe](https://github.com/quay/clair/commit/67bdbbbef3b521a7cc94545a7428cc3f46be27d0): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [dd9d6760](https://github.com/quay/clair/commit/dd9d676048b92ed497ad8612da8ef175cca9675f): bump go.opentelemetry.io/otel from 1.27.0 to 1.28.0\r\n- [fcee4364](https://github.com/quay/clair/commit/fcee436402c57cfb1555b2380d972b2301415e65): bump github.com/klauspost/compress from 1.17.8 to 1.17.9\r\n- [3f229e99](https://github.com/quay/clair/commit/3f229e99b279bebd371c5b7fba26d610110751a9): bump github.com/google/go-containerregistry\r\n- [c5ae5021](https://github.com/quay/clair/commit/c5ae5021f3fd28ab25caf00bd6629e81015efef2): bump docker/build-push-action from 5 to 6\r\n- [7400db24](https://github.com/quay/clair/commit/7400db249415f5597f634c85979ae20b5c64f308): bump golang.org/x/net from 0.25.0 to 0.26.0\r\n- [74b377b8](https://github.com/quay/clair/commit/74b377b8f9bf340c427025de0dfe9b02cfa094f4): bump github.com/rs/zerolog from 1.32.0 to 1.33.0\r\n- [1fff0726](https://github.com/quay/clair/commit/1fff07260778fb19820ad3fe038be41d39e9a44a): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [f2533fbf](https://github.com/quay/clair/commit/f2533fbf053c50c35548078091fb0596a8d5bdc4): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [5376a756](https://github.com/quay/clair/commit/5376a7563dd4fc7f2565d6e270f0a0cc6c22bad9): bump github.com/rabbitmq/amqp091-go from 1.9.0 to 1.10.0\r\n- [d82ab343](https://github.com/quay/clair/commit/d82ab34331da273e75ab63e27d92c3c5a9d91f94): bump golang.org/x/net from 0.24.0 to 0.25.0\r\n- [453d2c60](https://github.com/quay/clair/commit/453d2c60547c493ae8968ed45e72b26ad139e72c): bump github.com/urfave/cli/v2 from 2.27.1 to 2.27.2\r\n- [5323fa31](https://github.com/quay/clair/commit/5323fa3186a2695903c2737831f66a31dcb58dfa): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [3e1f5c15](https://github.com/quay/clair/commit/3e1f5c15a0713859ba51d5eab54e98b881b1ecb9): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [71078832](https://github.com/quay/clair/commit/710788327dc2870e4e277b77dff338adb030c73a): bump go.opentelemetry.io/otel from 1.25.0 to 1.26.0\r\n- [1006287a](https://github.com/quay/clair/commit/1006287a5e9568c3deb30c13674f3baf24cdab2a): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [43f3a3e4](https://github.com/quay/clair/commit/43f3a3e4c426c9a160926aeb5008783a903307aa): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [343515af](https://github.com/quay/clair/commit/343515af8838b521c61663fe846bb32662363f01): bump github.com/klauspost/compress from 1.17.7 to 1.17.8\r\n- [c3db2e4d](https://github.com/quay/clair/commit/c3db2e4dc61b8f9ba8039e655f159efd7c1d2d5b): bump github.com/quay/claircore from 1.5.25 to 1.5.26\r\n- [4cf0febf](https://github.com/quay/clair/commit/4cf0febfff33b734ffb021bfd2b35a8082320d4e): bump golang.org/x/sync from 0.6.0 to 0.7.0\r\n- [36d21edd](https://github.com/quay/clair/commit/36d21edd3d1471094f0b4737fcadcad8b41ee53b): bump golang.org/x/net from 0.22.0 to 0.24.0\r\n- [93a70b35](https://github.com/quay/clair/commit/93a70b35ee2c51544e87d7a1109e301be3baf821): bump go.opentelemetry.io/otel/sdk from 1.24.0 to 1.25.0\r\n- [da30be8b](https://github.com/quay/clair/commit/da30be8bad23248b514903fddbb6864953a7b636): bump github.com/google/go-containerregistry\r\n- [5a5e1776](https://github.com/quay/clair/commit/5a5e177685daaf45b38640a48658b6cbfc5ca36f): bump golang.org/x/net from 0.21.0 to 0.22.0\r\n- [d4ceeea2](https://github.com/quay/clair/commit/d4ceeea24f518abc409e0d60361a575f3b395cbe): bump github.com/go-jose/go-jose/v3 from 3.0.2 to 3.0.3\r\n- [d64064ce](https://github.com/quay/clair/commit/d64064ce59c2c0fbb1b0ea1f9e1ab27dfa39329d): bump github.com/prometheus/client_golang\r\n- [06c9ddab](https://github.com/quay/clair/commit/06c9ddab732512b03f9edc5f69d1551823154f7c): bump github.com/jackc/pgx/v4 from 4.18.1 to 4.18.3\r\n- [e4d79110](https://github.com/quay/clair/commit/e4d7911000add800242efd6fdaba557c69774052): bump github.com/go-stomp/stomp/v3 from 3.0.6 to 3.1.0\r\n- [d7c5821f](https://github.com/quay/clair/commit/d7c5821f888b01545247cb7a80e79b9d70caac36): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [523ebf7f](https://github.com/quay/clair/commit/523ebf7fb0204171656b62d69c5ea3a8ba275772): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [0803380f](https://github.com/quay/clair/commit/0803380f040f699cb08564899fe2a5d6a674d504): bump github.com/go-jose/go-jose/v3 from 3.0.1 to 3.0.2\r\n- [a3e0786c](https://github.com/quay/clair/commit/a3e0786c5984447725ab7cd7826cae108314dc57): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [684c3ac3](https://github.com/quay/clair/commit/684c3ac3310861186ff5a61b56c98b1c5facd4b0): bump peter-evans/create-pull-request from 6.0.0 to 6.0.1\r\n- [3fb2c921](https://github.com/quay/clair/commit/3fb2c921c83dfbe89ca92b7e46cb9bf0d98c84a7): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [51981290](https://github.com/quay/clair/commit/519812903d6048748ea5b29c5dd33889ae9afa50): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [115cbb22](https://github.com/quay/clair/commit/115cbb2203768ade1a861358230767deab0fbd42): bump github.com/go-stomp/stomp/v3 from 3.0.5 to 3.0.6\r\n- [43b164e7](https://github.com/quay/clair/commit/43b164e78cfaf48ff317bd491712b2ceac9d2668): bump golang.org/x/net from 0.20.0 to 0.21.0\r\n- [acf2cdf6](https://github.com/quay/clair/commit/acf2cdf6305ea0b23021ddb55346d6dfabcc0fab): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [0c7fe4dd](https://github.com/quay/clair/commit/0c7fe4dd821aff8c569d332938c1dd53b43f1aaa): bump go.opentelemetry.io/otel/sdk from 1.22.0 to 1.23.1\r\n- [16a1504a](https://github.com/quay/clair/commit/16a1504accbe3e33b01f639ac2038890eeef66fe): bump go.opentelemetry.io/otel from 1.22.0 to 1.23.1\r\n- [1f98abe7](https://github.com/quay/clair/commit/1f98abe77ca9ab3fb0cf8a2b68a692f3ebfb6c63): bump peter-evans/create-pull-request from 5.0.2 to 6.0.0\r\n- [fb5efb51](https://github.com/quay/clair/commit/fb5efb51ec338f5c8b1a57a0e6b73ec6c8867e84): bump github.com/klauspost/compress from 1.17.5 to 1.17.6\r\n- [8dbacd3c](https://github.com/quay/clair/commit/8dbacd3c0fd7f16bc6fdbc0cc3c3caf9536b0cd3): bump github.com/rs/zerolog from 1.31.0 to 1.32.0\r\n- [96d34f64](https://github.com/quay/clair/commit/96d34f64849f2acfe785b88f2e674e540d605f1a): bump github.com/google/go-containerregistry\r\n- [3bcf9aac](https://github.com/quay/clair/commit/3bcf9aacf00f574b32f7baee77466852e3d17dfe): bump github.com/klauspost/compress from 1.17.4 to 1.17.5\r\n- [19afbbbe](https://github.com/quay/clair/commit/19afbbbe284b0af634043a82947b2a6ed10f5a41): bump github.com/evanphx/json-patch/v5 from 5.8.0 to 5.9.0\r\n- [50eb4b52](https://github.com/quay/clair/commit/50eb4b5281f9bd8410c8595c17f373f2ccd014d7): bump github.com/google/uuid from 1.5.0 to 1.6.0\r\n- [4ed100ec](https://github.com/quay/clair/commit/4ed100ec4b4d33ac136b0394cc7c4fb06fd9a4bc): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [1d338051](https://github.com/quay/clair/commit/1d338051f374f78b3989ef92d8255be0ce7089b0): bump actions/cache from 3 to 4\r\n- [a0e1ba8b](https://github.com/quay/clair/commit/a0e1ba8bcb0a027e340511b36c29593eb5a11488): bump github.com/grafana/pyroscope-go/godeltaprof\r\n- [1ab0557b](https://github.com/quay/clair/commit/1ab0557b60d3e8843dc37132184c435f0c2965da): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [fcf0ccdd](https://github.com/quay/clair/commit/fcf0ccdde5b06410c1e758535c35271ba324f25b): bump go.opentelemetry.io/otel/sdk from 1.21.0 to 1.22.0\r\n- [6fe56438](https://github.com/quay/clair/commit/6fe564389c53b74e692f06afb7414927740f4e3d): bump github.com/evanphx/json-patch/v5 from 5.7.0 to 5.8.0\r\n- [6ef2554e](https://github.com/quay/clair/commit/6ef2554ef2f98aeefc22a9bc6836394e8b0523e0): bump golang.org/x/net from 0.19.0 to 0.20.0\r\n- [7b48e897](https://github.com/quay/clair/commit/7b48e897374e5e67e7d59753ee28175361d59b3a): bump golang.org/x/sync from 0.5.0 to 0.6.0\r\n- [c25d841a](https://github.com/quay/clair/commit/c25d841aba4e3cc0996c62d5a5a8bd6eb6c921a5): bump github.com/quay/zlog from 1.1.7 to 1.1.8\r\n- [94b57fa0](https://github.com/quay/clair/commit/94b57fa0c8c465b579e357a30e09fbebb2e52629): bump github.com/prometheus/client_golang\r\n- [ad2c872c](https://github.com/quay/clair/commit/ad2c872c05584a73f70f214db52a9bbfce72c530): bump github.com/urfave/cli/v2 from 2.26.0 to 2.27.1\r\n- [2159bfb5](https://github.com/quay/clair/commit/2159bfb5f10819d6f66e1f8b17c4df9ed8d50153): bump github.com/google/uuid from 1.4.0 to 1.5.0\r\n- [aaa335b3](https://github.com/quay/clair/commit/aaa335b3e8dcd73b0881ab2d50a8f0a1fecda177): bump golang.org/x/crypto from 0.16.0 to 0.17.0\r\n- [9c588cf5](https://github.com/quay/clair/commit/9c588cf5a7dfacb37f7e781870e3c884b562cb5a): bump github.com/google/go-containerregistry\r\n- [cbc166d6](https://github.com/quay/clair/commit/cbc166d61c9e0c427cd78077feb5ab3635ca82ee): bump actions/upload-artifact from 3 to 4\r\n- [355cab98](https://github.com/quay/clair/commit/355cab9896e5ccd892e41698fdc3599b4aa3f11e): bump actions/download-artifact from 3 to 4\r\n- [7b7ff298](https://github.com/quay/clair/commit/7b7ff298a524bee4582b475dcc162c01fc2e8e47): bump github.com/ugorji/go/codec from 1.2.11 to 1.2.12\r\n- [45625c51](https://github.com/quay/clair/commit/45625c51e82f0045c441e0f55d7869a978bd97f4): bump github.com/urfave/cli/v2 from 2.25.7 to 2.26.0\r\n- [b6b39706](https://github.com/quay/clair/commit/b6b397064846253c7229d27ad90919fcc025a334): bump actions/setup-go from 4 to 5\r\n- [913a5114](https://github.com/quay/clair/commit/913a51146ccee020ff19895f3ffe96fdc629a3ad): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [71c66638](https://github.com/quay/clair/commit/71c66638229e9670e1bf5da3d8e77446795c386d): bump github.com/klauspost/compress from 1.17.2 to 1.17.4\r\n- [825dddc1](https://github.com/quay/clair/commit/825dddc106931ccbb4ee1008ba647b15cfe595c3): bump golang.org/x/net from 0.17.0 to 0.19.0\r\n- [e7314325](https://github.com/quay/clair/commit/e73143254426f46a75bc178c8aaddf2da097735a): bump actions/stale from 8 to 9\r\n- [99291347](https://github.com/quay/clair/commit/99291347704de0f22afe657b9111e23669dc18b1): bump github.com/quay/zlog from 1.1.5 to 1.1.7\r\n- [d75c2c40](https://github.com/quay/clair/commit/d75c2c40ef3d4f8bae6f38a6dd13d2f7d1f10668): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [83a935dd](https://github.com/quay/clair/commit/83a935dd39b92b90a62b7f376d7f9be7da1dacd3): bump go.opentelemetry.io/otel/sdk from 1.20.0 to 1.21.0\r\n- [4db3b77e](https://github.com/quay/clair/commit/4db3b77e1c2630a8b6c0014fbd6517efda0872e7): bump github.com/go-jose/go-jose/v3\r\n- [1b2248b9](https://github.com/quay/clair/commit/1b2248b9ac524b0c4e83c4290f26ccb94da78b9f): update opentelemetry modules\r\n -  [#1909](https://github.com/quay/clair/issues/1909) -  [#1911](https://github.com/quay/clair/issues/1911) -  [#1912](https://github.com/quay/clair/issues/1912) -  [#1913](https://github.com/quay/clair/issues/1913)- [4a84b949](https://github.com/quay/clair/commit/4a84b9491c0309af8ec4e0dce6b5c5daf0089d2c): bump github.com/google/uuid from 1.3.1 to 1.4.0\r\n- [efc1ab07](https://github.com/quay/clair/commit/efc1ab07d1fbd101d584bbfe8a883fbf6cf8552d): bump golang.org/x/time from 0.3.0 to 0.4.0\r\n- [61aa3ebd](https://github.com/quay/clair/commit/61aa3ebd9671f7e23d152971328a268482fe095d): bump golang.org/x/sync from 0.4.0 to 0.5.0\r\n- [54eb2e85](https://github.com/quay/clair/commit/54eb2e857c033483ea5acddd8254f6ee080ab77b): bump github.com/google/go-cmp from 0.5.9 to 0.6.0\r\n- [b0497e58](https://github.com/quay/clair/commit/b0497e58b2c61a6462bb7a7fabf5302230b3ea28): bump github.com/klauspost/compress from 1.17.0 to 1.17.2\r\n- [a90ecc45](https://github.com/quay/clair/commit/a90ecc4514385e011e971b97adc157062cddecf0): bump go.opentelemetry.io/otel/sdk from 1.17.0 to 1.19.0\r\n- [55dc551f](https://github.com/quay/clair/commit/55dc551f39550ff7857acf500a7f80666b213bf6): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\r\n- [5a8c21a0](https://github.com/quay/clair/commit/5a8c21a0271a5dac4e83e100fe4f291552f0a429): bump github.com/google/go-cmp in /config\r\n- [f3072d19](https://github.com/quay/clair/commit/f3072d198700320c2144d2b1409d59440886084b): bump go.opentelemetry.io/otel from 1.18.0 to 1.19.0\r\n- [8468d861](https://github.com/quay/clair/commit/8468d861204350005c9eff1469a67cd4b409a915): bump golang.org/x/net from 0.16.0 to 0.17.0\r\n- [afafe835](https://github.com/quay/clair/commit/afafe8357a948d9b6bcd8f82a7b8fad86512a66e): bump golang.org/x/net from 0.15.0 to 0.16.0\r\n- [f162e1ce](https://github.com/quay/clair/commit/f162e1ce4b4444d69227b90f8bfc440c8514bcb9): bump github.com/rs/zerolog from 1.30.0 to 1.31.0\r\n- [e6f72bc4](https://github.com/quay/clair/commit/e6f72bc47903135bd1978988f040b14577e075b2): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\r\n- [c0eef84b](https://github.com/quay/clair/commit/c0eef84b28488258f0a5e42233240c04f52ffb2f): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\r\n- [7129bacf](https://github.com/quay/clair/commit/7129bacf79302b91edf0482b3ca271d85dd66642): bump github.com/evanphx/json-patch/v5 from 5.6.0 to 5.7.0\r\n- [6969e003](https://github.com/quay/clair/commit/6969e003d05dfb7777afa0d5a628f8d445dfa2d3): bump docker/setup-buildx-action from 2 to 3\r\n- [606c5c9b](https://github.com/quay/clair/commit/606c5c9b36bdf18fa243024b69e002798e6146f7): bump docker/login-action from 2 to 3\r\n- [24eb3f71](https://github.com/quay/clair/commit/24eb3f7113929b65b9257b60ba9cba923c575f09): bump docker/build-push-action from 4 to 5\r\n- [dbaebb58](https://github.com/quay/clair/commit/dbaebb5821b567255e50315c60a8ee00b9b541fb): bump docker/setup-qemu-action from 2 to 3\r\n- [a31be2e2](https://github.com/quay/clair/commit/a31be2e2cae12d3ca09fc19f5f97ab2ceb5aaa85): bump actions/checkout from 3 to 4\r\n- [480996b1](https://github.com/quay/clair/commit/480996b1f386a117feff025d56b5d6c0eab7f77c): bump go.opentelemetry.io/otel/exporters/jaeger\r\n- [bc21afa0](https://github.com/quay/clair/commit/bc21afa0171521104b21c6175099cb3c5cb48175): bump github.com/google/uuid from 1.3.0 to 1.3.1\r\n- [5ae4f0fa](https://github.com/quay/clair/commit/5ae4f0fa3db4e5154d178bccaa2a652f11576000): bump github.com/google/go-containerregistry\r\n- [56cd1851](https://github.com/quay/clair/commit/56cd1851f463d31e6c1f552d42ea35a591186a60): bump github.com/rs/zerolog from 1.29.1 to 1.30.0\r\n- [67b92e71](https://github.com/quay/clair/commit/67b92e71ca3ae3017add43f846e9c4b83f9fd29f): bump golang.org/x/net from 0.12.0 to 0.15.0\r\n- [a478ce91](https://github.com/quay/clair/commit/a478ce918566144d58b50ffb892cb33a11992036): bump github.com/pyroscope-io/godeltaprof\r\n### Chore\r\n- [05680a2b](https://github.com/quay/clair/commit/05680a2bd328410c3aa19de39f3226acc3c234d6): v4.8.0 changelog bump\r\n- [94113d95](https://github.com/quay/clair/commit/94113d9539b83a25829a540afdb965a579d96c6e): update claircore to v1.5.32\r\n- [e77deb98](https://github.com/quay/clair/commit/e77deb9820c6d8896c377d228f5741ea57b7bc2f): update config module to v1.4.1\r\n- [e5fca953](https://github.com/quay/clair/commit/e5fca9539437286efbbbe5ead42972607ac149a5): update references to rhel updater to rhel-vex updater\r\n- [64b66ff9](https://github.com/quay/clair/commit/64b66ff96e05f20c4410a78292e293a9bfa744c8): update go version to specific patch\r\n- [89ebd521](https://github.com/quay/clair/commit/89ebd521d32d76eb4a37d150fa5e59d193542ff5): update go version to 1.22\r\n- [9333770e](https://github.com/quay/clair/commit/9333770e3e6f2434d291ef3619c314cd3d4d213f): update claircore to v1.5.31\r\n- [93fa883d](https://github.com/quay/clair/commit/93fa883df4a24f3fd681295012fd84821e986680): update claircore to v1.5.30\r\n- [1209772d](https://github.com/quay/clair/commit/1209772de458082e25aee042aa44febb2ec7fa46): update claircore to v1.5.29\r\n- [3c623553](https://github.com/quay/clair/commit/3c6235532215d96a54210ca88f6eae692cdbda17): run the go formatting over the repo\r\n- [7703b4a2](https://github.com/quay/clair/commit/7703b4a23b4e1a4fcdf391a09ce1d7252bdc0722): fix some comments\r\n- [7d3f12e3](https://github.com/quay/clair/commit/7d3f12e34ef637d7f4a7682ebc0aba7e1ffe4210): use the merge-multiple directive when downloading binaries\r\n- [b5a0d8a6](https://github.com/quay/clair/commit/b5a0d8a60c643c0867c850634145f6192d694667): update claircore to v1.5.28\r\n- [ac255112](https://github.com/quay/clair/commit/ac25511280ca75fd6b7b32dcdadfdd01f5fdc9db): Add merge step when creating release binaries\r\n- [5dc73b16](https://github.com/quay/clair/commit/5dc73b16ffffe7a5245355a5c56a726a4e1801e4): update go version for release\r\n- [ea990567](https://github.com/quay/clair/commit/ea990567b95d61f0f7438ba6b8ad2519dda3288a): update claircore to v1.5.27\r\n- [0bf9286e](https://github.com/quay/clair/commit/0bf9286e2c0e6c1591616729aa5b35386471efd3): update production manifest with new tmp dir\r\n- [6a3ce17f](https://github.com/quay/clair/commit/6a3ce17f0a45f962f1d1d25eccfd99d235bbfeff): update go version\r\n- [3e5740e0](https://github.com/quay/clair/commit/3e5740e038742aa29fe193d2dee70616eca17eaf): remove repetitive word\r\n- [222f2273](https://github.com/quay/clair/commit/222f2273813baec3078404e2a74c1227784db262): update claircore to v1.5.25\r\n- [7ac4609b](https://github.com/quay/clair/commit/7ac4609b00cbe6093af07ab0320fe3275fbbb313): update claircore to v1.5.24\r\n- [bad8abe5](https://github.com/quay/clair/commit/bad8abe5786b17c8291870864f04c5bec70cf758): update claircore to v1.5.23\r\n- [c81b3b9a](https://github.com/quay/clair/commit/c81b3b9a57ccd5a549ed8f29d1b646be752893c6): update claircore to v1.5.22\r\n- [a9b5e91d](https://github.com/quay/clair/commit/a9b5e91d7c09bea896d55575b2c88a97bc919271): update claircore to v1.5.21\r\n- [6de0d807](https://github.com/quay/clair/commit/6de0d807a5d63d5b10d63c274c297fcf095a308b): Add Go 1.22 support via moved godeltaprof dependancy bump\r\n- [b65445ce](https://github.com/quay/clair/commit/b65445ce7c0874a61fbccdd5df33419a62268d49): clean up sample config\r\n- [a359eb01](https://github.com/quay/clair/commit/a359eb01e0b9aaa4eb3e6433af8812a2de9908b5): migrate go-jose to maintained version\r\n- [5cf5fb8d](https://github.com/quay/clair/commit/5cf5fb8dba87b03ca37ed5a60856f5b4c3e72404): update claircore to v1.5.20\r\n- [180fa4f4](https://github.com/quay/clair/commit/180fa4f444ff0affcc6ee9dd4436f97ea75c2dab): bump claircore to v1.5.16\r\n- [696b266e](https://github.com/quay/clair/commit/696b266e18205b216a2a4e4cdb95fd814892ef57): bump claircore to v1.5.15\r\n- [2829eacf](https://github.com/quay/clair/commit/2829eacfbe5eb89cb8e5261d136354da50300a82): bump claircore to v1.5.14\r\n### Cicd\r\n- [dbcfe30d](https://github.com/quay/clair/commit/dbcfe30d9225b65e3f5d4bd117dfe437ec8e057a): tweak login behavior\r\n- [6861b804](https://github.com/quay/clair/commit/6861b8047fd8e64ee285d48319cd40939be86367): remove second go-caching action\r\n- [c42bee62](https://github.com/quay/clair/commit/c42bee62e2fcad39743be02191055d967d5a15a6): improve nightly script output\r\n- [08581d82](https://github.com/quay/clair/commit/08581d82726f60d26c4508400883e936d270909c): tweaks to the set-image-expiration action\r\n- [3b650c56](https://github.com/quay/clair/commit/3b650c56a5ecd4242ecb4926a0b4e62a7a1ef691): fix nightly build\r\n- [6884969b](https://github.com/quay/clair/commit/6884969b37239a30e0966e71adcafb5ce51f74dc): add /var/tmp mount to make sure it's on a real filesystem\r\n- [139aed21](https://github.com/quay/clair/commit/139aed21d72f91d007302fa4df690ff17a574c5d): reorganize the docker test so that it's less error-prone\r\n- [b48682a4](https://github.com/quay/clair/commit/b48682a4260353ed6be503913020baaa4d028924): remove comment that the linter complained about\r\n- [bf7005f0](https://github.com/quay/clair/commit/bf7005f091ae65ac6ecb481b88f0cece30bc0493): add `/fast-forward` command\r\n- [d11a2602](https://github.com/quay/clair/commit/d11a26026e871d42c6dd8c9b4f97d53b4272d029): add container version skew check\r\n- [fd153765](https://github.com/quay/clair/commit/fd1537652df13da6a988e1eb8822e416dae57866): update testing workflow\r\n- [23a8c33d](https://github.com/quay/clair/commit/23a8c33d7f062a61d5fe96b1821dd7bcea80c24c): don't upload workspace on failure\r\n- [6f3b1347](https://github.com/quay/clair/commit/6f3b13479a40b3285fbb2cfd633fc8815db98a1e): update actions/cache version\r\n- [0604f1e6](https://github.com/quay/clair/commit/0604f1e6004e10d92f06c67552b7604dcd98f77f): change version specifiers to be major-version only\r\n- [718ef948](https://github.com/quay/clair/commit/718ef948653b85198caaafb50db1ca64fe5706e4): make nightly script shellcheck-clean\r\n### Clair\r\n- [ba6fc371](https://github.com/quay/clair/commit/ba6fc37173c2f0fae701482a3d1e758c1988ce04): add platform-specific signals\r\n- [76a5d50b](https://github.com/quay/clair/commit/76a5d50b0c2fedc4a426988955436a47fb480ac8): break cancellation chain for request contexts\r\n- [b0086d80](https://github.com/quay/clair/commit/b0086d800b113d038f8a4b66fcf134a5b41105b3): redo shutdown structure\r\n -  [#1946](https://github.com/quay/clair/issues/1946)### Clairctl\r\n- [13acc582](https://github.com/quay/clair/commit/13acc5828603177ab9b0cf5b871c65dbbdaa6ed7): warn when range requests are not honored\r\n### Cmd\r\n- [7de8cea7](https://github.com/quay/clair/commit/7de8cea790f5caed8621a576f20ccae20078bb40): add exported source date\r\n- [7121ceaa](https://github.com/quay/clair/commit/7121ceaad9dd92c3b6229182f06db0ea3a1424e0): annotate fake key for gitleaks\r\n### Compress\r\n- [c90a55fd](https://github.com/quay/clair/commit/c90a55fd056d18b18b0f64f02320a226ad1c34e7): update compression middleware\r\n### Config\r\n- [33a77438](https://github.com/quay/clair/commit/33a7743867d99a1ad96c146ff618a6d27c5f9b0b): update minimum TLS version for server\r\n- [e0a1f235](https://github.com/quay/clair/commit/e0a1f235b6bf26010f932dc732043d79d1b56f3f): Update comment to describe currently supported updaters\r\n- [36210370](https://github.com/quay/clair/commit/36210370be51136471d12968751f32367b2e9871): add Sentry config\r\n- [33cc3e5c](https://github.com/quay/clair/commit/33cc3e5c0199841c108a95e88c4d764739f21e80): add OTLP configuration types\r\n- [f503d670](https://github.com/quay/clair/commit/f503d6703d60e66c3186d727fbc670988ea342e3): fix typo\r\n### Contrib\r\n- [74974320](https://github.com/quay/clair/commit/74974320f4a1358911fdc263d2060839ca25cb2d): correct position of startupProbe spec\r\n- [5ad0d6be](https://github.com/quay/clair/commit/5ad0d6be2d06cfe9e6805a565f5f5a569583a5a0): update `build_and_deploy.sh` script\r\n- [accee22f](https://github.com/quay/clair/commit/accee22ffd15d8ad8da957b3946b5ab03120999b): account for different container engine clients\r\n- [1160febe](https://github.com/quay/clair/commit/1160febe28589c4eb85bef8bc5e51e4c7db82907): update build script to use podman\r\n- [f19b59bd](https://github.com/quay/clair/commit/f19b59bd3efad37aa199c62c5bc5e5914d8d4143): remove rms that were needed for previous fetcher\r\n- [b60d8266](https://github.com/quay/clair/commit/b60d8266700903ad06c2ec65842e0f2383d352ab): update dashboard regex\r\n- [4405fdad](https://github.com/quay/clair/commit/4405fdad0274fdfebb2cb0a7e1214cdb36c74ede): simplify openshift/pr_check.sh\r\n- [16bd3666](https://github.com/quay/clair/commit/16bd36669a0274815f6766f78dbb37d05d250646): add grafana dashboards for deletion metrics\r\n### Contrib/Openshfit\r\n- [89af3db1](https://github.com/quay/clair/commit/89af3db111a317abeb1b4c409840aa8f7660dcbf): only start buildkitd container if needed\r\n### Contrib/Openshift\r\n- [ab6e9e07](https://github.com/quay/clair/commit/ab6e9e07dd04130f7bf0b6733071f530cea7769b): login shenanigans\r\n- [002df72b](https://github.com/quay/clair/commit/002df72bfe3ef5f0b89c24f8e6a640a330de0bf5): avoid patching when using upstream images\r\n### Doc\r\n- [244183ee](https://github.com/quay/clair/commit/244183ee2072d48b6bd2eeadd3acebd0f6eb7ffe): fix typo\r\n### Dockerfile\r\n- [f7abfe50](https://github.com/quay/clair/commit/f7abfe50c2ea47a60601d05d9137833b2336b8bd): update with new syntax and features\r\n- [e2fbf199](https://github.com/quay/clair/commit/e2fbf1998bd45c99bc44382798f240d08651dd6c): add `GOTOOLCHAIN`\r\n- [e871998f](https://github.com/quay/clair/commit/e871998fb9cb01153fd307f446c5c71561fafad8): tweak ignores\r\n- [d78d3beb](https://github.com/quay/clair/commit/d78d3beb15fae2204eb7ea86e51474e015ac936f): remove sh loop\r\n### Docs\r\n- [038966e2](https://github.com/quay/clair/commit/038966e2ba65cd88ad85d1828de71b8fc61e7549): add building and Makefile usage sections\r\n- [137b6c50](https://github.com/quay/clair/commit/137b6c50640688b196106e64452620e28f56c8f2): add mention of disk space path and usage\r\n- [1e78f45a](https://github.com/quay/clair/commit/1e78f45a4e213c1d73f5a745b08e30aa94d7f7c8): add OTLP configuration to prose documentation\r\n- [eb54b889](https://github.com/quay/clair/commit/eb54b8896f6fd93bd67d6b6c0875cfff426698d7): add dropins to prose documentation\r\n -  [#1783](https://github.com/quay/clair/issues/1783)### Documentation\r\n- [80482345](https://github.com/quay/clair/commit/804823453f154b6fb3afa602320443df4621779f): add more information on how to test and get started\r\n### Documentation\r\n- [38b72352](https://github.com/quay/clair/commit/38b723529f11e02d595c3f04dccbc86d600c2932): correct stale configuration options\r\n### Httptransport\r\n- [20582315](https://github.com/quay/clair/commit/205823151a20ab7e2f167042b3a3f6344b3077c0): fix test flake\r\n- [df348dc9](https://github.com/quay/clair/commit/df348dc9b7b2deea92083fb6462e76c12db41493): GET vuln report returns 404 when indexing in-progress\r\n- [e84883f7](https://github.com/quay/clair/commit/e84883f7f6c2c962cbd70e0affa8d229aff58c9d): change api error handling to panic internally\r\n- [c7920962](https://github.com/quay/clair/commit/c79209620b424729ca317631e809b2f1eb6a9448): add metrics test\r\n- [15732398](https://github.com/quay/clair/commit/15732398f24adf20984f187c71ba8edabe4fd1af): add unauthenticated \"/robots.txt\" endpoint\r\n- [201ed2be](https://github.com/quay/clair/commit/201ed2be9d487773d8878ef894d99f221c6161db): add \"robots.txt\" endpoint\r\n- [5262f773](https://github.com/quay/clair/commit/5262f773924d56f418175fee5e7fde188bf6fb83): add client-close detection\r\n- [e97f6b3c](https://github.com/quay/clair/commit/e97f6b3cbaf291b45c78f6534833f0d05108954a): use compression middleware\r\n- [0d2bf7e6](https://github.com/quay/clair/commit/0d2bf7e693ccc61043a23c8cc2ff0bfad4bb926d): lints\r\n- [d4b9d30f](https://github.com/quay/clair/commit/d4b9d30fc1083db5ed00f812946bde3d56461db0): rework constructor\r\n- [067bf861](https://github.com/quay/clair/commit/067bf861976632afca16d941f12202b6e71066a5): update DiscoveryHandler to new style\r\n- [7a1186e3](https://github.com/quay/clair/commit/7a1186e31a89cd1bbf7fc086b2dc47bd2a3f7b00): re-instrument handlers with new primitives\r\n- [bddbc57b](https://github.com/quay/clair/commit/bddbc57bad5ed1e933b3fd74e55fa080802dfdee): exit goroutine in error helper\r\n### Httputil\r\n- [1fd77f0d](https://github.com/quay/clair/commit/1fd77f0dcb5cee865e9656365fb9660439a2f28f): add test for non-OK statuses\r\n- [0cde61bf](https://github.com/quay/clair/commit/0cde61bfd5557e90a6e7e59d66fd24db9cc608e8): add response recorder\r\n### Initialize\r\n- [4686fb46](https://github.com/quay/clair/commit/4686fb46c2f7c4050dd80e3d99124201e69b11a3): use defaults for NewRemoteFetcher\r\n### Introspection\r\n- [c31e40e3](https://github.com/quay/clair/commit/c31e40e349827a5d963ca5361cc961cdcf4dc567): lints\r\n- [8e1a7bd8](https://github.com/quay/clair/commit/8e1a7bd8a60179677a96579470d46f3f5934efd2): allow trace shutdown hook full timeout\r\n### Makefile\r\n- [95a765f4](https://github.com/quay/clair/commit/95a765f46b7d31efab121b555bb5d57f2beb00b7): fix direct `go` command\r\n- [a9a8ec98](https://github.com/quay/clair/commit/a9a8ec9896e3c77ce602c3253d8872210cc30618): make `buildctl` usage more convenient\r\n- [2c093d9c](https://github.com/quay/clair/commit/2c093d9c113f7fd51529d60cee8f2a21de648f7e): force line endings for `git archive`\r\n- [f7bfacf1](https://github.com/quay/clair/commit/f7bfacf17a91ec245b1238c959242b17f2d41274): rebuild the make setup\r\n- [7cc2107b](https://github.com/quay/clair/commit/7cc2107b4b2b820c108f793f2a19084fd440f929): updates\r\n### Openshift\r\n- [6bb55a21](https://github.com/quay/clair/commit/6bb55a2128a5184164af4be37b73210f279d9bb3): add backstop cron manifest\r\n- [3615748d](https://github.com/quay/clair/commit/3615748dad2effa94a8def781a2305375354176c): handle multiple Dockerfiles in build script\r\n- [5f36fc12](https://github.com/quay/clair/commit/5f36fc125ebccc6465b445b9b83ec19dbbffdc87): have the pr_check script \"dry run\" a build\r\n- [3d3c03ce](https://github.com/quay/clair/commit/3d3c03ce5a008b9253553c2c2b7d1746e7632171): add \"dry run\" flag\r\n- [135af0e0](https://github.com/quay/clair/commit/135af0e02df0f3a3d2a2d1364a0b929e062732a7): make build_and_deploy script shellcheck-clean\r\n### Quaybackstop\r\n- [e5e7ba5a](https://github.com/quay/clair/commit/e5e7ba5a9ed18d984d89b9814e5aa517ae2c3b6f): add backstop GC command\r\n### README\r\n- [abd13784](https://github.com/quay/clair/commit/abd137848bc9fa8300d8a454b20082020c890d47): format nit\r\n### Stomp\r\n- [3de24d71](https://github.com/quay/clair/commit/3de24d7191005449dcc5de9a6c2ba19a6f5b26b0): guard against race in test\r\n### Webhook\r\n- [41cda1fb](https://github.com/quay/clair/commit/41cda1fbb963dfe8f7474dd09f5727dfae6e11ac): move+update debug server\r\n\r\n[Unreleased]: https://github.com/quay/clair/compare/v4.8.0...HEAD\r\n[v4.8.0]: https://github.com/quay/clair/compare/v4.7.4...v4.8.0\r\n",
      "date_published": "2024-10-09T20:19:32Z",
      "tags": [
        "security"
      ],
      "_tool_id": "clair",
      "_version": "v4.8.0"
    },
    {
      "id": "https://github.com/future-architect/vuls/releases/tag/v0.27.0",
      "url": "https://github.com/future-architect/vuls/releases/tag/v0.27.0",
      "title": "[Vuls] v0.27.0",
      "content_text": "## Changelog\n* 087b620175a81c4e6ac23ffa7399f2c85bb14dd7 chore(deps): bump github.com/aquasecurity/trivy from 0.55.2 to 0.56.1 (#2044)\n* 7c749ea806023d1aeb3d28edbd1264351c754ebb chore(deps): bump the aws group with 5 updates (#2043)\n* 939299bef91b78345a9677c3664ed1c3b9314fe1 chore(deps): bump golang.org/x/text from 0.18.0 to 0.19.0 (#2045)\n* 3dd738d41b35b166a57059954fb140ec00df35a7 feat(detector/microsoft): set WindowsRoughMatch if KB or Version to be fixed is unknown (#2041)\n* 80e417b0e826cccd977f2ae57bf90c00ccb4fc87 refactor: use std slices, maps package (#2042)\n* d5982a25c3f569f028b88295158bfbfe742f191f chore(deps): bump dictionary versions to latest ones (#2040)\n* 0e21ce2c6c97cf8d2281fe55be122480dd880fe1 fix(detector/cpe): do not overwrite distro advisories (#2039)\n* efa290085ec01466d220225efac76deb3617e0bc chore(deps): bump the aws group with 4 updates (#2038)\n* e6c0da61324a0c04026ffd1c031436ee2be9503a fix!(alpine): use source package for detection (#2037)\n* 98cbe6ed837ce5983ddcb138f5c1577b9b7cf2bf build: update go to 1.23 (#2032)\n* 29448878a730b094c2e1804e04b3f0e70330d048 chore(deps): bump github.com/aquasecurity/trivy from 0.55.1 to 0.55.2 (#2030)\n* 1bdf139a4f3b889626a69c48cb65ad22dfe22af3 chore(deps): bump github.com/Azure/azure-sdk-for-go/sdk/storage/azblob (#2029)\n* ba2796fa6d3c764284a68d39cf043f238d3bcf5a chore(deps): bump the aws group with 5 updates (#2028)\n* f00ac85780331a288e2c0f13c3f9bbf468fbc3ce chore(deps): bump github.com/CycloneDX/cyclonedx-go from 0.9.0 to 0.9.1 (#2026)\n* 888933581ffdd21a75095464238017e9bb7c83ed chore(deps): bump github.com/open-policy-agent/opa from 0.67.1 to 0.68.0 (#2027)\n* 1a54673a6adebe72feda803774685ce97d30628c feat(oval/suse): skip comparing TDC package and non-TDC package (#2025)\n* e776be163590f5e5c5f2ae46fbe8f455494e5bdc chore(deps): bump github.com/aquasecurity/trivy from 0.54.1 to 0.55.1 (#2022)\n* ff1ac6d8fc310564589705acb34499a6668cb1df chore(deps): bump the aws group with 5 updates (#2020)\n* 47bd2f115bd2600eb1defd74b3730b00cb6c5d9b chore(deps): bump golang.org/x/oauth2 from 0.22.0 to 0.23.0 (#2023)\n* 61359db5463692d03cc09960e28c5b64ed9a34b0 chore(deps): bump golang.org/x/text from 0.17.0 to 0.18.0 (#2021)\n* 192e017438041f77ea8cd4b9eea0f66faee89438 chore(deps): bump github.com/aws/aws-sdk-go-v2/service/s3 (#2015)\n* e049df50fa1eecdccc5348e27845b5c783ed7c76 feat!(models): add vulncheck kev (#2014)\n* dce837950529084d34c6815fa66e59a4f68fa8e4 chore(deps): bump the aws group across 1 directory with 5 updates (#2013)\n* 6d9c6c48ae293770124ef48f13837e8101753413 chore(deps): bump github.com/samber/lo from 1.46.0 to 1.47.0 (#2008)\n* 2cb2f36fab202959d5769f2b137876cd1c7744df chore(deps): bump go.etcd.io/bbolt from 1.3.10 to 1.3.11 (#2012)\n* 3d01ed8b00271e50c5e1ebebaf167618c5470a4f feat(models): add new cveContentType trivy:azure (#2006)\n* 5858b0a4b86d4a0bece97d92f2cd581b477d82e8 chore(deps): bump github.com/gosnmp/gosnmp from 1.37.0 to 1.38.0 (#2005)\n* 8eca96f12d0c8f2a96ca0884498c73e4e8d4e6cc chore(deps): bump golang.org/x/text from 0.16.0 to 0.17.0 (#2004)\n* 6425193bda28625e8ebd23f388b68426b5ba4b6c fix(detect/oracle): handle ksplice advisories (#2003)\n* f14ca86753cb86290f89da7e23ce23b9860b8202 feat(trivy): support CVSS v4.0 (#1980)\n* b2d4eafa29aa417af6d9dacc473da8bb76840d0c chore(deps): bump golang.org/x/sync from 0.7.0 to 0.8.0 (#2002)\n* 46758eed254ed3aa60afd28428820578abbd0fb7 chore(deps): bump github.com/aquasecurity/trivy from 0.53.0 to 0.54.1 (#2000)\n* 733fbf55f8377216cefbcb7d60a4881ec9d5c662 chore(deps): bump github.com/aws/aws-sdk-go-v2/service/s3 (#1999)\n* 369837f5426f4d3f379f2b59d564dcbe0fb206cf chore(deps): bump golang.org/x/oauth2 from 0.21.0 to 0.22.0 (#2001)\n* c3d21ea3bddf3b6c6f05a84c3064999de00f0ce9 docs: correct ubuntu oval link (#1997)\n* 6c4af01d1bf80249daf18ba50c999d7f93235cff chore(deps): bump github.com/docker/docker (#1995)\n* f6aee5ad97f6a7933dc7ffc791d5b8bb03487aaf chore(deps): bump github.com/Azure/azure-sdk-for-go/sdk/storage/azblob (#1994)\n* 25b15e85a7187e906a8ef7953ff5d7b65ee8498b chore(deps): bump the aws group with 2 updates (#1993)\n* f31cf230ab368df433a6dd5ceb8d8c6b9678585d chore(deps): bump github.com/samber/lo from 1.44.0 to 1.46.0 (#1992)\n* ed0d1b8312b99fb4b09e49b8dfef5f7f1db3d78a chore(deps): bump github.com/emersion/go-smtp from 0.21.2 to 0.21.3 (#1991)\n* 24ae273f7eb839a66705bf5dae13d7d4593b7530 chore(deps): bump the aws group with 5 updates (#1990)\n* ab624670fb2a8e21ee67253a1c70a678cffc93bb chore(deps): bump google.golang.org/grpc from 1.64.0 to 1.64.1 (#1988)\n* a00fe47e5fa0bdbe8a48d307073a2249c9a84575 chore(deps): bump the aws group with 3 updates (#1987)\n* d4f7550d66834fe847df422a5630972f710d1aa6 chore(deps): bump github.com/aquasecurity/trivy from 0.52.2 to 0.53.0 (#1984)\n* 1333f3ac948e60c2addf52162001a75abfc75909 fix(scanner/suse): skip new line in zyper -q lu (#1986)\n* ac55380bd7e72ac49b092bbbae61e2415f3eebae chore(deps): bump github.com/samber/lo from 1.39.0 to 1.44.0 (#1985)\n* 109891e917215f59e657a176a28a93c00b79c0ac chore(deps): bump goreleaser/goreleaser-action from 5 to 6 (#1981)\n* 4633c04d59002a15e7b31dcc7187bd2305e2d99b chore(deps): bump the aws group with 5 updates (#1983)\n* 5db0fdb5d820dd4da879830c45e874e45968b8fb chore(deps): bump docker/build-push-action from 5 to 6 (#1982)\n* a76302c11174ca081f656c63a000ffa746e350af feat(cve/nvd): support CVSS v4.0 (#1979)\n* d8173cdd422ec9f7dfc6a43f75e905dca151a6d9 feat(cve/mitre): support go-cve-dictionary:mitre (#1978)\n* 9beb5fc9f0b5b9ab5b0170e8346142ef883cb493 chore(deps): bump github.com/hashicorp/go-getter from 1.7.4 to 1.7.5 (#1976)\n* 0b4dfa0b31710cd4b093f659bf46f7518f6736f8 chore(deps): bump the aws group with 5 updates (#1974)\n* 0a47a265536fc818750ad2ca24d8d1812b5a4d92 chore(deps): update goval-dictionary (#1973)\n\n",
      "date_published": "2024-10-09T02:53:40Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "vuls",
      "_version": "v0.27.0"
    },
    {
      "id": "https://yamory.io/news/securitydaysfall2024",
      "url": "https://yamory.io/news/securitydaysfall2024",
      "title": "[Yamory] 「Security Days Fall 2024」出展および登壇のお知らせ",
      "content_text": "「Security Days Fall 2024」出展および登壇のお知らせ",
      "date_published": "2024-10-08T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-10-08"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.9.0",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.9.0",
      "title": "[OSV-Scanner] v1.9.0",
      "content_text": "## What's Changed\r\n\r\n### Features:\r\n\r\n- [Feature #1243](https://github.com/google/osv-scanner/pull/1243) Allow explicitly ignoring the license of a package in config with `license.ignore = true`.\r\n- [Feature #1249](https://github.com/google/osv-scanner/pull/1249) Error if configuration file has unknown properties.\r\n- [Feature #1271](https://github.com/google/osv-scanner/pull/1271) Assume `.txt` files with \"requirements\" in their name are `requirements.txt` files\r\n\r\n### Fixes:\r\n\r\n- [Bug #1242](https://github.com/google/osv-scanner/pull/1242) Announce when a config file is invalid and exit with a non-zero code.\r\n- [Bug #1241](https://github.com/google/osv-scanner/pull/1241) Display `(no reason given)` when there is no reason in the override config.\r\n- [Bug #1252](https://github.com/google/osv-scanner/pull/1252) Don't allow `LoadPath` to be set via config file.\r\n- [Bug #1279](https://github.com/google/osv-scanner/pull/1279) Report all ecosystems without local databases in one single line.\r\n- [Bug #1283](https://github.com/google/osv-scanner/pull/1283) Output invalid PURLs when scanning SBOMs.\r\n- [Bug #1278](https://github.com/google/osv-scanner/pull/1278) Apply go version override to _all_ instances of the `stdlib`.\r\n\r\n### Misc:\r\n\r\n- [#1253](https://github.com/google/osv-scanner/pull/1253) Deprecate `ParseX()` functions in `pkg/lockfile` in favor of their `Extract` equivalents.\r\n- [#1290](https://github.com/google/osv-scanner/pull/1290) Bump maximum number of concurrent requests to the OSV.dev API.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.8.5...v1.9.0",
      "date_published": "2024-10-02T06:16:01Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.9.0"
    },
    {
      "id": "https://yamory.io/news/ctcforum2024",
      "url": "https://yamory.io/news/ctcforum2024",
      "title": "[Yamory] 「CTC Forum 2024」出展および登壇のお知らせ",
      "content_text": "「CTC Forum 2024」出展および登壇のお知らせ",
      "date_published": "2024-09-19T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-09-19"
    },
    {
      "id": "https://yamory.io/news/xtechnext2024",
      "url": "https://yamory.io/news/xtechnext2024",
      "title": "[Yamory] 「日経クロステックNEXT 東京 2024」出展および登壇のお知らせ",
      "content_text": "「日経クロステックNEXT 東京 2024」出展および登壇のお知らせ",
      "date_published": "2024-09-19T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "yamory",
      "_version": "2024-09-19"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240913/",
      "url": "https://help.vuls.biz/releasenotes/20240913/",
      "title": "[FutureVuls] 2024-09-13",
      "content_text": "2024-09-13 リリース内容\n#\n本リリースによるスキャナバージョンの変更はありません。\n今回のリリースでは、以下を修正しました。\n一部の脆弱性に限り脆弱性優先度に正しくない値が入る不具合の修正\n#\n8/28 から 9/13 にかけて、一部の脆弱性に限り、正しくない脆弱性優先度が表示される不具合が発生しておりました。\n9/13 18:00 頃に不具合を修正しましたので、影響のあった脆弱性も含めて現在は正しい値が表示されております。\n本不具合に関して、ご不明点やご質問がございましたら、\nサポート窓口\nにお問い合わせください。",
      "date_published": "2024-09-13T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-09-13"
    },
    {
      "id": "https://yamory.io/news/findytools_workshumanintelligence",
      "url": "https://yamory.io/news/findytools_workshumanintelligence",
      "title": "[Yamory] Findy Toolsに株式会社Works Human Intelligence様のレビューが掲載",
      "content_text": "Findy Toolsに株式会社Works Human Intelligence様のレビューが掲載",
      "date_published": "2024-09-12T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-09-12"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.8.5",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.8.5",
      "title": "[OSV-Scanner] v1.8.5",
      "content_text": "## What's Changed\r\n\r\n### Features:\r\n\r\n- [Feature #1160](https://github.com/google/osv-scanner/pull/1160) Support fetching snapshot versions from a Maven registry.\r\n- [Feature #1177](https://github.com/google/osv-scanner/pull/1177) Support composite-based package overrides. This allows for ignoring entire manifests when scanning.\r\n- [Feature #1210](https://github.com/google/osv-scanner/pull/1210) Add FIXED-VULN-IDS to guided remediation non-interactive output.\r\n\r\n### Fixes:\r\n\r\n- [Bug #1220](https://github.com/google/osv-scanner/issues/1220) Fix govulncheck calls on C code.\r\n- [Bug #1236](https://github.com/google/osv-scanner/pull/1236) Alpine package scanning now falls back to latest release version if no release version can be found.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.8.4...v1.8.5",
      "date_published": "2024-09-11T05:58:36Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.8.5"
    },
    {
      "id": "https://yamory.io/news/zdnet1",
      "url": "https://yamory.io/news/zdnet1",
      "title": "[Yamory] 「ZDNET Japan」でプロダクトオーナー鈴木の連載が開始",
      "content_text": "「ZDNET Japan」でプロダクトオーナー鈴木の連載が開始",
      "date_published": "2024-09-09T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "yamory",
      "_version": "2024-09-09"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.8.4",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.8.4",
      "title": "[OSV-Scanner] v1.8.4",
      "content_text": "## What's Changed\r\n\r\n### Features:\r\n\r\n- [Feature #1177](https://github.com/google/osv-scanner/pull/1177) Adds `--upgrade-config` flag for configuring allowed upgrades on a per-package basis. Also hide & deprecate previous `--disallow-major-upgrades` and `--disallow-package-upgrades` flags.\r\n\r\n### Fixes:\r\n\r\n- [Bug #1123](https://github.com/google/osv-scanner/issues/1123) Issue when running osv-scanner on project running with golang 1.22 #1123\r\n\r\n### Misc:\r\n\r\n- [Feature #638](https://github.com/google/osv-scanner/issues/638) Update go policy to use stable go version for builds (updated to go 1.23)\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.8.3...v1.8.4",
      "date_published": "2024-08-22T04:49:46Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.8.4"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.8.3",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.8.3",
      "title": "[OSV-Scanner] v1.8.3",
      "content_text": "## Features:\r\n\r\n- [Feature #889](https://github.com/google/osv-scanner/pull/889) OSV-Scanner now provides \"vertical\" output format!\r\n\r\n## Fixes:\r\n\r\n- [Bug #1115](https://github.com/google/osv-scanner/issues/1115) Ensure that `semantic` is passed a valid `models.Ecosystem`.\r\n- [Bug #1140](https://github.com/google/osv-scanner/pull/1140) Add Maven dependency management to override client.\r\n- [Bug #1149](https://github.com/google/osv-scanner/pull/1149) Handle Maven parent relative path.\r\n\r\n## Misc:\r\n\r\n- [Feature #1091](https://github.com/google/osv-scanner/pull/1091) Improved the runtime of DiffVulnerabilityResults. Thanks @neilnaveen!\r\n- [Feature #1125](https://github.com/google/osv-scanner/pull/1125) Workflow for stale issue and PR management.\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.8.2...v1.8.3",
      "date_published": "2024-08-07T04:39:08Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.8.3"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.8.2",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.8.2",
      "title": "[OSV-Scanner] v1.8.2",
      "content_text": "## Features:\r\n\r\n- [Feature #1014](https://github.com/google/osv-scanner/pull/1014) Adding CycloneDX 1.4 and 1.5 output format. Thanks @marcwieserdev!\r\n\r\n## Fixes:\r\n\r\n- [Bug #769](https://github.com/google/osv-scanner/issues/769) Fixed missing vulnerabilities for debian purls for `--experimental-local-db`.\r\n- [Bug #1055](https://github.com/google/osv-scanner/issues/1055) Ensure that `package` exists in `affected` property.\r\n- [Bug #1072](https://github.com/google/osv-scanner/issues/1072) Filter out unimportant vulnerabilities from vuln group.\r\n- [Bug #1077](https://github.com/google/osv-scanner/issues/1077) Fix rate osv-scanner deadlock.\r\n- [Bug #924](https://github.com/google/osv-scanner/issues/924) Ensure that npm dependencies retain their \"production\" grouping.\r\n\r\n\r\n## New Contributors\r\n* @neilnaveen made their first contribution in https://github.com/google/osv-scanner/pull/1076\r\n* @marcwieserdev made their first contribution in https://github.com/google/osv-scanner/pull/1014\r\n* @GeoDerp made their first contribution in https://github.com/google/osv-scanner/pull/1073\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.8.1...v1.8.2",
      "date_published": "2024-07-10T06:21:54Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.8.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240624/",
      "url": "https://help.vuls.biz/releasenotes/20240624/",
      "title": "[FutureVuls] 2024-06-24",
      "content_text": "2024-06-24 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能を利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用してください。\n2024年6月24日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.26.0-rc2 build-cb26be1\nVersion: 2024/02\nWindows用\nvuls v0.25.2 build-e25ec99\nVersion: 2023/09\nTrivy\n0.49.1\n2024/04\n新機能：マリシャスパッケージ管理\n#\n悪意のあるコードを含むパッケージを自動検知・検索する新機能を追加しました。これにより、意図せず依存ライブラリに組み込まれて利用されているマリシャスパッケージを検知可能になりました。\nマリシャスパッケージ情報の表示\n#\nソフトウェア一覧や詳細画面で、マリシャスパッケージ情報を確認できます。\n詳しくは「\nヘルプ > ソフトウェア\n」をご参照ください。\nマリシャスパッケージの横断検索\n#\nグループセット機能は CSIRT プランのみ対象です。\nグループセット内でマリシャスパッケージに汚染されたソフトウェアをグループ横断検索できます。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断でマリシャスパッケージの混在をチェックできます。\n新機能：ライブラリEOL管理の強化\n#\nグループセット機能は CSIRT プランのみ対象です。\nグループセット内で EOL が判明しているソフトウェアをグループ横断検索できるようになりました。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断で EOL 情報をチェックするといった用途で使えます。\n新機能：SBOMインポート機能の強化\n#\nSPDX\n仕様の SBOM ファイルをインポートできるようになりました。\nCycloneDX Generator (cdxgen)\nの SBOM をインポートできるようになりました。\nSBOM インポート機能の詳細は以下のマニュアルを参照してください。\nサーバのSBOMインポート\nアプリケーションのSBOMインポート\nスキャン方法の選択肢と特徴\n」\n新機能：タスクコメントへのファイル添付\n#\n本機能は CSIRT プランのみ対象です。\n投稿したコメントにファイルを添付できる機能を追加しました。クリップアイコンをクリックするとファイル添付のダイアログが開きます。\n添付できるファイルの制限は以下の通りです：\nファイルサイズ上限: 100MB\nアップロード可能なファイル形式:\n画像ファイル（\n.jpg\n,\n.jpeg\n,\n.png\n,\n.gif\n,\n.bmp\n,\n.tiff\n）\n動画ファイル（\n.mp4\n,\n.avi\n,\n.mov\n,\n.wmv\n,\n.mkv\n）\nテキストファイル（\n.txt\n,\n.csv\n,\n.log\n）\n文書ファイル（\n.pdf\n,\n.doc\n,\n.docx\n,\n.xls\n,\n.xlsx\n,\n.ppt\n,\n.pptx\n）\n圧縮ファイル（\n.zip\n,\n.rar\n,\n.7z\n,\n.tar.gz\n）\n機能改善\n#\n対応OSの追加\n#\n2024年4月26日にリリースされた Ubuntu 24.04 Noble Numbat に対応しました。対応 OS の一覧は「\n対応環境\n」をご参照ください。\nLockfileの種別追加\n#\nサーバに登録できるアプリケーションライブラリの種別を追加しました。以下の Lockfile に対応しています：\n言語\nパッケージ管理\nLockfile\ndart\npub\npubspec.lock\nelixir\nmix\nmix.lock\nswift\ncocoapods\nPodfile.lock\nswift\nswift\nPackage.resolved\nGo\n-\ngo.mod（go.sumは非推奨）\n「サーバ」>「アプリケーションライブラリ」の「LOCKFILE 追加」から追加できます。\nタスクステータス更新日時の表示\n#\nタスクのステータスが更新された日時をグループ・グループセットのタスク一覧の\nステータス更新日時\nから確認できるようになりました。\nステータス更新日時\nをフィルタ・ソートして、指定した期間にステータスが変化したタスクを確認できます。\nコメント投稿日時の表示\n#\nグループとグループセットのタスク一覧の\nコメント更新日時\n列から最新のコメントが投稿された日時を確認できるようになりました。\nコメント更新日時\nをフィルタ・ソートすることで、最新コメントが投稿されたタスクを確認できます。\nAWS LambdaとECRの一括登録\n#\nグループの AWS 認証情報に紐付く AWS Lambda と ECR を FutureVuls コンソールに表示し、その中から複数選択して登録できるようになりました。\nこれまでのように AWS コンソールで URI や ARN を1つ1つコピーする必要がなく、FutureVuls コンソール内で一度の操作で登録処理を完結できます。\nこの新機能を利用するには、AWS ポリシーに以下の2つのアクションを追加する必要があります：\nDescribeRepositories (ECR の一括登録)\nListFunctions (Lambda の一括登録)\n詳細は「\nAWS認証設定\n」をご確認ください。\nユーザの最新アクセス日時の取得\n#\nオーガニゼーション単位で、ユーザが FutureVuls 上で最後に操作した時刻情報を、\nFutureVuls API\nで取得できるようになりました。\nメンバ一覧取得のAPI\nで、\nlastAccessedAt\nというフィールドから取得可能です。\n長期間利用されていないユーザの監査にご活用ください。\nFutureVuls APIからロールとグループのSSVC設定が取得できるように\n#\nFutureVuls API\nで、ロールとグループの SSVC 設定を取得できるようになりました。\nSSVC 設定を取得できる API は以下の２つとなります。\nロール詳細取得のAPI\nserverRoleSSVCDecisionPoint\nというフィールドから取得可能です。\nグループ一覧取得のAPI\ngroupSSVCDecisionPoint\nというフィールドから取得可能です。\nスクリプト等を用いて複数のロール、グループの SSVC 設定をまとめて取得できます。\n効率的な SSVC 設定の管理にご活用ください。\nグループ・グループセットへユーザを追加するAPIを追加\n#\nFutureVuls API\nを利用して、オーガニゼーションに所属しているユーザをグループ・グループセットに追加する機能を実装しました。\nスクリプト等を用いて複数のユーザのグループ・グループセットへの追加を自動化できます。効率的なユーザの管理にご活用ください。\n詳しくはこちらの\nドキュメント\nも参考にしてください。\nグループの「重要な未対応」の条件設定で脆弱性優先度を選択可能に\n#\n今までグループの「重要な未対応」の条件には脆弱性優先度\nHIGH\nのものが自動的に条件に設定されていましたが、今回のリリースで脆弱性優先度を\nHIGH\nMEDIUM\n未設定\nの3種類から選択可能になりました。（デフォルトでは\nHIGH\nが設定されています。）\n各値を設定した時の「重要な未対応」の判断は以下のとおりです：\nHIGH\n: 脆弱性優先度\nHIGH\nのものは重要な未対応の対象となる\nMEDIUM\n: 脆弱性優先度\nHIGH\nと\nMEDIUM\nのものは重要な未対応の対象となる\n未設定\n: 脆弱性優先度を対象としない\n仕様変更\n#\n通知用メールアドレス\nの通知対象に、Daily Report / Weekly Report を追加しました。\nImmediateなタスク通知\nの通知対象設定が「\nグループ全員\n」の場合、通知対象を変更しました。\n変更前：グループに所属するユーザ / そのグループを含むグループセットに所属するユーザ / オーナー / CSIRT\n変更後：グループに明示的に所属するユーザのみ\nタスクコピー\n時に、過去のタスクコメントもコピーするようにしました。また、コピーの際タスクコピーに伴う変更内容をコメントとして記録します。",
      "date_published": "2024-06-24T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-06-24"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.8.1",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.8.1",
      "title": "[OSV-Scanner] v1.8.1",
      "content_text": "# v1.8.0/v1.8.1:\r\n\r\n### Features:\r\n\r\n- [Feature #35](https://github.com/google/osv-scanner/issues/35)\r\n  OSV-Scanner now scans transitive dependencies in Maven `pom.xml` files!\r\n  See [our documentation](https://google.github.io/osv-scanner/supported-languages-and-lockfiles/#transitive-dependency-scanning) for more information.\r\n- [Feature #944](https://github.com/google/osv-scanner/pull/944)\r\n  The `osv-scanner.toml` configuration file can now filter specific packages with new `[[PackageOverrides]]` sections:\r\n  ```toml\r\n  [[PackageOverrides]]\r\n  # The package name, version, and ecosystem to match against\r\n  name = \"lib\"\r\n  # If version is not set or empty, it will match every version\r\n  version = \"1.0.0\"\r\n  ecosystem = \"Go\"\r\n  # Ignore this package entirely, including license scanning\r\n  ignore = true\r\n  # Override the license of the package\r\n  # This is not used if ignore = true\r\n  license.override = [\"MIT\", \"0BSD\"]\r\n  # effectiveUntil = 2022-11-09 # Optional exception expiry date\r\n  reason = \"abc\"\r\n  ```\r\n\r\n### Minor Updates\r\n\r\n- [Feature #1039](https://github.com/google/osv-scanner/pull/1039) The `--experimental-local-db` flag has been removed and replaced with a new flag `--experimental-download-offline-databases` which better reflects what the flag does.  \r\n  To replicate the behavior of the original `--experimental-local-db` flag, replace it with both `--experimental-offline --experimental-download-offline-databases` flags. This will run osv-scanner in offline mode, but download the latest version of the vulnerability databases before scanning.\r\n\r\n### Fixes:\r\n\r\n- [Bug #1000](https://github.com/google/osv-scanner/pull/1000) Standard dependencies now correctly override `dependencyManagement` dependencies when scanning `pom.xml` files in offline mode.\r\n\r\n## New Contributors\r\n* @np5 made their first contribution in https://github.com/google/osv-scanner/pull/1029\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.7.4...v1.8.1",
      "date_published": "2024-06-21T02:49:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.8.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240606/",
      "url": "https://help.vuls.biz/releasenotes/20240606/",
      "title": "[FutureVuls] 2024-06-06",
      "content_text": "2024-06-06 リリース内容\n#\n本リリースによるスキャナバージョンの変更はありません。\n今回のリリースでは、以下の機能を追加しました。\nFutureVuls API からタスクを取得する際に newedAt（初回検知日時）でフィルタできるように\n#\nFutureVuls API から取得するタスクのリストを、\nnewedAt（初回検知日時）\nの日付でフィルタできるようになりました。\n対象の API は以下の2つです。\n/v1/tasks\n/v1/groupSet/tasks\n利用例\n#\nフィルタなしの場合\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/tasks?limit=1000\"\n日本時間の\n2024年5月17日「以降」\nに作成されたタスクを取得したい\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/tasks?limit=1000&filterNewedAtAfter=2024-05-16T15:00:00Z\"\n# ex. タスク数をカウントしたい場合\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/tasks?limit=1000&filterNewedAtAfter=2024-05-16T15:00:00Z\"\n|\njq\n.tasks\n[]\n.newedAt\n|\nwc\n-l\n日本時間の\n2024年5月17日「以前」\nに作成されたタスクを取得したい\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/tasks?filterNewedAtBefore=2024-05-16T15:00:00Z\"\n日本時間の\n2024年5月17日から2024年5月23日の間\nに作成されたタスクを取得したい\ncurl\n-s\n-H\n'accept: application/json'\n-H\nAuthorization:<token>\n\"https://rest.vuls.biz/v1/tasks?limit=1000&filterNewedAtAfter=2024-05-16T00:00:00Z&filterNewedAtBefore=2024-05-22T15:00:00Z\"\n詳細はこちらの「\nAPIドキュメント\n」をご参照ください。",
      "date_published": "2024-06-06T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-06-06"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.7.4",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.7.4",
      "title": "[OSV-Scanner] v1.7.4",
      "content_text": "# v1.7.4:\r\n\r\n### Features:\r\n\r\n- [Feature #943](https://github.com/google/osv-scanner/pull/943) Support scanning gradle/verification-metadata.xml files.\r\n\r\n### Misc:\r\n\r\n- [Bug #968](https://github.com/google/osv-scanner/issues/968) Hide unimportant Debian vulnerabilities to reduce noise.\r\n\r\n## New Contributors\r\n* @khorben made their first contribution in https://github.com/google/osv-scanner/pull/969\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.7.3...v1.7.4",
      "date_published": "2024-05-30T01:58:25Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.7.4"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240513/",
      "url": "https://help.vuls.biz/releasenotes/20240513/",
      "title": "[FutureVuls] 2024-05-13",
      "content_text": "2024-05-13 リリース内容\n#\n本リリースによるスキャナバージョンの変更はありません。\n今回のリリースでは、以下の変更が入りました。\nRed Hat 系 OS で誤検知が起きる不具合を修正\n#\nパッチ提供がない脆弱性について、 FutureVuls では Red Hat の Security Tracker を参照して検知していました。\nFutureVuls がスキャンで取得するパッケージ名はバイナリパッケージである一方、\nこの Security Tracker に記述されるパッケージ名称はソースパッケージ名となっています。\nこのため、ソースパッケージとバイナリパッケージで名前が異なるパッケージにおいて誤検知が発生していました。\nこの不具合を修正するため、このリリースからは Red Hat 系 OS で OVAL データを用いて、\nバイナリパッケージ名で検知するよう変更しました。\n対象となる OS は次のとおりです。\nRed Hat Enterprise Linux\nCentOS\nRocky Linux\nAlmaLinux OS\n誤検知が起きていたパターンは2種類です。\nひとつ目は、インストールされたバイナリパッケージ名と対応するソースパッケージ名が異なる場合です。\nソースパッケージ名で SecurityTracker が出るため、バイナリパッケージでは本来検知されるべき脆弱性が\n検知されないパターンの誤検知となります。\nふたつ目はバイナリパッケージと同じ名前のソースパッケージが存在する場合です。\nこの場合は、ソースパッケージ名で SecurityTracker を参照するため、バイナリパッケージには関係のない\n脆弱性が誤って検知されるパターンの誤検知がありえます。\nこれに伴い、モジュールに所属するパッケージに対して、パッチ提供がない脆弱性を検知出来なかった不具合も修正されています。",
      "date_published": "2024-05-13T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-05-13"
    },
    {
      "id": "https://github.com/google/osv-scanner/releases/tag/v1.7.3",
      "url": "https://github.com/google/osv-scanner/releases/tag/v1.7.3",
      "title": "[OSV-Scanner] v1.7.3",
      "content_text": "# v1.7.3:\r\n\r\n### Features:\r\n\r\n- [Feature #934](https://github.com/google/osv-scanner/pull/934) add support for PNPM v9 lockfiles.\r\n\r\n### Fixes:\r\n\r\n- [Bug #938](https://github.com/google/osv-scanner/issues/938) Ensure the sarif output has a stable order.\r\n- [Bug #922](https://github.com/google/osv-scanner/issues/922) Support filtering on alias IDs in Guided Remediation.\r\n\r\n\r\n**Full Changelog**: https://github.com/google/osv-scanner/compare/v1.7.2...v1.7.3",
      "date_published": "2024-05-09T00:54:39Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "osv-scanner",
      "_version": "v1.7.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240502/",
      "url": "https://help.vuls.biz/releasenotes/20240502/",
      "title": "[FutureVuls] 2024-05-02",
      "content_text": "2024-05-02 リリース内容\n#\n本リリースによるスキャナバージョンの変更はありません。\n今回のリリースでは、以下の変更が入りました。\nFutureVuls APIからタスクを取得する際にSSVC Priorityでフィルタできるように\n#\nFutureVuls API から取得するタスクのリストを、SSVC Priority の値でフィルタできるようになりました。\n対象の API は以下の通りです。\n/v1/tasks\n/v1/groupSet/tasks\nSSVC Priority が\nimmediate\nや\nout_of_cycle\nに設定されている優先度の高いタスクのみを取得できます。\n詳細はこちらの\nAPIドキュメント\nを参照してください。",
      "date_published": "2024-05-02T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-05-02"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.4",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.4",
      "title": "[Clair] v4.7.4 Release",
      "content_text": "<a name=\"unreleased\"></a>\r\n## [Unreleased]\r\n\r\n\r\n<a name=\"v4.7.4\"></a>\r\n## [v4.7.4] - 2024-05-01\r\n\r\n### NOTE\r\n[The default layer download location has changed](https://github.com/quay/clair/blob/release-4.7/Documentation/howto/deployment.md#disk-usage-considerations)\r\n\r\n### Claircore\r\n- tarfs: follow hardlinks in `ReadFile`\r\n  <details>\r\n  This makes `fs.ReadFile` work as expected when opening hardlinks.\r\n  </details>\r\n\r\n- debian: update how \"source\" packages are handled\r\n  <details>\r\n  Previously, the Updater parsed metadata from the repository to try to\r\n  record only \"binary\" packages. This was inaccurate and, with the new\r\n  dpkg handling, now unneeded. The new approach should be more accurate.\r\n  </details>\r\n\r\n- dpkg: improve Source handling\r\n  <details>\r\n  The dpkg handling machinery now correctly records source packages and\r\n  versions. Previously, version differences between a source package and\r\n  the resulting binary package(s) were incorrect if the versions were not\r\n  identical.\r\n  </details>\r\n\r\n- libindex: add `O_TMPFILE` fallback logic\r\n  <details>\r\n  After discovering that some common deployment methods are incompatible with\r\n  using the `O_TMPFILE` `open(2)` flag, a fallback path has been added. The\r\n  changes also move the default location of where temporary files are downloaded\r\n  to, to better align with the layout recommended by systemd.\r\n  \r\n  Please see [the documentation] for specifics.\r\n  \r\n  [the documentation]: https://pkg.go.dev/github.com/quay/claircore/libindex@v1.5.\r\n  26-0.20240325212310-fedb9d327aa7#NewRemoteFetchArena\r\n  </details>\r\n\r\n- osv: parse database_specific severity when no CVSS severity is defined\r\n  <details>\r\n  Occasionally there are OSV advisories that don't include any severity\r\n  information in the `.severity` object but they do contain a severity in\r\n  the `.database_specific` object. This change attempts to parse that\r\n  severity if we don't get a severity from the native `.severity` object.\r\n  </details>\r\n\r\n### Build(Deps)\r\n- [3ebd889c](https://github.com/quay/clair/commit/3ebd889cb37603e071ba0d8fb8ba631702b13414): bump peter-evans/create-pull-request from 6.0.0 to 6.0.1\r\n- [b7566a0f](https://github.com/quay/clair/commit/b7566a0feedc5de0227a5bfd6e2921014ec68704): bump peter-evans/create-pull-request from 5.0.2 to 6.0.0\r\n- [4db2f09b](https://github.com/quay/clair/commit/4db2f09be2330e4dc9061dc2e9d44d8979b8c34d): bump actions/cache from 3 to 4\r\n- [6cef8311](https://github.com/quay/clair/commit/6cef8311255b024dd3a1fc0a70f7edf38969906c): bump actions/upload-artifact from 3 to 4\r\n- [5ed80215](https://github.com/quay/clair/commit/5ed80215fa17adb7e72ba3d9267368474afd411e): bump actions/download-artifact from 3 to 4\r\n- [c9e1f56b](https://github.com/quay/clair/commit/c9e1f56b224f25aacd5df861563006520e63297b): bump actions/setup-go from 4 to 5\r\n- [3ab3de55](https://github.com/quay/clair/commit/3ab3de558380fff38b8503de914c1b9c0611c4c8): bump actions/stale from 8 to 9\r\n- [591188f0](https://github.com/quay/clair/commit/591188f0a877b81878209be4b9185d4cb7c404f3): bump docker/setup-buildx-action from 2 to 3\r\n- [7ef6ef6b](https://github.com/quay/clair/commit/7ef6ef6b7587386b80cef9fbe7269b0083c8f039): bump docker/login-action from 2 to 3\r\n- [5597e7cc](https://github.com/quay/clair/commit/5597e7ccb94c113cc8344e8289be886049b23f63): bump docker/build-push-action from 4 to 5\r\n- [14d7f2b4](https://github.com/quay/clair/commit/14d7f2b4927fa9e4debc9005fb6dc620a6a47833): bump docker/setup-qemu-action from 2 to 3\r\n- [1204db98](https://github.com/quay/clair/commit/1204db98853cdfdce7790f3d3276d4617e4e3000): bump actions/checkout from 3 to 4\r\n### Chore\r\n- [4170798b](https://github.com/quay/clair/commit/4170798b6d464be0b8f74b1979785a17ad71dbd0): 4.7.4 changelog bump\r\n- [96dc6074](https://github.com/quay/clair/commit/96dc60748b492df1cb4af3761c9c44c10266ed09): Add merge step when creating release binaries\r\n- [a1c7eb7c](https://github.com/quay/clair/commit/a1c7eb7c8cce687e12fcc056be1acacbdc608a31): update go version for release\r\n- [6eeb9393](https://github.com/quay/clair/commit/6eeb9393b539cf49a10c42e247b833ce7e040607): update claircore to v1.5.27\r\n- [809dd5ab](https://github.com/quay/clair/commit/809dd5ab474994eb9a32599f4257437fde995064): update go version\r\n### Cicd\r\n- [e6378d03](https://github.com/quay/clair/commit/e6378d0333085a072cf73bfa32228af24b710b05): add container version skew check\r\n- [2ba3ecc0](https://github.com/quay/clair/commit/2ba3ecc0a66679dcd82f7015695db5b2a3f0c02a): update testing workflow\r\n- [ae135c49](https://github.com/quay/clair/commit/ae135c4956358d6c18109438b6e59170100787ea): don't upload workspace on failure\r\n- [7222dc88](https://github.com/quay/clair/commit/7222dc88d4fe919cc2b88e2fe7587061a881b794): change version specifiers to be major-version only\r\n### Clairctl\r\n- [2a2ba37f](https://github.com/quay/clair/commit/2a2ba37f6404e377d702e50f78bccd172b08b03f): warn when range requests are not honored\r\n### Dockerfile\r\n- [5547b96a](https://github.com/quay/clair/commit/5547b96aeff795da43fbc6e2dc8ec7b5dda7691d): remove sh loop\r\n### Docs\r\n- [3753415b](https://github.com/quay/clair/commit/3753415b4e2b6bc9b63a940b8b2101d82ab523ef): add mention of disk space path and usage\r\n### Httptransport\r\n- [c6df986f](https://github.com/quay/clair/commit/c6df986fddfe5121b6fd9dbfff0ccca35c55cb71): GET vuln report returns 404 when indexing in-progress\r\n### Initialize\r\n- [9828576a](https://github.com/quay/clair/commit/9828576af20c966e0dbe99bbac68d3e80b07baa1): use defaults for NewRemoteFetcher\r\n\r\n[Unreleased]: https://github.com/quay/clair/compare/v4.7.4...HEAD\r\n[v4.7.4]: https://github.com/quay/clair/compare/v4.7.3...v4.7.4\r\n",
      "date_published": "2024-05-01T16:59:42Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.4"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240415/",
      "url": "https://help.vuls.biz/releasenotes/20240415/",
      "title": "[FutureVuls] 2024-04-15",
      "content_text": "2024-04-15 リリース内容\n#\n本リリースによるスキャナバージョンの変更はありません。\n新機能: 優先度の自動付与機能を公開\n#\nCSIRT プランに脆弱性やタスクの優先度を、事前に定義したルールベースで自動付与する機能を公開しました。\n本機能を用いると、組織ポリシーに沿った優先度ルールを元に、検知した脆弱性とタスクの優先度を自動で設定できます。\n例えば、「CVSS が9以上」かつ「CERT から注意喚起が公開されている」タスクの優先度を「HIGH」に自動で設定できます。\n機能の詳しい設定方法は下記リンクを参照ください。\n自動脆弱性優先度\nタスク優先度ルールセット\n新機能: 検知対象の拡張\n#\nLinux スキャンのサポート対象を拡大し、RHEL ELS や Extra リポジトリなどからインストールされたパッケージの脆弱性を検知できるようになりました。\nディストリビューション\nサポートバージョン\n追加した検知対象のリポジトリ\nRed Hat Enterprise Linux\n6\nExtras, Supplementary, Extended Life Cycle Support\nRed Hat Enterprise Linux\n7\nExtras, Supplementary",
      "date_published": "2024-04-15T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-04-15"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240401/",
      "url": "https://help.vuls.biz/releasenotes/20240401/",
      "title": "[FutureVuls] 2024-04-01",
      "content_text": "2024-04-01 リリース内容\n#\nサーバに導入済みのスキャナは定期的に更新してください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます。\n古いスキャナでは最新機能が利用できない場合があります。\nスキャナの更新方法は\nこちら\nです。自動更新オプションを活用ください\n2024年4月1日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.25.2 build-e25ec99\nVersion: 2024/02\nWindows用\n[NEW] vuls v0.25.2 build-e25ec99\nVersion: 2023/09\nTrivy\n[NEW] 0.49.1\n2024/04\n新機能: OSSライブラリのEOL管理\n#\nOSS ライブラリの End Of Life (EOL) 情報を一元管理する新機能を導入しました。これにより、セキュリティ部門や運用者は、EOL に達したライブラリを素早く特定し、アップデート計画を前もって立てることが可能になります。\n詳細は、「\nヘルプ > ソフトウェア\n」を参照してください。\n現在EOL検知に対応しているスキャン方法は、以下の4つのみとなります。\nVulsスキャナによるLockfileを指定したスキャン\nTrivyでファイルシステム上のパスを指定したスキャン\nLockfileのペーストスキャン\nコンテナイメージ内にインストールされた依存ライブラリをTrivyでスキャン\n新機能: AWS Lambdaの脆弱性を管理できるように\n#\nAWS Lambda の脆弱性を FutureVuls で管理する機能を新たに提供します。Amazon Inspector との連携により、AWS Lambda の脆弱性情報を FutureVuls 上で一元的に管理し、SSVC を活用した自動優先度判断とタスク管理が可能です。\nヘルプ > AWS Lambda脆弱性スキャンの設定方法\nFutureVulsとAWS連携のメリット詳細\n新機能: FutureVuls APIにオーガニゼーション管理用を追加\n#\n組織全体のグループやメンバ情報を簡単に取得できる新 API を追加しました。定期的な監査や管理作業を効率化するためにご利用いただけます。\nグループ一覧取得\n#\nオーガニゼーションの全グループとそのメンバ情報を確認できます。\n組織全体のグループ / グループセット / メンバ所属状況などの、定期監査で必要な情報を REST API で取得できます。\nAPIドキュメント\nで詳細な Response を確認できます。\nグループセット一覧取得\n#\n指定したオーガニゼーションのグループセットの一覧とそのグループ、メンバの一覧を取得します。\nレスポンスには各グループセット内でのグループ情報や所属ユーザ情報などが含まれます。\nグループセットの作成状況および各グループの所属情報を把握する際にご活用ください。\nAPIドキュメント\nで詳細な Response を確認できます。\nメンバ一覧取得\n#\n指定したオーガニゼーションに所属する全メンバのロールやグループ所属状況を一覧表示します。\nレスポンスには各ユーザの表示名、オーガニゼーション内での権限、各グループ内でのロールなどが含まれます。\nメンバの表示名やログイン方法の監査や、メンバを起点としてどのグループに所属しているかを把握する際にご活用ください。\nAPIドキュメント\nで詳細な Response を確認できます。\n改善点\n#\nタスク非表示条件の柔軟な設定\n#\n「脆弱性情報に何らかの変更」または「指定した期日まで」を OR 条件で指定できるようになりました。\nWindowsのペーストスキャンで、サードパーティアプリケーションのリストを登録できるように\n#\nWindowsペーストスキャン機能\nを拡張し、サードパーティアプリケーションのリストを簡単に登録できるようになりました。これにより、Windows のペーストスキャンでもサードパーティソフトウェアの脆弱性管理が容易になります。\n簡単に CPE 登録する方法は、FutureVuls Blog の「\n新機能:FutureVuls、Windowsのサードパーティソフトウェアの脆弱性検知がより楽に\n」を参照してください。\n通知用メールアドレスの複数登録サポート\n#\n「グループ設定 > 通知」セクションに「メーリングリスト」オプションを追加。これにより、FutureVuls に登録されていないメールアドレスへの通知が可能になり、チーム全体への情報共有がスムーズに行えます。\n今回のリリースでは、「\nImmediateなタスクの即時通知\n」に対応しました。\nその他の通知機能についても、順次対応を検討しております。\n脆弱性に対して優先度を設定できるように\n#\n検知された脆弱性に対して、グループ単位で脆弱性優先度を設定できるようになりました。\nタスクと同様に脆弱性に対しても\nHIGH\n,\nMEDIUM\n,\nLOW\n,\nNONE\nの優先度を設定できます。\n脆弱性が検知されてタスクが自動作成される際に、その時点で設定されている脆弱性優先度がタスクの優先度として自動設定されます。\nなお、\nHIGH\nが設定された場合は脆弱性一覧とタスク一覧の該当行がハイライトされます。\nヘルプ > 優先度\nCSIRT プランは「\n自動脆弱性優先度\n」機能を利用できます。\nタスク優先度と脆弱性優先度の画面表記のカスタマイズ機能\n#\nオーガニゼーション設定から、タスク優先度と脆弱性優先度の画面表記を変更できるようになりました。\nHIGH\n,\nMEDIUM\n,\nLOW\n,\nNONE\nをそれぞれ変更できます。\nSSVCのトリガー&アクション変更時に新しいアクションを自動適用するように\n#\nこれまで SSVC トリガー&アクションの設定を変更した際に、既存タスクに対して新しいアクションの内容が自動適用されていませんでしたが、今回のリリースから変更時にアクションが自動適用されます。\n具体的には、たとえば「immediate のトリガー&アクションの設定を変更し対応期限を１日後」に変更した場合は、「すでに immediate がセットされている既存タスクの対応期限が明日」に自動適用されます。\nなお、既存タスクへのアクションの適用は非同期で処理が行われるため、即時反映されない場合がある点をご認識ください。\nパッチ提供有無の表示精度を改善\n#\nFutureVuls では脆弱性やタスクごとにパッチ提供の有無を表示していますが、一部スキャン方法(CPE スキャンと Windows スキャン)において精度を改善しました。これにより、脆弱性への対応としてパッチを適用するのかそれ以外の方法を取るのか判断しやすくなりました。\n脆弱性DBの更新頻度を高め、より迅速に検知できるように\n#\nこれまでは FutureVuls サービス側で保持している脆弱性 DB は朝晩の2回更新していましたが、1日6回（4時間に1回）に変更しました。これにより、緊急度の高い脆弱性情報が公開された場合に、これまでよりも迅速に検知できるようになりました。\nTrivyのバージョンアップによる対応環境の強化\n#\nTrivy を 0.49 系にアップデートし、対応する LockFile が増えました。詳細は\n対応環境\nをご覧ください。\nWordPressなどの一次情報のURLを脆弱性詳細ページに掲載\n#\nWordPress 本体、テーマ、プラグインの43,000件以上の脆弱性情報が管理されている「\nwpscan.com\n」の詳細情報が、脆弱性詳細ページで表示されるようになりました。\nまた、Debian のアドバイザリの一部で「\nTEMP-から始まるアドバイザリ\n」についても脆弱性詳細ページにリンクが掲載されます。\n仕様変更\n#\nDangerフラグ機能を廃止\n#\n今回のリリースで脆弱性優先度が追加されたため、Danger フラグ機能を撤廃しています。過去に Danger フラグがつけられた脆弱性に関しては、優先度\nHIGH\nとして変更しています。\nWindowsの初回スキャン時のサーバ名にホスト名を設定\n#\nWindows の初回スキャン時に、ホスト名が自動的に FutureVuls のサーバ名として設定されるようになりました。\nFutureVuls API経由のタスク更新者を\nAPI\nユーザに変更\n#\nこれまで FutureVuls API 経由でタスクを更新すると、\nシステム\nユーザによる更新としてタスクへのコメントが追加されていましたが、今回のリリースより\nAPI\nユーザのコメントとなるよう仕様を変更しました。\n「SSOで招待したユーザ」にたいして承諾前にロール変更・招待破棄可能に\n#\nこれまでグループへ外部のユーザを「SSO ユーザ」として招待する際、承諾前にロール変更・招待破棄ができませんでしたが、今回のリリースにより操作可能となりました。\n非推奨機能\n#\nGCP連携\n#\nGoogle Cloud の Container Registry サポート終了に伴い、FutureVuls では GCP 連携機能を非推奨とします。Artifact Registry への移行をお勧めします。詳細は、\nGoogle Cloudの公式アナウンスメント\nをご参照ください。\nFutureVuls として「Container Registry の非推奨」に伴う対応を2024年5月15日までに行う予定が現在はないため、2024年5月15日以降に GCP 連携による登録済みの Container Registry の Docker Image の脆弱性管理を保証できません。そのため、\nTrivy連携\nによるスキャンへの方針変更を推奨しています。\nもし Artifact Registry 対応の要望がございまいたら、\n機能追加要望\nよりお問い合わせください。\n追記(2024年10月21日)\n#\n2024年10月21日から、Artifact Registry 連携が利用可能となりました。\n詳細については下記をご参照ください。\nリリースノート\n操作マニュアル\nGCP認証情報の登録\nコンテナイメージの登録",
      "date_published": "2024-04-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-04-01"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.3",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.3",
      "title": "[Clair] v4.7.3 Release",
      "content_text": "Highlights:\r\n\r\n- The minimum TLS version is now 1.2. \r\n  Previously, servers also allowed 1.1 connections.\r\n- Claircore is updated to v1.5.25:\r\n  <details>\r\n\r\n  - rhcc, rhel: support compression of sideband data\r\n    <details>\r\n    If a Clair instance is using local files for the data needed for the\r\n    `rhel` and `rhcc` indexers, this data may now be compressed. This should\r\n    allow for the files to fit within a Kubernetes ConfigMap, making some\r\n    deployments easier to wrangle.\r\n    </details>\r\n  \r\n  - datastore: add \"delta\" update interface\r\n    <details>\r\n    This change should allow for updaters to use fewer resources and consume\r\n    API-based data sources in the future. As of this change, no in-tree\r\n    updaters have been converted to this interface.\r\n    </details>\r\n  \r\n  - java: size buffers correctly before use\r\n    <details>\r\n    This should reduce memory consumption for indexing layers that have\r\n    deeply nested Java archives.\r\n    </details>\r\n  \r\n  - postgres: remove internal timeouts\r\n    <details>\r\n    Database queries now take as long as needed to execute. This shouldn't\r\n    negatively affect any working uses, and should make some slower or\r\n    less-optimized queries possible on larger instances.\r\n    </details>\r\n  \r\n  - integration: make `PGVERSION` a pattern\r\n    <details>\r\n    The behavior of the setup of an embedded PostgreSQL in integration tests\r\n    has changed. The relevant environment variable (`PGVERSION`) is now a\r\n    pattern instead of a literal version string. Note that a version string\r\n    would be a patten that matches itself, so that format continues to work.\r\n    \r\n    Additionally, the version used is now read from the distributed\r\n    manifest, rather than hard-coded versions. Other than occasional network\r\n    calls to fetch this manifest, users shouldn't notice any difference.\r\n    </details>\r\n  \r\n  - alpine: add edge support\r\n    <details>\r\n    Alpine's `edge` version should now be supported for reporting.\r\n    </details>\r\n  \r\n  - rpm: support PGP V4 signatures\r\n    <details>\r\n    Rpm has apparently started using \"current\"/V4 PGP signatures, which\r\n    claircore was not handling. This adds support for these signatures.\r\n    </details>\r\n  \r\n  - jsonblob: add a disk buffering step\r\n    <details>\r\n    This improves \"offline\" operation by eagerly buffering output to disk\r\n    instead of creating a large in-memory data structure first.\r\n    \r\n    This makes the API trickier but given that there's a single (known and\r\n    intended) user, this should be fine.\r\n    </details>\r\n  \r\n  - tarfs: check a potential interger overflow\r\n    <details>\r\n    This change fixes a potential integer overflow in tar handling code.\r\n    \r\n    The possibility of exploiting this is effectively 0, as it would require\r\n    more bytes to represent a sufficiently large integer than is available\r\n    in the tar header.\r\n    \r\n    See also: https://github.com/quay/claircore/security/code-scanning/5\r\n    </details>\r\n  \r\n  - gobin: take into account package replacements\r\n    <details>\r\n    Previously, there was a bug where package replacements were not\r\n    considered for go binaries.\r\n    </details>\r\n  \r\n  - all: purge `http.DefaultClient` usage\r\n    <details>\r\n    Some packages with less churn (`photon`, `oracle`, `aws`) were using\r\n    older ways of getting an `*http.Client` or using `http.DefaultClient`.\r\n    \r\n    This change breaks some API in exchange for unifying the `*http.Client`\r\n    handling. The practical upshot is that it's much easier to control the\r\n    network contact surface.\r\n    </details>\r\n  \r\n  - all: share single FS implementation\r\n    <details>\r\n    Claircore components that deal with `Layer` objects now share a single\r\n    backing File and a single `fs.FS` implementation when using the `FS`\r\n    method. There should be no noticeable changes for users, but out-of-tree\r\n    implementations may want to move over to using the new FS method.\r\n    \r\n    This change should improve memory usage.\r\n    </details>\r\n  \r\n  - libindex: move to O_TMPFILE fetcher\r\n    <details>\r\n    This release uses a new fetcher (the component responsible for pulling\r\n    layers locally) that makes use of the O_TMPFILE flag to open(2). This\r\n    ensures that layer files will be cleaned up even in the event of an\r\n    unclean shutdown, including being sent a KILL signal.\r\n    </details>\r\n  </details>\r\n\r\n<a name=\"v4.7.3\"></a>\r\n## [v4.7.3] - 2024-02-26\r\n### Admin\r\n- [9517c7be](https://github.com/quay/clair/commit/9517c7bed060d575869a2cbaaa5a255d3714a0eb): add a check for compatible migration version\r\n  See Also:  [#1915](https://github.com/quay/clair/issues/1915)\r\n\r\n### Chore\r\n- [e5a896c9](https://github.com/quay/clair/commit/e5a896c9b939e7e59d92be4f17805f0ed70ea89e): v4.7.3 changelog bump\r\n- [d17ee97b](https://github.com/quay/clair/commit/d17ee97bdccdc46ba25c8c7de151bb84f84236ef): update claircore to v1.5.25\r\n  See Also: [#1990](https://github.com/quay/clair/issues/1990), [#1957](https://github.com/quay/clair/issues/1957), [#1942](https://github.com/quay/clair/issues/1942)\r\n### Config\r\n- [6ba32131](https://github.com/quay/clair/commit/6ba32131be6a79c4d5d070e666e81bfedcc09798): update minimum TLS version for server\r\n See Also:  [#1945](https://github.com/quay/clair/issues/1945)\r\n\r\n[v4.7.3]: https://github.com/quay/clair/compare/v4.7.2...v4.7.3\r\n",
      "date_published": "2024-02-26T19:42:53Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240208/",
      "url": "https://help.vuls.biz/releasenotes/20240208/",
      "title": "[FutureVuls] 2024-02-08",
      "content_text": "2024-02-08 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2024年2月8日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.24.9 build-b9evcf3\nVersion: 2024/02\nWindows用\nvuls v0.24.6 build-ef29afb\nVersion: 2023/09\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nCabスキャンがリモートSSHスキャンに対応しました\n#\nwsusscn2.cab\nを用いて Windows の脆弱性を検知する Cab スキャンが、リモート SSH スキャンに対応しました。\nこれにより、\nwsusscn2.cab\nを複数の Windows それぞれに配置することなく Cab スキャンが行えます。\nまた、インターネットに直接つながらない閉域網内の複数の Windows を、SSH 経由で Cab スキャンができるようになります。\n環境の構築方法や検証方法については、「\nFutureVulsブログ\n」を参考にしてください。\n本機能は現時点では v0.24.9以上の Linux 用スキャナのみ対応しております。\nリモートCabスキャンの構成図\n#",
      "date_published": "2024-02-08T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-02-08"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20240115/",
      "url": "https://help.vuls.biz/releasenotes/20240115/",
      "title": "[FutureVuls] 2024-01-15",
      "content_text": "2024-01-15 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2024年1月15日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\n[NEW] vuls v0.24.8 build-bbf53c7\nVersion: 2023/07\nWindows用\nvuls v0.24.6 build-ef29afb\nVersion: 2023/09\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nEPSSをFutureVuls上で参照できるように\n#\nEPSS(Exploit Prediction Scoring System)は「今後30日以内にその脆弱性が悪用される確率」を表し、その脆弱性の脅威度を示すスコアであり、\nFIRST\nにより公開されています。\n今回のリリースにより FutureVuls の画面上でそれぞれの脆弱性が「将来的に悪用される脅威度」を確認できるようになりました。既存の SSVC に加えて、EPSS を活用した脆弱性管理が可能となります。\n例えば以下のような使い方が考えられます。\nSSVC で\nimmediate\nに分類されたどのタスクから対応するか\nSSVC で\nscheduled\nに分類されたが EPSS スコアが高いタスクを調べたい\n詳しくはこちらの「\n用語解説\n」や、EPSS について解説した「\nブログ記事\n」、脆弱性対応の戦略とフレームワークについて解説した「\nブログ記事\n」などをご参照ください。\n実際に EPSS を利用する中で、なにかご要望やご提案が出てきましたら、改良のインプットにさせていただきますので、「\nサポート\n」までお知らせください。\nSBOMインポートの強化：SBOMからFutureVulsのサーバを作成可能に\n#\nSBOM のインポート対象に、新たに OS および OS パッケージを追加しました。「\n以前のリリース\n」では、Trivy や Syft による依存ライブラリの登録に限定されていましたが、本リリースにより対応範囲を OS まで拡充しました。これにより、SBOM が含むソフトウェア資産と、関連する脆弱性を FutureVuls のサーバとしてまとめて管理できるようになりました。\n詳細は\nマニュアル\nをご参照ください。\nSBOM 機能は今後も継続的に改良する予定です。要望やご提案がありましたら、「\nサポート\n」までお知らせください。\n通知強化：immediateタスク通知範囲のカスタマイズ\n#\nSSVC により\nimmediate\nと判定されたタスクの通知範囲を「グループ全体」から「主担当者と副担当者のみ」に変更する機能を追加しました。詳細は\nマニュアル\nをご参照ください。\n通知強化：Daily/Weekly Reportで対応予定日を超過したタスク数を確認できるように\n#\nDaily / Weekly Report に対応予定日を超過したタスク数を追加しました。\n詳細は\nマニュアル\nをご参照ください。\nサーバの保護機能：意図しないサーバ削除を防げるように\n#\n「\nサーバ削除保護\n」機能が追加されました。\n本機能を「有効」にすると、FutureVuls 画面や「\nFutureVuls API\n」による「\nサーバの削除\n」操作を制限し、意図しないサーバの削除が防げるようになります。\nSSVCによる自動トリアージ：再検知したタスクに自動トリアージを適用\n#\nパッチ適用等で Close されたタスクが、脆弱性情報の変更等で再検知された場合でも、SSVC Priority に応じた自動トリアージが適応されるようになりました。従来は「再検知されたタスクのステータスを手動で更新すること」が必要でしたが、本リリースにより、再検知されたタスクのステータス更新が自動化されました。\n仕様変更\n#\nメール通知の文言変更\n#\nメールタイトルのプレフィックスを、[FutureVuls]から[FVuls]に変更しました。\nまた、以下のようにメールタイトル本文を変更しました。\nタイミング\n変更前\n変更後\nタスク一括更新時\n[タスク] 一括更新通知 - グループ名：\nグループ名\nタスクコメントの1行目\n[タスク更新]\nグループ名\nタスクコメントの1行目\nタスクコメント追加時\n[タスク]\nタスクコメントの1行目\n[タスクコメント]\nタスクコメントの1行目\n-\nグループ名\nタスク更新時\n[タスク\nタスクID\n] 更新通知 - グループ名:\nグループ名\n[タスク更新]\nグループ名\nDaily Report (対応期限切れタスク有)\n[対応期限切れ有] Daily Report(\nオーガニゼーション名\n/\nグループ名\n)\n[期限切れ有] Daily Report(\nオーガニゼーション名\n/\nグループ名\n)\nWeekly Report (対応期限切れタスク有)\n[対応期限切れ有] Weekly Report(\nオーガニゼーション名\n/\nグループ名\n)\n[期限切れ有] Weekly Report(\nオーガニゼーョン名\n/\nグループ名\n)\nDaily Report (予定日切れタスク有)\n-\n[予定日切れ有] Daily Report(\nオーガニゼーション名\n/\nグループ名\n)\nWeekly Report (予定日切れタスク有)\n-\n[予定日切れ有] Weekly Report(\nオーガニゼーション名\n/\nグループ名\n)\nDaily Report (予定日/期限切れタスク有)\n-\n[予定日/期限切れ有] Daily Report(\nオーガニゼーション名\n/\nグループ名\n)\nWeekly Report (予定日/期限切れタスク有)\n-\n[予定日/期限切れ有] Weekly Report(\nオーガニゼーション名\n/\nグループ名\n)\nグループ・グループセットのリストを名前順で表示するように\n#\nコンソールのヘッダにあるグループ・グループセット選択リスト、および\nオーガニゼーション設定 > 「グループ」「グループセット」\nに表示される一覧の並び順を変更しました。\nこれまでは登録順で表示されていましたが、今後は名前の昇順でソートして表示されるようになります。\n「脆弱性タブ」のSSVC最高優先度の改善\n#\n従来、「脆弱性タブ」における「SSVC 最高優先度」は、脆弱性に関連するタスクの中で最も高い優先度を基に設定されていました。例えば、いずれかの「対応済みタスク」が\nimmediate\nと評価される場合、それが最高優先度として選ばれていました。しかし、この方法では、「対応済みではないタスク」をトリアージする際に「対応済みタスクの Immediate」が表示されてしまい、ノイズとなるケースがありました。\n今回のアップデートにより、「脆弱性タブ」の「未対応/対応中/保留中」サブタブにおいて、関連するタスクの中から「対応済み以外」のステータス\nNew\n/\nInvestigating\n/\nOngoing\n/\nDefer\n）を持つタスクを基に SSVC 最高優先度を決定します。これにより、各サブタブ内でトリアージがより容易になりました。\nグループセット管理者の権限拡張\n#\nグループセット管理者がグループ・グループセットを新規作成できるようにしました。\nこれに伴い、グループセット管理者がオーガニゼーション設定の「グループ」「グループセット」のページを閲覧できるようになりました。\nグループセット管理者が「グループ」「グループセット」のページを閲覧した際、そのユーザがアクセス権限をもつグループ・グループセットのみが表示されます。\nまた、グループセット管理者が新規作成するグループは、グループセットに紐づくグループのみに制限されます。\nその他の仕様変更\n#\n未対応タスク等取得時の処理速度を改善しました。\n脆弱性タブの一覧を\nImmediateな未対応タスク数\nや\n警戒情報\nが強調されるようなスタイルに変更しました。\nCSIRT 権限でできることを「課金処理系・オーガニゼーション情報変更」以外のすべてに変更しました。\nグループセット > タスクタブに「グループ名」「サーバ名」「警戒情報」列を追加しました。\nvuls-v0.24.1 build-9d8e510 よりも古い Windows 用スキャナのサポートを終了しました。\n脆弱性詳細 > CWE\nに OWASP TOP 10 2021の情報を追加しました。\nCSV をエクスポートした際に一部で列がずれる不具合を修正しました。\n「\nSlack Webhookによる連携\n」は廃止予定です。現在 Webhook を使用しているユーザは「\nSlack APPによる連携\n」に速やかに移行してください。\nFutureVuls コンソールのサーバタブのロード処理をチューニングし、読み込みを高速化しました。",
      "date_published": "2024-01-15T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2024-01-15"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20231120/",
      "url": "https://help.vuls.biz/releasenotes/20231120/",
      "title": "[FutureVuls] 2023-11-20",
      "content_text": "2023-11-20 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年11月20日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.24.4 build-b9db541\nVersion: 2023/07\nWindows用\nvuls v0.24.6 build-ef29afb\nVersion: 2023/09\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nWindowsスキャナの不具合を修正\n#\nWindows スキャナの下記不具合を修正しました。\nCabファイルを用いたスキャン\nを実行時に、\nC:\\Windows\\SoftwareDistribution\\ScanFile\\\nディレクトリ配下に Cab ファイルが展開され滞留する不具合を修正\nプロキシ環境下でアップロードに失敗する不具合を修正\n本修正は、スキャナを最新に更新することで反映されます。\nスキャナの自動更新\nオプションの対象ですので、有効な環境では対応不要です。\nグループセットのタスクコメント投稿時に「グループメンバ」「グループ管理者」に通知できるように\n#\nグループセットのタスクコメントを投稿時にグループメンバ（@groupMember）とグループ管理者（@groupAdmin）に対して通知できるようになりました。\nCSIRT がグループメンバ全員に対して、遅延しているタスクに対応を催促したり、未対応な高リスクなタスクに注意喚起する用途などでお使いください。",
      "date_published": "2023-11-20T00:00:00Z",
      "tags": [
        "announcement"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-11-20"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.2",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.2",
      "title": "[Clair] v4.7.2 Release",
      "content_text": "<a name=\"unreleased\"></a>\r\n## [Unreleased]\r\n\r\n\r\n<a name=\"v4.7.2\"></a>\r\n## [v4.7.2] - 2023-10-09\r\n### Claircore\r\n- [chore: update claircore to v1.5.19](https://github.com/quay/clair/commit/9a3cde3b16bb0c0e02fb7e128ff86e255ec6112f)\r\n- crda: remove crda support\r\n  <details>\r\n  The CRDA API has been decommissioned and the functionality has been\r\n  superseded by OSV support.\r\n  </details>\r\n- chore: update toolkit to latest version v1.1.1\r\n  <details>\r\n  v1.5.17 (toolkit/v1.1.0) introduced a bug where claircore\r\n  could not handle empty strings when trying to Scan() a value\r\n  into a cpe.WFN. toolkit/v1.1.1 mitigates this bug.\r\n  </details>\r\n\r\n### Clair\r\n- [admin: add pre v4.7.3 admin command to create index](https://github.com/quay/clair/commit/5a825a07191e62f3214700df519202806a39d6c9)\r\n  <details>\r\n  In order to facilitate faster deletes we need to add a migration to\r\n  add an index in v4.7.3. This change adds an admin command to allow\r\n  users to \"manually\" create the index CONCURRENTLY before the migration\r\n  to avoid any down-time. This is something for users with larger\r\n  indexer DBs to consider.\r\n  </details>\r\n\r\n- [contrib: add grafana dashboards for deletion metrics](https://github.com/quay/clair/commit/04f36991e19cfb44423cbb2e96ccfcd786dd85c5)\r\n  <details>\r\n  This has been a part of the API for some time and is starting to be\r\n  used extensively.\r\n  </details>\r\n\r\n- [docs: add dropins to prose documentation](https://github.com/quay/clair/commit/8a2d99f4da70de6bdf14858c6163a2e3b8042782)\r\n  <details>\r\n  This change explains how to use the dropins and updates the local-dev\r\n  config to do so.\r\n  </details>\r\n\r\n[Unreleased]: https://github.com/quay/clair/compare/v4.7.2...HEAD\r\n[v4.7.2]: https://github.com/quay/clair/compare/v4.7.1...v4.7.2\r\n",
      "date_published": "2023-10-09T20:27:15Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230926/",
      "url": "https://help.vuls.biz/releasenotes/20230926/",
      "title": "[FutureVuls] 2023-09-26",
      "content_text": "2023-09-26 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年9月26日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.24.4 build-b9db541\nVersion: 2023/07\nWindows用\nvuls v0.24.1 build-9d8e510\nVersion: 2023/09\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\n今回リリースされた Windows 用スキャナは、\nスキャナ自動更新機能\nの対象外です。\nWindows 用スキャナをお使いの方は、手動での\n再インストール\nの実施が必要です。\n旧バージョンの Windows スキャナをお使いの方は2024年1月1日までに手動アップデートを実施してください。参考：\nスキャナバージョンの確認方法\nSBOM対応の強化：TrivyとSyftのSBOMをサポート\n#\nSBOM を直接画面にペーストすることで、依存ライブラリを登録できるようになりました。2023年9月現在、「\naquasecurity/trivy\n」および「\nanchore/syft\n」の SBOM がサポートされています。詳細は\nマニュアル\nをご参照ください。\nFutureVuls では、今後も SBOM 対応の充実を図ってまいります。SBOM 対応についてのご要望やご提案がありましたら、「\nサポート\n」までお知らせください。\nWindowsスキャン：SSHを利用したリモートスキャンに対応\n#\nWindows 用の Vuls スキャナから SSH を使用してスキャン対象の Windows マシンに接続し、\nリモートスキャン\nを実施できるようになりました。また、FutureVuls でサポートされる Windows スキャナは\nOSS Vuls\nのコードベースに変更されました。これにより、config.toml などの各種設定情報の形式が Linux スキャナと統一されました。\n既存の Windows スキャナと設定ファイルは、\n手動でのアップデート\n後、次回のスキャン時に自動的に更新されます。\n新スキャナのマニュアルは\nこちら\nImmediate\nなタスクの検知時のメール通知機能の追加\n#\nCSIRT プランの\nSSVC機能\nにおいて、検知したタスクが4つの優先度レベルに自動で分類されます。\nこのうち、最も高リスクで即時対応が必要な\nimmediate\nなタスクが検知された際に、グループ全体に通知が送信される新機能を追加しました。詳細は\nマニュアル\nをご参照ください。\nWeekly Report機能の新規追加\n#\nDaily Report に加えて、Weekly Report 機能を新たに追加されました。これにより、1週間分のデータがまとめてレポートとして送信され、組織内での週次チェックが可能となります。詳細は\nマニュアル\nをご参照ください。\nタスクコメントでのメンション機能の追加\n#\nタスクコメント欄で\n@\nを入力すると、メンションの候補が表示されます。メンションされたユーザにはコメントの内容がメールで通知されます。\nネットワーク機器の発見とFutureVulsへの登録の自動化\n#\n指定した CIDR レンジからネットワーク機器を発見し、それらの\nCPE\nを自動特定できるようになりました。これにより、手動での CPE 調査や登録の手間が省けます。詳細は\nマニュアル\nを参照ください。\nFortinetの一次情報を脆弱性検知用のデータソースに追加。これまでよりも検知精度が向上\n#\nこれまで CPE スキャンで利用するデータソースは NVD と JVN でしたが、今回新たに Fortinet の一次情報を脆弱性検知用のデータソースに追加しました。Fortinet 社製品の脆弱性が迅速に検知されるようになり、検知精度が向上しました。\nオーガニゼーション全体での二要素認証の必須化設定の追加\n#\nオーガニゼーション全体で二要素認証を必須に設定できるようになりました。詳細は\nマニュアル\nをご参照ください。\nグループセットにサーバタブの追加\n#\nグループセットにサーバタブが新たに追加され、サーバの脆弱性の対応状況を一目で確認できるようになりました。詳細は\nマニュアル\nをご参照ください。\nその他の仕様変更\n#\nスキャナインストール用ワンライナ表示で、\nfast-root かつ offline\nのモードを選択可能に\n「\nSlack Webhookによる連携\n」が年内で廃止。現在 Webhook を使用しているユーザは「\nSlack APPによる連携\n」に移行してください。",
      "date_published": "2023-09-26T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-09-26"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230911/",
      "url": "https://help.vuls.biz/releasenotes/20230911/",
      "title": "[FutureVuls] 2023-09-11",
      "content_text": "2023-09-11 リリース内容\n#\nこのリリースでは、下記のバグが修正されています。\nAmazon Linuxの新着脆弱性が検知されない\n#\n項目\n説明\n事象\nAmazon Linuxの新規に公開された脆弱性が正常に検知されない問題が確認されました。\n対象\nAmazon Linux\n原因\nこの問題の原因として、約3-4ヶ月前に実施した脆弱性情報取得ロジックの修正にバグが存在していたことが判明しました。 具体的には、この修正の影響でAmazon Linuxの脆弱性を取得するロジックに不具合が混入し、Amazon Linux用の監視スクリプトが動作していなかったことが確認されました。\n対応\n幸い、この問題に関してユーザ様側で特別な対応は必要ございません。\n再発防止策\n弊社では、今回の事象を重く受け止め、監視を強化することで再発を防ぐよう取り込んでいきます。",
      "date_published": "2023-09-11T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-09-11"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.1",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.1",
      "title": "[Clair] v4.7.1 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.7.1\"></a>\n## [v4.7.1] - 2023-08-10\n### Build(Deps)\n- [bd4bdbf6](https://github.com/quay/clair/commit/bd4bdbf68c62eb9982e028cafcabd58eb4e91c6c): bump github.com/pyroscope-io/godeltaprof\n### Chore\n- [25ab0f4e](https://github.com/quay/clair/commit/25ab0f4e01ac08870b6e8fe9cccc134a011a4f4f): bump claircore to v1.5.15\n- [4bf37a11](https://github.com/quay/clair/commit/4bf37a11861ca89c56dc94db9b1e002ef3d44265): bump claircore to v1.5.14\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.7.1...HEAD\n[v4.7.1]: https://github.com/quay/clair/compare/v4.7.0...v4.7.1\n",
      "date_published": "2023-08-10T22:02:47Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.1"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.0",
      "title": "[Clair] v4.7.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.7.0\"></a>\n## [v4.7.0] - 2023-07-27\n### Auto\n- [1e574c25](https://github.com/quay/clair/commit/1e574c25a3830b1d2f1b420c9ea2deaaba13a238): enable mutex, blocking profiles by default\n### Build(Deps)\n- [adee21df](https://github.com/quay/clair/commit/adee21df77903f159ca1b6dc631700d096c42f0f): bump golang.org/x/net from 0.11.0 to 0.12.0\n- [32c9ae2e](https://github.com/quay/clair/commit/32c9ae2e81c4ab8a443f50926697a40a6cf9af56): bump github.com/klauspost/compress from 1.16.6 to 1.16.7\n### Chore\n- [1bfbfa1b](https://github.com/quay/clair/commit/1bfbfa1bcf5489bcc91ad34aef0d4517cc6bb2e4): bump claircore to v1.5.13\n- [31cf5570](https://github.com/quay/clair/commit/31cf5570673f8e34a9fd40dfe3e6710cf517da17): Bump claircore to v1.5.12\n- [2d2d16a1](https://github.com/quay/clair/commit/2d2d16a15ad90928174d1549d7a17bf24aa285aa): Bump claircore to v1.5.11\n- [048ad2f1](https://github.com/quay/clair/commit/048ad2f1dd03197afd3434ef0bec83d1d3dedd1a): Bump claircore to v1.5.10\n- [5550b27a](https://github.com/quay/clair/commit/5550b27a89e1004e93d85d6194dbe5132a9c2659): bump Claircore to v1.5.9\n- [7df2b863](https://github.com/quay/clair/commit/7df2b86372b18ba9eeb07ffe87f17e80a04e26d4): add pyroscope to compose setup\n- [c28648e5](https://github.com/quay/clair/commit/c28648e5ea7336bf6e2a70cb1d3d9dbb6c706b95): Update outdated docs and comment with default update period.\n- [a02a0f2f](https://github.com/quay/clair/commit/a02a0f2f0d6315250a083351a584ce11e8a55dcf): remove refs to deprecated io/ioutil\n- [44638edf](https://github.com/quay/clair/commit/44638edf5b99ddcc7c73b8313557f200469228d4): Remove dogstatsd variable and references\n### Clairctl\n- [bccabff1](https://github.com/quay/clair/commit/bccabff1a003a37a35b7976eb1ff3e9fce35e97e): Add post 4.7 admin command to delete pyupio vulns\n- [d2b3d826](https://github.com/quay/clair/commit/d2b3d826bba6522e69d214023d16070287b9da15): Scan the pointer to the pointer of the bool\n- [05bd8fa0](https://github.com/quay/clair/commit/05bd8fa0382c6527d49627aff70cbfc9dd8ad9e1): Add log line signifying admin is done\n- [c636e207](https://github.com/quay/clair/commit/c636e207b3ad3a07512035dc228a5af9c75a12cd): Remove DSN logging\n- [89cae779](https://github.com/quay/clair/commit/89cae7796e63749f7b0dd123135d96af6cf91d48): `admin` subcommand\n### Cmd\n- [8231b438](https://github.com/quay/clair/commit/8231b438bedf60bbfeb3b8ac8bcd384a28f63d5e): version for old gits\n -  [#882](https://github.com/quay/clair/issues/882)### Config\n- [83ee24af](https://github.com/quay/clair/commit/83ee24afd2262353dfe41c0f6bec8d64e289c27b): pick a real versioning scheme\n### Contrib\n- [70d878eb](https://github.com/quay/clair/commit/70d878eb268f17f4f92b1833a634c367e3bacc1b): Add manifest for a Job to run DB jobs\n### Docs\n- [394efe15](https://github.com/quay/clair/commit/394efe1557b8edd9f01d3d2d7a129bbc91b657ed): Fix up debug tools table\n- [a4ec17f6](https://github.com/quay/clair/commit/a4ec17f618708480613c94bedfced910ae892d76): Add description of debugging services available during local-dev\n### Httptransport\n- [86f7a86a](https://github.com/quay/clair/commit/86f7a86aaa45f6bb6b9f8422678996a69b2f64ef): add request ID to profiler labels\n### Introspection\n- [caba76e1](https://github.com/quay/clair/commit/caba76e1329660c1c136130e5619626c308e514f): add delta pprof endpoints\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.7.0...HEAD\n[v4.7.0]: https://github.com/quay/clair/compare/v4.7.0-rc.1...v4.7.0\n",
      "date_published": "2023-07-27T21:17:12Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230725/",
      "url": "https://help.vuls.biz/releasenotes/20230725/",
      "title": "[FutureVuls] 2023-07-25",
      "content_text": "2023-07-25 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年7月31日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.23.2 build-97cf033\nVersion: 2023/07\nWindows用\nvuls v0.2.2 build-2a125ac\nVersion: 2023/04\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nWindowsにインストールされたサードパーティ製ソフトウェアのCPEを簡単に登録できるように\n#\n以前は、Windows スキャンで登録されたサーバ上のサードパーティ製ソフトウェアの脆弱性を検出するために、対応する CPE を調査し、手動で CPE を登録する必要がありました。\nこの新しいリリースでは、CPE の候補を画面上に表示し、画面上で選択するだけで CPE を関連付けることが可能な機能が追加されました。これにより、Windows Update の対象となるソフトウェア「以外」でも、脆弱性検出の対象にすることが簡単になりました。\n詳細は、Windows スキャンの\nサードパーティ製ソフトウェアの脆弱性を検出する\nセクションを参照してください。\nSSVC利用時の脆弱性情報がさらに把握しやすく\n#\nグループセットの脆弱性タブに「SSVC高優先度」サブタブを追加\n#\nグループセットの脆弱性タブにて新規に「SSVC 高優先度」サブタブを追加しました。\nこれにより、すべてのステータスの紐づくタスクで SSVC Priority に\nImmediate\n/\nOutOfCycle\nが含まれる脆弱性をすばやく網羅的に把握することが可能になりました。\n詳細は「\n脆弱性サブタブ\n」をご参照ください。\nグループセットの脆弱性一覧に「SSVC最高優先度」「SSVC最新更新日時」列を追加\n#\nグループセットの脆弱性情報列に「SSVC 最高優先度」が追加されました。ここには紐づくタスクの SSVC Priority でもっとも優先度の高いものが表示されます。これにより SSVC 最高優先度でソートやフィルタなどを活用し、より細かな脆弱性情報の管理が可能です。\nグループセットの脆弱性情報列に「SSVC 最新更新日時」が追加されました。ここには紐づくタスクの SSVC Priority が更新された日時の中で最新のものが表示されます。これにより一定期間内に SSVC Priority が更新された紐づくタスクをもつ脆弱性の絞り込みなどが可能です。\n詳細は「\n脆弱性一覧\n」をご参照ください。\nグループセットでのタスク操作\n#\nグループセットにタスクタブを追加\n#\nグループセットに含まれるグループが持つタスクを一覧で表示するタスクタブを追加しました。\nグループセットのタスクタブでは、候補となるデータが他の一覧と比べて膨大になるため Paging での表示となります。一覧右下の矢印ボタンを押すことでページの切り替えを行えます。\n表示列のフィルタを使用すると、表示される列と右下の全件数が動的に変化します。また、一部の列にのみに制限されますが表示列のソートが行えます。\n一覧から選択したタスクを一括で非表示にすることや一括で優先度や対応予定日などを更新できます。チェックボックスの全選択は、表示しているページのみの全選択となります。\nより効率的なタスク管理にお役立てください。\nグループセットの脆弱性タブやタスク×サーバタブでタスクの一括編集をできるように\n#\nグループセットの脆弱性タブ、グループセットの脆弱性 > タスク×サーバタブにて、複数のタスクを一括編集できる機能を追加しました。\nこれにより、グループセットの画面からタスク優先度や対応予定日などを更新できるようになりました。\n新規タスクに自動で担当者をセットできる「デフォルト担当者機能」を強化\n#\nFutureVuls には「サーバ詳細」タブから「サーバのデフォルト担当者」を設定することで、新規に検出されたタスクの主担当者が自動的に設定される機能があります。\nしかし、この「サーバのデフォルト担当者」は手動で設定する必要があり、サーバを新規登録するたびに設定するのが手間であったり、設定を忘れることがあるという課題がありました。\n今回のリリースにより、「グループのデフォルト担当者」を設定できるようになりました。\n新規にサーバが登録された場合、そのサーバのデフォルト担当者として「グループのデフォルト担当者」が自動で設定されます。\nこれにより、サーバのデフォルト担当者の設定漏れを防ぐことができます。\nUbuntu 14.04, 16.04, 18.04の脆弱性検知をサポート\n#\nLTS(Long Term Support)の標準サポートが終了し、\nESM（Extended Security Maintenance）\nの対象となっている、Ubuntu 14.04, 16.04, 18.04の脆弱性検知をサポートしました。\nAmazon Inspector連係の改善\n#\nAmazon EC2/ECR 連携(Amazon Inspector 連携)により取り込まれた脆弱性 ID が ALAS(Amazon Linux Security Advisories)の場合、次のように脆弱性が FutureVuls に登録されます。\nALAS に関連する脆弱性(CVE)が存在する場合は、ALAS ではなくその CVE ID が FutureVuls に登録されます。ALAS の ID は脆弱性タブ上に関連するアドバイザリーとして表示されます。\nALAS に関連する脆弱性(CVE)が存在しない場合、ALAS の ID が FutureVuls にそのまま登録されます。\nFutureVuls APIがさらに便利に\n#\nサーバの未対応タスク数を取得可能に\n#\n以前までは画面上でしか確認できなかったサーバの未対応タスク数が、サーバ一覧取得 API で取得可能になりました。\n詳細は下記ドキュメントをご参照ください。\nhttps://doc.vuls.biz/#/server/server%23getServerList\nhttps://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerList",
      "date_published": "2023-07-25T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-07-25"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.7.0-rc.1",
      "url": "https://github.com/quay/clair/releases/tag/v4.7.0-rc.1",
      "title": "[Clair] v4.7.0-rc.1 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.7.0-rc.1\"></a>\n## [v4.7.0-rc.1] - 2023-06-26\n### Airgap\n- [94757c7d](https://github.com/quay/clair/commit/94757c7d8cda907902d1020a5c2fe74b2e5ccba9): Remove libindex Airgap option\n### All\n- [5d30ed66](https://github.com/quay/clair/commit/5d30ed66f5d80dcfa47a850b69f01ed281074271): update to new config module\n### Build(Deps)\n- [00a4279d](https://github.com/quay/clair/commit/00a4279d3796097a3ac0474836c35a5dea94efd9): bump github.com/prometheus/client_golang\n- [f4f22e33](https://github.com/quay/clair/commit/f4f22e33a9da565d89d37888c87247529d65d08d): bump golang.org/x/net from 0.10.0 to 0.11.0\n- [36a7c88c](https://github.com/quay/clair/commit/36a7c88c9a777de33b08c61168827a0a1f4c5241): bump github.com/klauspost/compress from 1.16.5 to 1.16.6\n- [17cdc922](https://github.com/quay/clair/commit/17cdc92270670c2b29d2df22c7f504b6d374254c): bump peter-evans/create-pull-request from 5.0.1 to 5.0.2\n- [b95be229](https://github.com/quay/clair/commit/b95be2296ef34e657b458a6a621a4206e31c033e): bump github.com/streadway/amqp from 1.0.0 to 1.1.0\n- [45f808da](https://github.com/quay/clair/commit/45f808dac09fd1ccd8e899de131dcf884554a0a5): bump github.com/urfave/cli/v2 from 2.25.5 to 2.25.7\n- [b75a00c3](https://github.com/quay/clair/commit/b75a00c30ad255f3d04c59233d03c4a81133e842): bump github.com/urfave/cli/v2 from 2.25.3 to 2.25.5\n- [22a75603](https://github.com/quay/clair/commit/22a756036c818026a82f25b9598c61c9802694c9): bump github.com/google/go-containerregistry\n- [300b1374](https://github.com/quay/clair/commit/300b13743f868e6578a3a55634e090ee60f7d53a): bump go.opentelemetry.io/otel/exporters/jaeger\n- [b2d7a091](https://github.com/quay/clair/commit/b2d7a091bde14b7b7f43a2ab073210ee284889c0): bump github.com/urfave/cli/v2 from 2.3.0 to 2.25.3\n- [a21fb21d](https://github.com/quay/clair/commit/a21fb21d39dbdc727324e68a7b4a7afa63199278): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\n- [b188cba7](https://github.com/quay/clair/commit/b188cba75dbef66fcd5994aaf6e49fc4955228f6): bump github.com/quay/claircore from 1.5.2 to 1.5.3\n- [eb9d1225](https://github.com/quay/clair/commit/eb9d12256205d230a0c6f4c249eba459a4249c1d): bump golang.org/x/sync from 0.1.0 to 0.2.0\n- [f35c832f](https://github.com/quay/clair/commit/f35c832ff59f0090e6e9c01c34594f2e8acef86d): bump golang.org/x/net from 0.9.0 to 0.10.0\n- [3dbbaf7b](https://github.com/quay/clair/commit/3dbbaf7bcd87a75fb65c2d9b59f1ba34d7ed14a7): bump github.com/rs/zerolog from 1.29.0 to 1.29.1\n- [1ee7cb8a](https://github.com/quay/clair/commit/1ee7cb8aadb4f898bb190543e6d05cc27d3f8097): bump go.opentelemetry.io/contrib/instrumentation/net/http/httptrace/otelhttptrace\n- [dcb7a05a](https://github.com/quay/clair/commit/dcb7a05a245990b4c61dcb2df9d60c5437493e8e): bump go.opentelemetry.io/otel/exporters/jaeger\n- [fca257d7](https://github.com/quay/clair/commit/fca257d7d55d91d4798f078f94e86460ce95c7cf): bump go.opentelemetry.io/otel/exporters/stdout/stdouttrace\n- [933cc5c7](https://github.com/quay/clair/commit/933cc5c788782971b1841753b619c330ccd449b8): bump github.com/ugorji/go/codec from 1.2.9 to 1.2.11\n- [4f39b319](https://github.com/quay/clair/commit/4f39b319ccc910ee78aae5a8a7818621dfa4bfc4): bump github.com/klauspost/compress from 1.16.4 to 1.16.5\n- [3643f9d2](https://github.com/quay/clair/commit/3643f9d27c6a10a09760383956c8e1c7d3eab4c4): bump go.opentelemetry.io/contrib/instrumentation/net/http/otelhttp\n- [c13eaecc](https://github.com/quay/clair/commit/c13eaecc738240c1df5d77767ee6eab71c8d9c21): bump go.opentelemetry.io/otel/trace from 1.11.0 to 1.15.1\n- [43e3daea](https://github.com/quay/clair/commit/43e3daea1d0473d2263f42ba88ef3144a30307e8): bump github.com/jackc/pgx/v4 from 4.18.0 to 4.18.1\n- [2180bc40](https://github.com/quay/clair/commit/2180bc4071915f9c5f1f52c4036063a7d0ec297b): bump gopkg.in/square/go-jose.v2 from 2.5.1 to 2.6.0\n- [f669244a](https://github.com/quay/clair/commit/f669244a80a1743b82f565281b96fd211d8241e8): bump peter-evans/create-pull-request from 5.0.0 to 5.0.1\n- [74bc404f](https://github.com/quay/clair/commit/74bc404fbc2dc6f0dac55780e8df75fc4ce8bd6f): bump peter-evans/create-pull-request from 4.2.4 to 5.0.0\n- [912c6e47](https://github.com/quay/clair/commit/912c6e47e3e09197ee8f962fc1e25b18851b14ac): bump actions/stale from 7 to 8\n- [ddec3b43](https://github.com/quay/clair/commit/ddec3b437fc08f7144ddeee272cd24d99af789dd): bump peter-evans/create-pull-request from 4.2.3 to 4.2.4\n- [f35a3611](https://github.com/quay/clair/commit/f35a361187b5ce9b9e5e63b311343d7847183847): bump actions/setup-go from 3 to 4\n- [d3655eef](https://github.com/quay/clair/commit/d3655eefb8332a02503d534d34258fcb1188433a): bump golang.org/x/net from 0.5.0 to 0.7.0\n- [854a2fbf](https://github.com/quay/clair/commit/854a2fbf120a2bcc14a0a2c0072a033ff90873eb): bump docker/build-push-action from 3 to 4\n### Chore\n- [9d58dba8](https://github.com/quay/clair/commit/9d58dba8890b49cae279274d3bd11ab1bc83b55f): v4.7.0-rc.1 changelog bump\n- [31823df2](https://github.com/quay/clair/commit/31823df20228404dea72417262709905308d3314): bump Claircore to v1.5.8\n- [836c0579](https://github.com/quay/clair/commit/836c0579450d1648c74b69de4005e91dcfa2cbe1): bump Claircore to v1.5.7\n- [e688e88b](https://github.com/quay/clair/commit/e688e88b6dd64549a5b93da242bc13235ab2236a): bump Claircore to v1.5.6\n- [3d61485d](https://github.com/quay/clair/commit/3d61485d00aa5c5d4eb172f3e0db40403096d7e4): bump Claircore to v1.5.5\n- [ddc4cc24](https://github.com/quay/clair/commit/ddc4cc24d9d5751c58e27c4b16aa50b7405c05cd): bump Claircore to v1.5.4\n- [76686650](https://github.com/quay/clair/commit/7668665029a5f9e030b17abee0862194b905be1f): Add the osv updater to the local-dev config\n- [56e63e8b](https://github.com/quay/clair/commit/56e63e8b7566b56b5a5c85847a190ec2ea5570e8): Update opentelemetry to v1.16.0\n- [5df81b19](https://github.com/quay/clair/commit/5df81b1953121cca97e1afec2527f35c84021632): bump Claircore to v1.5.2\n- [cc0d9df4](https://github.com/quay/clair/commit/cc0d9df4038a0d4f59312f6649e75fb9b0377dd7): bump Claircore to v1.5.1\n- [35971dc9](https://github.com/quay/clair/commit/35971dc9b33d873950c9e95055f6b0ffd84650a4): produce nightly for ppc64le\n- [471da4ee](https://github.com/quay/clair/commit/471da4eeb96492a113b7c6f3c48ab47cb21b2a26): Only ask dependabot to care about direct dependencies\n- [62119209](https://github.com/quay/clair/commit/62119209db607dce8456782067d885d1e7af43fd): updated nightly for s390x support\n- [57774bd9](https://github.com/quay/clair/commit/57774bd943cd2ec3ce564325e1de2277a1722999): added s390x support\n- [248a4733](https://github.com/quay/clair/commit/248a4733789c2bf2b0e51b81cc9b3ec00fd9b052): move emulator tests to a nightly run\n- [bd0488ee](https://github.com/quay/clair/commit/bd0488eed8da465cc0fbca8b1c04f5a992dd07ea): add gomod ecosystems to dependabot\n- [8174e950](https://github.com/quay/clair/commit/8174e950186c03bee10a9174643bca0f173710c2): Remove 1.19\n- [efe27892](https://github.com/quay/clair/commit/efe27892afe6519f2676813d18f3a3d662e52009): Bump Claircore to v1.4.22\n- [1b857d13](https://github.com/quay/clair/commit/1b857d139305ebf91dd2f53865e5e97ba5e346eb): Update go version in go.mod\n- [5faf0fc9](https://github.com/quay/clair/commit/5faf0fc9edba86cef87bff4e9941fd2a93a2889a): Bump Claircore to v1.4.21\n- [a433c93c](https://github.com/quay/clair/commit/a433c93c349f63e7b8cc6f4d5a95a2394fe1dd31): Bump Claircore to v1.4.20\n- [d565775c](https://github.com/quay/clair/commit/d565775c190a4262ce049cb06a9c1842c42e00b8): Add back GIT_HASH as needed for image name\n- [12f38e45](https://github.com/quay/clair/commit/12f38e45cec579f92438059702884fa4284bb93c): Update go-image version in docker-compose manifest\n- [02f311d5](https://github.com/quay/clair/commit/02f311d56de5fb482742f3708cdae0d0e08cbf2c): Use our dedicated metric for the go version\n- [896b2dfb](https://github.com/quay/clair/commit/896b2dfb77cdd4c06b4edd038c4833b8cfacd092): Update go version in Dockerfile\n- [d10c06e0](https://github.com/quay/clair/commit/d10c06e086f9c69075d5faef14e2eba021d201a9): Bump claircore to v1.4.18\n### Cicd\n- [58c26f4a](https://github.com/quay/clair/commit/58c26f4a2d8f4df9efebfade7f785b4613a15683): don't checkout source on clairctl builds\n- [2eb10895](https://github.com/quay/clair/commit/2eb10895a4946c68528db6bd1e54ff8004b16426): use common workflow in main module CI\n- [83d9b2f5](https://github.com/quay/clair/commit/83d9b2f50c8157506a3440ae51c063f4ebd5e3ed): use common workflow in config module CI\n- [e2f264f4](https://github.com/quay/clair/commit/e2f264f4aac85df33cb2c0a9db88a25ad65072ad): fix nightly connection strings\n- [1ea95d83](https://github.com/quay/clair/commit/1ea95d838b028dd8c22a6a6487a5f5961e231fd3): rename yamllint config\n- [7e2ae8fc](https://github.com/quay/clair/commit/7e2ae8fc43709eb09220ea9085f9ff7a6f4fe40e): fix nightly-ci error\n- [1267335e](https://github.com/quay/clair/commit/1267335e515cddfcc07af49955c97bb05a3b042e): use rabbitmq as STOMP broker in nightly CI\n- [2edb4915](https://github.com/quay/clair/commit/2edb491524f701c3d15c752bac3bf5bbac574272): use rabbitmq as STOMP broker in tests\n- [74c34c0c](https://github.com/quay/clair/commit/74c34c0cc16f60b8b20d213d14dc3e37f846756c): update nightly job to work\n- [30a98697](https://github.com/quay/clair/commit/30a98697e42069c5faa2f115464226f6575b456b): update go versions\n### Clair\n- [5226d2a3](https://github.com/quay/clair/commit/5226d2a310145ce86ade6e805d280e6b058dbe03): use new `cmd.LoadConfig`\n### Clairctl\n- [06f5bc05](https://github.com/quay/clair/commit/06f5bc0515ce49096b8236291bbfa2a0143a293f): use new `cmd.LoadConfig`\n### Cmd\n- [3ff924ad](https://github.com/quay/clair/commit/3ff924ad2f6e0461ed5bfe5440887c1f53790f3d): implement modular configs\n- [d3e88775](https://github.com/quay/clair/commit/d3e887750a0617b0f8387ed5c15f39ffe175bedb): better version information\n### Config\n- [cee776b3](https://github.com/quay/clair/commit/cee776b3830e60d3ec8ccd6703363e9c1f2ae56d): add newtype for Durations\n- [1ebbbf24](https://github.com/quay/clair/commit/1ebbbf24c573ddb241b22fae6f5ea6c45482b015): add some omitempty tags\n- [3b6047ca](https://github.com/quay/clair/commit/3b6047ca80de3be3b71d89d4471b1ea2382ef76f): update module to remove x/sys dependency\n### Contrib\n- [bb3a4be5](https://github.com/quay/clair/commit/bb3a4be513bf7fcc390a0fa7baaba9bcd8bbe5bc): Better versioning when building the service image\n- [8566c525](https://github.com/quay/clair/commit/8566c525cccda9eb8aebb5d4980754fd649fca1f): Add a dashboard panel to surface running versions\n### Docker-Compose\n- [bb777399](https://github.com/quay/clair/commit/bb77739996f7df185dd3b5da70bef6227cf6cf7e): use rabbitmq instead of activemq\n### Dockerfile\n- [497ab2d2](https://github.com/quay/clair/commit/497ab2d2cae0beea8ef41aeb0878742e8a69d4f1): remove init process\n### Docs\n- [45e6f5c0](https://github.com/quay/clair/commit/45e6f5c0b6d535a134c07a18154528f3dcf00e9c): update old `go get` command\n- [d2d9f385](https://github.com/quay/clair/commit/d2d9f38548ea5d3b2477d095a4d11a2a773200bc): fix host flag order\n -  [#1754](https://github.com/quay/clair/issues/1754)- [d726e157](https://github.com/quay/clair/commit/d726e15796882e6f2adba6a84a0aef419bc59849): remove reference to \"filters\"\n -  [#1690](https://github.com/quay/clair/issues/1690)### Go.Mod\n- [670376a2](https://github.com/quay/clair/commit/670376a29dad524e8ebea8f2acd22220053e6ec9): update json (de)serializer\n### Httptransport\n- [72417962](https://github.com/quay/clair/commit/72417962880862b986872709317a39fa0582f143): debug log calls to apiError\n- [378a4b5f](https://github.com/quay/clair/commit/378a4b5f35ceb452654e7d9dca12fc455ac1697c): fix request_id logging\n### Httputil\n- [b18f989c](https://github.com/quay/clair/commit/b18f989c7869a480b7bbfc8181d515227e701a39): fix ParseIP usage\n -  [#1689](https://github.com/quay/clair/issues/1689)### Notifier\n- [5446e49f](https://github.com/quay/clair/commit/5446e49ff9de13a0d95ce5937f1ce722e59304f5): Avoid double reference\n### Stomp\n- [5b876935](https://github.com/quay/clair/commit/5b87693500fcd9222426e62f6bc86bd7736159e1): override default behavior for \"host\" header\n- [643bd1c9](https://github.com/quay/clair/commit/643bd1c957d6755b7fe0f4fb762d31071274dd2a): rework tests\n- [f84e3491](https://github.com/quay/clair/commit/f84e3491966e88bdc337f98029c0c8a1de0267d5): plumb Context into Dialer\n- [7d476ebd](https://github.com/quay/clair/commit/7d476ebd90bd05a52f4ab2a64711a312972d2abe): remove apparent ActiveMQ-ism\n- [aa441b3c](https://github.com/quay/clair/commit/aa441b3cffb3109fcb2a717caec059027042dd76): switch to module release for stomp client\n -  [#1739](https://github.com/quay/clair/issues/1739)### Updater\n- [95970e28](https://github.com/quay/clair/commit/95970e283b0fc37f56cf2f93e27a801c0b03b809): Extend default updater time to 6 hours\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.7.0-rc.1...HEAD\n[v4.7.0-rc.1]: https://github.com/quay/clair/compare/v4.6.1...v4.7.0-rc.1\n",
      "date_published": "2023-06-26T21:38:07Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.7.0-rc.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230530/",
      "url": "https://help.vuls.biz/releasenotes/20230530/",
      "title": "[FutureVuls] 2023-05-30",
      "content_text": "2023-05-30 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年5月30日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.22.2 build-6682232\nVersion: 2023/04\nWindows用\nvuls v0.2.2 build-2a125ac\nVersion: 2023/04\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nWindowsスキャナの改良\n#\nWindowsUpdateサービスに接続できない環境でもCabファイルを用いてスキャンできるように\n#\nこれまで「インターネットや WSUS などの Windows Update サービスに接続できない環境」では、「\nPASTEスキャン\n」を利用し、手動で適用済みと未適用な KB リストを画面上にペーストすることで脆弱性管理が可能でした。しかしこの方法には課題があり、Windows アップデートが行われるたびに、画面上で構成情報を手動で再度ペーストする必要がありました。\n今回のリリースでは新たに「Windows Update から提供されている cab ファイル」とスキャナプログラムを用いて脆弱性を検知できるようになります。結果はスキャナプログラムからアップロードされるので構成情報の同期は自動で行われます。\n詳細は「\nwindows/#cabファイルを用いたスキャンWindowsスキャン\n」を参照してください。\nWindows Scan時にwinhttp Proxy設定を設定しないように\n#\nv0.2.1以前のスキャナでは、システムワイドなプロキシ設定（netsh）が Vuls スキャナを実行したタイミングで、config.toml に設定した値で変更されていました。\nv0.2.2以降のスキャナでは、Vuls スキャナの実行時にシステムワイドなプロキシ設定を変更しないようになりました。\n詳細は「\nプロキシ設定\n」を参照してください。\n通知の改良\n#\nグループ全員へのメール通知にオーナ、Csirt、グループセットアドミン、グループセットメンバも含める\n#\nこれまで、グループ全体へのメール通知は、グループに直接所属している人だけが受け取っていました。\n今回から、そのグループに権限がある上位権限者（オーナ、Csirt、グループセットアドミン、グループセットメンバ）もグループ全体通知の対象として含むようになりました。\n自動トリアージの設定変更をMail, Slack, Teams通知\n#\nオーガニゼーション設定で、自動トリアージの設定(自動 Danger,自動非表示)を変更した際に、メールで変更内容が通知されるようになりました。\nまた、こちらの通知はオーガニゼーションに所属しているグループすべてに Slack、Teams で通知されるようになりました。\nこれによって、トリアージの内容の変更を自動で利用者に伝えることが可能です。\nTeams/Slackにおける、DailyReportの改善\n#\nTeams/Slack の DailyReport の内容をリッチにしました。\n脆弱性情報、SSVC 情報にリンクを付与し、メッセージから直接該当のページへ飛べるようになりました。\n重要フィルタの変更をMail, Slack, Teams通知\n#\nグループセット設定/グループ設定で、重要フィルタの設定を変更した際に、メールで変更内容が通知されるようになりました。\nこれによって、重要フィルタの内容の変更を自動で利用者に伝えることが可能です。\n複数タスクに対してコメントのみの入力が行えるように\n#\n複数タスク更新の際にコメントのみを更新できるようになりました。\nさらにコメント追加時にグループへのメール通知機能も追加しました。\nサーバ構成情報の同期漏れに気付けるように\n#\nサーバ一覧ページにおいて、スキャン日時に関連する情報がわかりやすくなりました。\n従来は以下の情報が表示されていました。\n最新スキャン日時\n最新アップロード日時\n手動スキャン日時\nこれらを廃止し、新しく次の情報を追加しました。\n検知処理日時\n登録されている構成情報と脆弱性情報とのマッチング処理が成功した最新日時\n構成同期日時\nスキャナがサーバの構成情報を FutureVuls に同期した最新日時\nまた、構成同期日時が24時間以上古い場合に、サーバ詳細ページでアラートが表示されるようになりました。\n今までは脆弱性情報の検知処理が成功した時刻と、スキャナが構成情報を同期した時刻が混合されて表示されていましたが、今回のアップデートでそれぞれ別の値として確認できるようになりました。\n構成情報の同期漏れにもすぐに気づき対応できるようになったため、より安全な脆弱性管理を実施いただけます。\n参考:\nスキャン結果が反映されない\nREST APIへの影響について\n#\n本変更に伴い、REST API のレスポンスに一部変更があります。\n影響のある API\nサーバ一覧取得\nサーバ詳細取得\nその他サーバ情報がレスポンスに含まれる API\n新規追加された値\nlastSyncedAt（構成同期日時）\nlastDetectedAt（検知処理日時）\n2023年をもって廃止予定の値\nlastScannedAt（最新スキャン日時）\nlastUploadedAt（最新アップロード日時）\n廃止予定の値を利用している方は、新しいレスポンスへの移行をお願いいたします。\nAmazon EC2インスタンスのInspectorスキャン連携\n#\n「\nAmazon Inspector\n」の EC2スキャン結果を取り込み、FutureVuls 上で管理できます。\n連携には「\nAWS認証設定\n」が必要です。\n詳細は「\nAmazon EC2インスタンススキャン\n」をご参照ください。\n「\n2023-3-29リリース\n」より以前に AWS 認証設定を行った場合は、更新が必要です。\n「\nFutureVulsで利用するポリシー\n」を参照し、\nFutureVulsAssumeRole\nのIAM Policyに\nAction\nとして\ninspector2:ListCoverage\nと\ninspector2:ListFindings\nを追加してください。\nFutureVuls APIがさらに便利に\n#\nサーバのEOLを取得可能に\n#\n以前までは画面上でしか確認できなかったサーバの EOL が、サーバ詳細取得 API で取得可能になりました。\n詳細は下記ドキュメントをご参照ください。\nhttps://doc.vuls.biz/#/server/server%23getServerDetail\nhttps://doc.vuls.biz/#/server/server%23getServerDetailByUUID\nhttps://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerDetail\nhttps://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerDetailByUUID\nタスクの対応期限変更\n#\n以前までは画面上でしか設定できなかったタスクの対応期限がタスク更新 API で簡単に更新できるようになりました。\n詳細は下記ドキュメントをご参照ください。\nhttps://doc.vuls.biz/#/task/task%23updateTask\nグループセットAPIでタスクのコメントを作成\n#\nグループセットの API で、グループのタスクコメントが作成可能になりました。\nさらに、コメントを作成するとそのコメント内容をグループへメール通知する機能を追加しました。\nリクエストにて\nneedGroupNotice\nを指定するとメール通知が行われます。\nこれによって、特定の脆弱性、特定のサーバに対する内容を API からグループ内に周知することが可能となります\n詳細は下記ドキュメントをご参照ください。\nhttps://doc.vuls.biz/#/groupSetTask/groupSetTask%23addGroupSetTaskComment\nその他\n#\nいくつかの不具合を修正しました。",
      "date_published": "2023-05-30T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-05-30"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230426/",
      "url": "https://help.vuls.biz/releasenotes/20230426/",
      "title": "[FutureVuls] 2023-04-26",
      "content_text": "2023-04-26 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年4月26日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナとスクリプトのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプトのバージョン\nLinux用\nvuls-v0.23.1-build-b91a7b7\nVersion: 2023/04\nWindows用\nvuls v0.2.1 build-36d85c1\nVersion: 2023/04\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nスキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて\n再インストール\nが必要です。\nLinux OSパッケージスキャン\nWindowsスキャン\nTrivyスキャン\nDockerスキャン\n依存ライブラリスキャン\nこのリリースでは、いくつかのバグが修正されています。\n「対象」に該当する場合は適切な対応をお願いいたします。\nUbuntuとDebianの検知ロジック改修\n#\n項目\n説明\n事象\nバイナリパッケージとソースパッケージが同じ名前の場合に脆弱性が検知されないケースがあった。また、一部のカーネル関連の脆弱性が検知されていなかった\n対象\nDebianおよびUbuntu\n対応\nScannerを最新版にアップデートしてください\n該当プルリクエスト\nVuls#1646\nGitHub連携のロジック改修\n#\n項目\n説明\n事象\nGitHub連携で依存ライブラリ数が大量の場合にスキャンエラーが発生していた\n対象\nGitHub連携を設定していた一部のユーザ\n対応\nユーザ側の対応は特に必要ありません\n該当プルリクエスト\nVuls#1650\nAmazon Linux 2022, 2023でconfigtestコマンドでリモートスキャンの環境設定をテストできるように\n#\n項目\n説明\n事象\nconfigtestコマンド\nを実行すると\nyum-utilsがインストールされていない\nというエラーが表示される\n対象\nリモートスキャンモードでAmazon Linux 2022, 2023をスキャンする場合\n対応\nScannerを最新版にアップデートしてください\n該当プルリクエスト\nVuls#1635",
      "date_published": "2023-04-26T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-04-26"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.6.1",
      "url": "https://github.com/quay/clair/releases/tag/v4.6.1",
      "title": "[Clair] v4.6.1 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.6.1\"></a>\n## [v4.6.1] - 2023-04-13\n### Airgap\n- [e02aba27](https://github.com/quay/clair/commit/e02aba27de01cb461f79bee9644aac80c2f9bd65): Remove libindex Airgap option\n### Chore\n- [36990912](https://github.com/quay/clair/commit/36990912450fba2ccbef260a4829f1d9f69f45c6): v4.6.1 changelog bump\n- [e676671c](https://github.com/quay/clair/commit/e676671c17d2612470cd8de05aa668312fbb3036): Bump Claircore to v1.4.21\n### Go.Mod\n- [36de97cc](https://github.com/quay/clair/commit/36de97ccf619113b1ef4dff6bfd0e0c692252544): update json (de)serializer\n### Httptransport\n- [922f33d1](https://github.com/quay/clair/commit/922f33d18919578049fbf2ccb756e6990b66f280): fix request_id logging\n### Httputil\n- [9e8eacf5](https://github.com/quay/clair/commit/9e8eacf51b2a45f967036396b3dc14a52edc480d): fix ParseIP usage\n -  [#1689](https://github.com/quay/clair/issues/1689)### Notifier\n- [ffa4556d](https://github.com/quay/clair/commit/ffa4556d0f251cc984ed34594356625b9b747744): Avoid double reference\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.6.1...HEAD\n[v4.6.1]: https://github.com/quay/clair/compare/v4.6.0...v4.6.1\n",
      "date_published": "2023-04-13T18:29:02Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.6.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230329/",
      "url": "https://help.vuls.biz/releasenotes/20230329/",
      "title": "[FutureVuls] 2023-03-29",
      "content_text": "2023-03-29 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年3月27日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナのバージョン\nOS\nスキャナバージョン\nスキャン実行スクリプト\nLinux用\nvuls v0.22.2 build-6682232\nVersion: 2023/04\nWindows用\nvuls v0.2.1 build-36d85c1\nVersion: 2023/04\nTrivy\nVersion: 0.35.0\nVersion: 2023/04\nスキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて\n再インストール\nが必要です。\nLinux OSパッケージスキャン\nWindowsスキャン\nTrivyスキャン\nDockerスキャン\n依存ライブラリスキャン\nSSVCのDecisionPointをロール単位で設定できるように\n#\nこのアップデートにより、グループ単位だけでなくロール単位でも、SSVC の DecisionPoint をより柔軟に設定できるようになりました。これにより、SSVC の設定がより細かい粒度で可能になります。\n例えば、「特定のグループの DMZ ロールを持つサーバに対して、Exposure を Open（インターネットからアクセス可能）に設定する」など、DecisionPoint を柔軟に設定できます。ロールに DecisionPoint が設定されていない場合は、従来通りグループの DecisionPoint が適用されます。\nAmazon Linux 2023をサポート\n#\nAmazon Linux 2023\nをサポートしました。\n「パッチ提供」の表示を変更\n#\n各脆弱性のパッチ提供状況の表示がわかりやすくなりました。\nパッチの提供状況が不明であることを示す「❔」ステータスが新たに追加され、パッチ有無の調査の要不要が判断しやすくなっています。\n各ステータスの詳細は下記マニュアルの「パッチ提供」列の説明を参照ください。\n脆弱性一覧\nタスク一覧\nスキャナの利便性が向上\n#\nスキャナの自動更新に失敗してもスキャンできるように\n#\nスキャナの自動更新機能\nを利用している環境下で、更新が失敗しても以前のスキャナを使用してスキャン処理が継続されるようになりました。\n従来は、スキャナ更新処理が失敗するとスキャン処理自体が停止していましたが、このリリースにより問題が修正されました。\nプロキシ環境下Windowsスキャンでスキャナの自動更新機能に対応\n#\nプロキシ環境下で Windows スキャンを利用している場合でも、スキャナの自動更新機能を利用できるようになりました。\n設定方法は\nマニュアル\nを参照ください。\n疑似サーバをREST APIで作成できるように\n#\nREST API を利用して擬似サーバを作成できるようになりました。\n/v1/server/pseudo\nに POST リクエストを送ることで擬似サーバが作成されます。\nAPI の詳細は以下のドキュメントをご覧ください。\nhttps://doc.vuls.biz/\nAmazon ECR連携機能の強化\n#\nAmazon ECR連携でもパッチ修正ステータスを正しく表示\n#\nこの機能は Amazon ECR イメージスキャン設定が\n拡張スキャン\nの場合動作します。\nこの機能は AWS の認証設定の更新が必要になります。\nFutureVulsで利用するポリシー\nを参照し、\nFutureVulsAssumeRole\nの IAM Policy に\nAction\nとして\ninspector2:ListCoverage\nと\ninspector2:ListFindings\nを追加してください。\nAmazon ECR スキャン連携から Import された脆弱性の関連するソフトウェアは、今までパッチ修正ステータスが\nunknown\nでしたが、今回のリリースで修正バージョンも含め、正しく表示されるようになりました。\nAmazon ECRから連携されたスキャン結果の取り込み\n#\nAmazon ECR のスキャン結果は今までステータスが\nSUPPRESSED\nもしくは、\nACTIVE\nである脆弱性が FutureVuls に連携されましたが、今回のリリースで\nACTIVE\nの脆弱性のみ連携されます。\nAWS Inspectorの抑制ルール\nによりステータスが\nSUPPRESSED\nになった脆弱性はこのリリース以降連携されません。\nその他\n#\nいくつかの不具合を修正しました。",
      "date_published": "2023-03-29T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-03-29"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230301/",
      "url": "https://help.vuls.biz/releasenotes/20230301/",
      "title": "[FutureVuls] 2023-03-01",
      "content_text": "2023-03-01 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年3月1日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナバイナリ\nOS\nScannerバージョン\nLinux用\nvuls v0.22.1 build-a528362\nWindows用\nvuls v0.2.1 build-36d85c1\nTrivy\nVersion: 0.35.0\nスキャン実行スクリプト\nVersion: 2023/03\nスキャン失敗時における、スキャン履歴でのエラー表示・アラートメール通知\n#\nこれまではスキャン失敗時に構成情報のアップロードが行われないため、スキャン履歴でスキャンの失敗を気づくことができませんでしたが、本リリースにより\nFutureVulsの画面上で失敗を含むスキャンのステータスを確認可能\nとなりました。\n■　対象となるケース\nVuls スキャナでのスキャン\nLinux サーバへのスキャン\nローカルスキャン・リモートスキャン\n対象となるケースでご利用の方は Vuls スキャナをアップデートしてください。\nアップデート方法は以下のリンクの情報にしたがってください。\nスキャン実行用スクリプトを更新する\nUbuntu Linuxのカーネルの脆弱性検知ロジックの修正\n#\nFutureVuls サービス側の検知処理を変更しました。\n変更の詳細は\nGitHub Vulsのイシュー\nから確認できます。\nなお、本変更にともなうユーザ側での必要な操作はありません。",
      "date_published": "2023-03-01T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-03-01"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20230206/",
      "url": "https://help.vuls.biz/releasenotes/20230206/",
      "title": "[FutureVuls] 2023-02-06",
      "content_text": "2023-02-06 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2023年2月6日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナバイナリ\nOS\nScannerバージョン\nLinux用\nvuls v0.22.0 build-554ecc4\nWindows用\nvuls v0.2.1 build-36d85c1\nTrivy\nVersion: 0.35.0\nスキャン実行スクリプト\nVersion: 2022/09\nグループ/グループセットの権限管理をより柔軟に行えるように\n#\nFutureVuls を全社導入している大企業や多数の顧客環境を運用する MSP（マネージドサービスプロバイダ）の「組織構造に合うように、柔軟にグループやグループセットを権限管理したい」というご要望にお応えしました。また、オーナー権限/CSIRT 権限はデフォルトで全グループの情報を確認・変更できるようになりました。それぞれについて説明します。\nグループセットの権限を柔軟に設定できるように\n#\n本リリースで、グループセットに対して管理者権限とメンバ権限を追加しました。\nグループセット管理者はグループセットの閲覧・変更権限に加えて、グループセットに含まれるグループに対しての管理者権限も持ちます。同様にグループセットメンバはグループセットに含まれるグループに対してのメンバ権限も持ちます。この機能により、複数のグループに対するユーザ権限管理をよりスムーズに行えます。\nグループセット管理者権限/グループセットメンバ権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。\nオーナ権限/CSIRT権限でデフォルトで全グループの閲覧が行えるように\n#\nこれまではオーナ権限/CSIRT 権限のユーザがグループの情報を確認する際は、各グループに所属することが必須となっていました。\n本リリースでオーナ権限/CSIRT 権限であれば、所属の手順なく各グループの情報を確認・変更が行えるようになりました。\nこれまで通りオーナ権限/CSIRT 権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。\nユーザ権限の仕様変更\n#\n上記のような権限管理をより柔軟に行えるよう、権限の種類追加や参加手続きの廃止などをできるようにしました。\n上位の権限を持っている時、その下位のグループセット権限や、グループ権限が自動で割り当たるようになりました。\nどの権限で何ができるのかは以下の表を参照ください。\n変更\n権限種類\nCSIRTプランのみ\n権限説明\n✓\nオーナ\n-\nすべての閲覧・変更ができる\n✓\nCSIRT\n✓\n課金関係・オーガニゼーションユーザ管理以外の閲覧・変更ができる\n✓\nグループセット管理者\n✓\n該当のグループセットとグループセットに含まれるグループの設定と基本画面を閲覧・変更できる\n✓\nグループセットメンバ\n✓\n該当のグループセットとグループセットに含まれるグループの基本画面を閲覧・変更できる\n-\nグループ管理者\n-\n該当グループの設定と基本画面を閲覧・変更できる\n-\nグループメンバ\n-\n該当グループの基本画面を閲覧・変更できる\n-\nグループ招待者\n-\nグループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ\n参考）本リリース以前の権限は以下のようになっていました。\n権限種類\nCSIRTプランのみ\n権限説明\nオーナ\n-\nオーガニゼーション設定、グループセットの閲覧・変更ができる。グループへ管理者として参加できる。\nCSIRT\n✓\n課金関係・オーガニゼーションユーザ管理以外のオーガニゼーション設定の閲覧・変更ができる。グループセットの閲覧・変更ができる。グループへ管理者として参加できる。\nグループ管理者\n-\n該当グループの設定と基本画面を閲覧・変更できる\nグループメンバ\n-\n該当グループの基本画面を閲覧・変更できる\nグループ招待者\n-\nグループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ\nライブラリスキャンの強化(gradle.lockfile, conan.lock)\n#\n新たに Java 系の gradle.lockfile と、C/C++系の conan.lock をサポートしました。\nサポート対象の一覧は\n対応環境>アプリケーション依存ライブラリ\nを参照してください。\nMicrosoft Teams への通知に対応\n#\nグループ設定 > 通知から Teams の Incoming Webhook URL を登録することで、24時間以内に新たに検知した脆弱性を DailyReport として Microsoft Teams に通知する機能を追加しました。\n連携で利用する Incoming Webhook URL は\nMicrosoft Teams > Channel > Connectors > Incoming Webhook\nから発行可能です。\nTeams で通知される内容は以下のとおりです。\nFutureVulsDailyReport\nカスタム警戒タグのメール通知\nトピック登録時のメール通知\nCloudOne 連携時のエラー通知\nスキャナ認証時のエラー通知\nスキャン時のエラー通知\nグリッドのフィルタ条件をブックマークや共有可能に\n#\n一覧表示のフィルタが URL へ反映されるようになりました。\nフィルタを設定した一覧を表示してパーマネントリンクとしてコピー、またはブックマークへ保存できるようになります。\nCPEで追加したソフトウェアにタグを登録できるように\n#\nCPE で追加したソフトウェアに対して、タグを追加できるようになりました。\n追加したタグは CPE の詳細画面や、タスク、脆弱性×タスク、ソフトウェアの一覧に表示されます。\nグループセット単位でAPIを実行できるように\n#\nグループセット設定にトークンページが追加され、グループセットに対する API トークンが作成できるようになりました。\nこれまではグループ単位で別々の API トークンを発行する必要があり管理が大変でした。\n今後はグループセット単位で API トークンを発行することにより、グループ横断で脆弱性情報やソフトウェア情報を取得いただけます。\n詳しい使い方は以下のドキュメントを参照ください。\nFutureVuls API\nREST API はユーザの意見を基に拡張を検討します。\nAPI の追加等のご要望は\nお問い合わせ\nください。\nその他\n#\nDailyReport の「24時間以内に新規作成された SSVC PRIORITY の高い未対応タスク」のリンク先を修正しました\nいくつかの不具合を修正しました。",
      "date_published": "2023-02-06T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2023-02-06"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.6.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.6.0",
      "title": "[Clair] v4.6.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.6.0\"></a>\n## [v4.6.0] - 2023-01-20\n### All\n- [577a55d4](https://github.com/quay/clair/commit/577a55d44d0ec337178680ec1ad6f0862a0c2482): use httputil to construct requests\n### Auto\n- [1f1010fe](https://github.com/quay/clair/commit/1f1010fe4ff81ed954ce9e680a7228742d41f533): add automatic memory limit discovery\n### Build(Deps)\n- [ef896eb6](https://github.com/quay/clair/commit/ef896eb62d4e5fd286213d8208105de92b28dadc): bump actions/stale from 6 to 7\n- [5a212ffe](https://github.com/quay/clair/commit/5a212ffed49b0f652d5f742400eb040b71dde16f): bump peter-evans/create-pull-request from 4.1.4 to 4.2.3\n- [b883bc2b](https://github.com/quay/clair/commit/b883bc2b9174618abd156e61037517a9f379020f): bump gsactions/commit-message-checker from 1 to 2\n### Chore\n- [5fd26563](https://github.com/quay/clair/commit/5fd265634d162dc0acba6c28e36d35dd0a90aec0): v4.6.0 changelog bump\n- [33f4fcbd](https://github.com/quay/clair/commit/33f4fcbdd0d80c9aa6878a0bdb6b1bd3332db823): Bump claircore to v1.4.17\n- [54d44908](https://github.com/quay/clair/commit/54d449081e29a456ed533bd2d1f189b7f4bc1b39): Bump Claircore to v1.4.16\n- [430e6087](https://github.com/quay/clair/commit/430e6087b6f245dc2cc95ef36836bedc9e458748): Bump Claircore to v1.4.15\n- [652d8ce6](https://github.com/quay/clair/commit/652d8ce6d5d627ba63e2aaf8f22991e1cc2fc5b4): Bump Claircore to v1.4.14\n- [9f6828cd](https://github.com/quay/clair/commit/9f6828cd36dce5033a68c641585c2f0b93edec87): Update to Go 1.18 for local-dev\n- [1c002bcd](https://github.com/quay/clair/commit/1c002bcda7e604e083de6f576d1a8801dceac44a): added ppc64le support\n- [4b37dcdf](https://github.com/quay/clair/commit/4b37dcdfcd0c89ff0be26ffd3e9dfbb9d15229df): Bump Claircore to v1.4.13\n- [9b273420](https://github.com/quay/clair/commit/9b273420c9aa0bd1975d925e5d38f8d852a58851): Bump claircore to v1.4.12\n### Cicd\n- [1dfb42a0](https://github.com/quay/clair/commit/1dfb42a09a25d7298ee2c343893dcc2c25d3f830): use extracted git archive\n- [aff17a4a](https://github.com/quay/clair/commit/aff17a4a3e2c9288baa69a1b9bee0b2e6318d276): update usage of `set-output`\n- [a8a97f80](https://github.com/quay/clair/commit/a8a97f80632c1c88711b7729a2d3bb726cdf9cbf): update cache action\n- [7de63a9c](https://github.com/quay/clair/commit/7de63a9c01f1f3990b5c8d91ee3bf486418f0ff0): add tests for odd architectures\n- [e923360c](https://github.com/quay/clair/commit/e923360cb2124e20da6646d02e94b5e9541b6653): omit Dockerfile build args\n- [14b8f690](https://github.com/quay/clair/commit/14b8f6906a08529e93fa563c5567311154e58b1b): enable go1.19\n- [5a8128c1](https://github.com/quay/clair/commit/5a8128c1241a9e48a8b84c290405993e12e6d776): inject version into built `clairctl` binaries\n -  [#1649](https://github.com/quay/clair/issues/1649)### Clairctl\n- [a367a7ae](https://github.com/quay/clair/commit/a367a7ae9b59fee5a5b102f4da89a1f5bc732e0a): use a better user-agent\n- [3b9ff6de](https://github.com/quay/clair/commit/3b9ff6de75b27d6a3ce593212850f294942b8be0): update with new signer\n### Client\n- [ddea858f](https://github.com/quay/clair/commit/ddea858f16e990eca838edbb8fe59560cb63bcdc): Add the passed host to the signer\n- [adbaa567](https://github.com/quay/clair/commit/adbaa567fb9e9d271c406f47c76218d301e1cdc9): use signer\n- [d8ad1ba4](https://github.com/quay/clair/commit/d8ad1ba475fd0a40f592c3b3618a9b1d16295171): update for httputil changes\n### Cmd\n- [8b899803](https://github.com/quay/clair/commit/8b8998034ceded096a761b99ff0a1f5a79f0a7b6): use git-archive for version information\n### Documentation\n- [9d1a7aab](https://github.com/quay/clair/commit/9d1a7aab465664bb70ea3672aed70e8193c6e4d0): fix typo in link\n### Httptransport\n- [25ac033f](https://github.com/quay/clair/commit/25ac033f67e2e1d39edd8ebf85b3bf61f751e433): use new signer scheme in test\n- [a9228d40](https://github.com/quay/clair/commit/a9228d40cb4bfc210148b2f931f7f287515bfa5e): add a `request_id` to logs\n -  [#1547](https://github.com/quay/clair/issues/1547)### Httputil\n- [e746ff05](https://github.com/quay/clair/commit/e746ff056193606b8a20a240a098ef1309311e2d): rework request signing and request restriction\n### Service\n- [e08f3972](https://github.com/quay/clair/commit/e08f3972393d8d9a23b9fec79e9beee11fc5933a): add signer option\n### Webhook\n- [d99f7005](https://github.com/quay/clair/commit/d99f7005bc48724d1da804a47a4099e7eedce252): add explicit signer argument\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.6.0...HEAD\n[v4.6.0]: https://github.com/quay/clair/compare/v4.5.1...v4.6.0\n",
      "date_published": "2023-01-20T22:13:03Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.6.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.5.1",
      "url": "https://github.com/quay/clair/releases/tag/v4.5.1",
      "title": "[Clair] v4.5.1 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.5.1\"></a>\n## [v4.5.1] - 2022-11-09\n### Chore\n- [0a0aa1cc](https://github.com/quay/clair/commit/0a0aa1cca3937cec42649bf171d2e1436c9bd792): Bump claircore to v1.4.12\n -  [#1646](https://github.com/quay/clair/issues/1646)\n[Unreleased]: https://github.com/quay/clair/compare/v4.5.1...HEAD\n[v4.5.1]: https://github.com/quay/clair/compare/v4.5.0...v4.5.1\n",
      "date_published": "2022-11-22T22:34:18Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.5.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20221121/",
      "url": "https://help.vuls.biz/releasenotes/20221121/",
      "title": "[FutureVuls] 2022-11-21",
      "content_text": "2022-11-21 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2022年11月21日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナバイナリ\nOS\nScannerバージョン\nLinux用\nvuls v0.21.1 build-1d97e91\nWindows用\nvuls v0.2.1 build-36d85c1\nTrivy\nVersion: 0.29.x\nスキャン実行スクリプト\nVersion: 2022/09\nSBOM出力に対応\n#\nCycloneDX\nフォーマットの SBOM 出力に対応しました。\nサーバの詳細に設置されている SBOM ファイルのダウンロードボタンから JSON ファイル/XML ファイルを取得できます。\nCIDRレンジを指定したリモートスキャンが可能に\n#\n設定ファイル内に CIDR レンジを指定することで、範囲内のすべてのサーバに対してリモートスキャンが可能になりました。\nリモートスキャンの設定を1件1件ファイルに記述すること無く、まとめて設定いただけます。\n詳しい設定方法は\nコチラ\nを参照ください。\n一覧の機能追加・修正\n#\nUbuntuの深刻度を脆弱性一覧に追加\n#\n脆弱性一覧で ubuntu.com をソースとする深刻度を表示できるようになりました。\nSSVC最高優先度を脆弱性一覧に追加\n#\n脆弱性一覧に該当 CVE 内で最も優先度の高い SSVC を表示する\nSSVC最高優先度\n欄を追加しました。\n一覧のフィルタにisフィルタを追加\n#\n深刻度・優先度など From/Until のみフィルタを用意していた項目に is フィルタを追加しました。\n使い勝手の改善\n#\nヘッダーの「デザイン切り替え」ボタンを現在のレイアウトに合わせて変更\nHTML タイトルをより動的に変更し、ブラウザの「戻る」「進む」ボタンをより利用しやすいように\nサーバの GitHub リポジトリで GitHub トークンを確認しやすいようにレイアウト変更\n第2ペインやメンバ一覧などのスクロール箇所を変更し、ナビタブやテーブルヘッダーを確認しやすいように\nメンバ一覧のフィルタでユーザ名だけでなくメールアドレスでのフィルタを行えるように\n修正\n#\nユーザプロフィール画面に表示される TOTP 設定状況の挙動を修正しました。\nSSVC の「Priority 変化時のトリガー＆アクション」で、immediate・out of cycle の対応期限を0日で指定できるようにしました。\nクレジットカード請求書をStripeカスタマーポータルへ移行\n#\nスタンダードプランのオーガニゼーションで、請求情報の確認を Stripe のカスタマーポータルへ移行しました。\n請求情報の確認には請求先メールアドレスに届く確認コードが必要となります。\nオーガニゼーション設定 > 請求先メールアドレスに表示されているアドレス\nでの認証をお試しください。\n※それ以外のアドレスでは請求書などを表示できません。\nスタンダードプランのFAQ - 請求書を画面上で確認したい\n請求先メールアドレスを変更する場合はカスタマーポータルから変更お願いします。\nスタンダードプランのFAQ - 契約者やクレジットカードを変更できますか\nVulsスキャナのアプリケーション依存ライブラリ自動検出機能の改良\n#\nVuls Scanner には EC2などのスキャン対象サーバのファイルシステム上に存在する Lockfile や Jar などのアプリケーション依存ライブラリを自動で検出する機能があります。ルート以下の全ディレクトリを検索するので CPU の負荷が高く、メモリ使用効率が悪いという課題がありました。\n本リリースにて検知対象のディレクトリを複数指定できるようになり、さらにメモリ効率を改良しました。詳細は\nヘルプ\nを参照してください。\nAmazon ECR 拡張スキャンに対応\n#\nFutureVuls では AWS 連携機能として、Amazon ECR の基本スキャン結果を FutureVuls で取り込む機能があります。\n本リリースにて、基本スキャンに加え、\n拡張スキャン\nのスキャン結果の取り込みも可能になりました。\nその他\n#\n脆弱性詳細内 CVSS の切り替えタブを変更しました。\nPaste サーバの追加ダイアログで Windows を選んだ際の入力項目を変更しました。\nバンドルサイズを大幅に削減しました。\nいくつかの不具合を修正しました。",
      "date_published": "2022-11-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-11-21"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.5.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.5.0",
      "title": "[Clair] v4.5.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.5.0\"></a>\n## [v4.5.0] - 2022-11-03\n### Build(Deps)\n- [df77d75a](https://github.com/quay/clair/commit/df77d75a9850ebc2120f3c0a6162d246a7847ce0): bump peter-evans/create-pull-request from 4.1.3 to 4.1.4\n### Chore\n- [e0aec666](https://github.com/quay/clair/commit/e0aec666625ab4b5f1b3ddc35ff0fc75aa578e8c): Remove windows 386 as a binary target for releases\n- [0772b85f](https://github.com/quay/clair/commit/0772b85feaab5928e3f1d5352c6c7c17cef3e782): v4.5.0 changelog bump\n- [070a611a](https://github.com/quay/clair/commit/070a611a2dadcb8cf16c57c40479db4d028c0d03): Bump Claircore to v1.4.11\n- [5ff4805a](https://github.com/quay/clair/commit/5ff4805a3294313e38e540664ba7a7f9732876b4): Bump Claircore to v1.4.10\n- [08ad0697](https://github.com/quay/clair/commit/08ad06979051308d3d7cbc07d751977cf48d6a9e): Bump Claircore to v1.4.9\n- [731c16f7](https://github.com/quay/clair/commit/731c16f70b7938df46b0f3ca6e431377982da4e9): bump Claircore to v1.4.8\n### Clairctl\n- [e431960e](https://github.com/quay/clair/commit/e431960e87fc6a8f2c257b1bda860c242a6c713b): Add delete command\n- [66325b12](https://github.com/quay/clair/commit/66325b12a329a0517e453aa0a2658b9c263335d1): don't use internal client\n### Cmd\n- [9b0f1a96](https://github.com/quay/clair/commit/9b0f1a962585761065b7adb0d18191f911c93ed3): unify version information\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.5.0...HEAD\n[v4.5.0]: https://github.com/quay/clair/compare/v4.5.0-rc.0...v4.5.0\n",
      "date_published": "2022-11-04T15:20:36Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.5.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.5.0-rc.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.5.0-rc.0",
      "title": "[Clair] v4.5.0-rc.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.5.0-rc.0\"></a>\n## [v4.5.0-rc.0] - 2022-10-10\n### All\n- [1a1d5662](https://github.com/quay/clair/commit/1a1d566249aa4be93c60e1af773ced0a8d227fb2): remove Quay keyserver support\n### Build(Deps)\n- [224d0698](https://github.com/quay/clair/commit/224d06988b6196ef6617ae807abb652a0580c0dc): bump actions/stale from 5 to 6\n- [180b887c](https://github.com/quay/clair/commit/180b887c8748e3367e962fa78551d526b79de378): bump peter-evans/create-pull-request from 4.1.2 to 4.1.3\n- [0537bbc0](https://github.com/quay/clair/commit/0537bbc06eeb1a050530a62ac263a4a60bd298c4): bump peter-evans/create-pull-request from 4.1.1 to 4.1.2\n- [47a9c1cb](https://github.com/quay/clair/commit/47a9c1cb108872a6d30fe36328b2bf9126f9b13d): bump peter-evans/create-pull-request from 4.0.4 to 4.1.1\n- [3cad3319](https://github.com/quay/clair/commit/3cad331970a3d1a9c8093f62087e63d48859a7b3): bump peter-evans/create-pull-request from 4.0.3 to 4.0.4\n- [c5975257](https://github.com/quay/clair/commit/c597525708138d390041a4d72ed9de9f43ec28c5): bump peter-evans/create-pull-request from 4.0.2 to 4.0.3\n- [57dc2378](https://github.com/quay/clair/commit/57dc23781da8328410be551090a92aec99dbd41e): bump docker/setup-qemu-action from 1 to 2\n- [c4e2031b](https://github.com/quay/clair/commit/c4e2031b36dea93fbe8078bff093c0525d32da6e): bump docker/login-action from 1 to 2\n- [a9823a91](https://github.com/quay/clair/commit/a9823a9107234e7c51f2daf0824ed0e35bd4939b): bump docker/setup-buildx-action from 1 to 2\n- [7c8bafbe](https://github.com/quay/clair/commit/7c8bafbe9b9b021da81055d98f95106649cf6d48): bump docker/build-push-action from 2 to 3\n- [4408b1bb](https://github.com/quay/clair/commit/4408b1bb39d8c443509872dd54dd959bc5a11ac5): bump actions/download-artifact from 2 to 3\n- [4c91a714](https://github.com/quay/clair/commit/4c91a714cd1fa86a20e8d40fcbe8a344e3b94e72): bump actions/setup-go from 2 to 3\n- [64389db0](https://github.com/quay/clair/commit/64389db059ed0a3dbba6d0599272961ab88adb7a): bump actions/upload-artifact from 2 to 3\n- [1db22a62](https://github.com/quay/clair/commit/1db22a62b0569c96772a3b6785ca007454e063fd): bump peter-evans/create-pull-request from 4.0.1 to 4.0.2\n- [c0953e6f](https://github.com/quay/clair/commit/c0953e6f15ef83d2af317ae7a1cd40d37336446e): bump actions/stale from 4 to 5\n- [53e944f9](https://github.com/quay/clair/commit/53e944f9f2321330d1ed8172365892bf461b0eb3): bump peter-evans/create-pull-request from 3.14.0 to 4.0.1\n- [c76efaee](https://github.com/quay/clair/commit/c76efaee8d97a5820d2ba0b3668ad3ccd10fbe02): bump actions/cache from 2 to 3\n### CRDA\n- [4bb2d332](https://github.com/quay/clair/commit/4bb2d33291f652961a4f4d2da8e5e297df4d19ee): replace API key request form URL\n### Chore\n- [4d4c425b](https://github.com/quay/clair/commit/4d4c425b25996a7d0834307fc908090ecbbe805b): Bump claircore to v1.4.4\n### Chore\n- [aae2d839](https://github.com/quay/clair/commit/aae2d839fbc36996e97ab1d93fca00c70d2278c6): v4.5.0-rc.0 changelog bump\n- [95073d0b](https://github.com/quay/clair/commit/95073d0bdff80f74a055bb8cbc4ebf01d6c800a0): Bump claircore to v1.4.7\n- [415b2a17](https://github.com/quay/clair/commit/415b2a17bc71064a4db47d622b378c345ca5a4ed): Add back Publish Binaries to upload clairctl versions\n- [c9041efa](https://github.com/quay/clair/commit/c9041efaf9aa0b8082bc06e400d31767285e5c20): bump Claircore to v1.4.6\n- [039d2073](https://github.com/quay/clair/commit/039d2073b21fd8d1ba52d26f14884c56d620df30): bump Claircore to v1.4.5\n- [4e44f7ef](https://github.com/quay/clair/commit/4e44f7efd1ae880b6edf0b7145c271619d10cb03): bump claircore v1.4.2 -> v1.4.3\n- [e2b8e101](https://github.com/quay/clair/commit/e2b8e10152744ff245469be83c75f1a794648584): Bump claircore v1.4.1 -> 1.4.2\n- [3273a969](https://github.com/quay/clair/commit/3273a96981b007d8c4e271aec0371cb7e4f45baf): bump claircore to v1.3.2\n### Ci\n- [45443c8e](https://github.com/quay/clair/commit/45443c8ead5ad369987b33ec8a0b28ec0544d9c3): fix prerelease conditional\n- [eea6fea1](https://github.com/quay/clair/commit/eea6fea1966b4d599e8eb900150c2b90bff47e37): fix config tidy check\n- [4180d787](https://github.com/quay/clair/commit/4180d78769579b28534a45a78a96a7b7bb09eaa1): update workflows and machinery for go1.18\n### Clair\n- [b8882f9d](https://github.com/quay/clair/commit/b8882f9ddb1d3801fdbb47705a68640cfd819aab): better argument error messages\n -  [#1605](https://github.com/quay/clair/issues/1605)### Clairctl\n- [f0d6a357](https://github.com/quay/clair/commit/f0d6a35763d5589f17c1a40dca5e155188a79b1e): fix error reporting for streaming responses\n### Config\n- [677a3137](https://github.com/quay/clair/commit/677a3137e27c55f802a8d7d6fd6c7a7ce7587f9b): Don't use flag default combo\n- [f0e077e0](https://github.com/quay/clair/commit/f0e077e0cd79d7a71314a4b87e5cb1d14549efa8): add \"omitempty\" tags everywhere\n- [f1bb53ea](https://github.com/quay/clair/commit/f1bb53ea2b5e03385cf59c941b185baf6df16f8b): implement TextMarshaler for LogLevel\n- [6a99b61a](https://github.com/quay/clair/commit/6a99b61ab5fed89f018ab3c707c52a6aca15add0): add top-level docs\n### Contrib\n- [9612ee67](https://github.com/quay/clair/commit/9612ee675ce9ce5db35c596c82a27057e322099e): remove rpmscanner files on startup\n- [a6609638](https://github.com/quay/clair/commit/a660963897dbf9cf7097acfade26e45fd8276154): First wipe anything that might be left before starting clair indexers\n- [6a6fd901](https://github.com/quay/clair/commit/6a6fd90151d454b7288d0144dc855974969b2c26): fix DB connection charts\n- [6b60eef6](https://github.com/quay/clair/commit/6b60eef6bcf91d9f809ad00928196bfd802db897): Only count index report creation latency for successful requests\n- [17862ae3](https://github.com/quay/clair/commit/17862ae3775cfa8b085856455614d3799bef36f7): Add DB connections to Grafana dashboard\n- [37ca1ab0](https://github.com/quay/clair/commit/37ca1ab04958c4c474c05b24b62d0172747ad9d7): Add dedicated serviceAccount\n- [1d89c032](https://github.com/quay/clair/commit/1d89c032aac54789241a82491c97496be403ec30): Wipe all the temporary files in the process of being fetched\n- [187764a3](https://github.com/quay/clair/commit/187764a3c7859d86906b34023a9f8658d25390ea): Wipe all the contents of /tmp on container start\n- [ae7675af](https://github.com/quay/clair/commit/ae7675af1e68c4e5cf2301480b7a3b99ae6faf89): Use the readyz endpoint in startup probes\n - Fixes [#1488](https://github.com/quay/clair/issues/1488)### Docker-Compose\n- [dfd68db8](https://github.com/quay/clair/commit/dfd68db8df6ebe61b20888858fadf3b2fab27e5b): remove -mod=vendor flag\n### Dockerfile\n- [e689241b](https://github.com/quay/clair/commit/e689241b16f07e79257a2b3264ff5cb730388d8d): strip binaries to reduce size\n- [2af2a7f6](https://github.com/quay/clair/commit/2af2a7f617cf49ba2cd2588d5583479743f3d8c5): fix build with newer ubi8/ubi-minimal image\n- [f2e209c6](https://github.com/quay/clair/commit/f2e209c62acd6d2a728ac59dbbcc3ce734962310): update for 1.18, add trimpath\n### Docs\n- [369319cd](https://github.com/quay/clair/commit/369319cd1ebabaf86fa5e029a0f23724434faed5): note tested `docker-compose` version\n### Documentation\n- [9258a313](https://github.com/quay/clair/commit/9258a313a95086148e5c0efe293ed7c5a686dbec): add config reference cross-checking\n- [9a74ac8f](https://github.com/quay/clair/commit/9a74ac8f4f1e0606e1830e881b52ae2ab4331d92): add notes on metrics\n- [d09b3192](https://github.com/quay/clair/commit/d09b3192a4a8fec2a54c6d89594f17d3694c9b33): add link checker\n### Go.Mod\n- [d583395e](https://github.com/quay/clair/commit/d583395ec2a03655f44c8eea7e1052e04d6ff889): update claircore version\n- [12b676d4](https://github.com/quay/clair/commit/12b676d4862a97629acf5bc501189da9728d690d): patch update dependencies\n- [e1833161](https://github.com/quay/clair/commit/e1833161315d45484f433fdb3a3692a9a617f3bd): update claircore version\n- [65dcc39c](https://github.com/quay/clair/commit/65dcc39c688ab14cc8330ef05eef77b445d6ecd9): update minimum go version\n### Httptransport\n- [f34148ad](https://github.com/quay/clair/commit/f34148adb89922c4035840cf81018392953f209b): update discovery endpoint\n- [88149118](https://github.com/quay/clair/commit/88149118a5f0ee212a069938a7a3031aa8725fde): use less-verbose instrumentation construction\n- [51119521](https://github.com/quay/clair/commit/5111952106e614c671171f872dcaf7627adf908b): update notification endpoints\n -  [#1523](https://github.com/quay/clair/issues/1523)- [fa49078d](https://github.com/quay/clair/commit/fa49078db0cabae7fbdab0e725752b8de93bc714): fix test log panic\n- [19fa0aa8](https://github.com/quay/clair/commit/19fa0aa8af90288542b9cf65fea08b91f3c106bb): Refactor Matcher to align with indexer\n- [ce462ea4](https://github.com/quay/clair/commit/ce462ea41a81be2c13f9a4a85847b7f93570db48): handle no notifier in \"combo\" mode\n### Indexer\n- [8e5d76d3](https://github.com/quay/clair/commit/8e5d76d3926c748caaf34e7d722b58502c5a5813): Return 4XX status code when Index() returns tarfs.ErrBadFormat\n### Introspection\n- [f4db2610](https://github.com/quay/clair/commit/f4db2610af02f6b933cddfeb71f271d58e412a8a): allow custom health function\n### Logging\n- [5c5a1ab4](https://github.com/quay/clair/commit/5c5a1ab496ea07c38a885b260dea14aa952f08b9): log when request is rate-limited\n### Matcher\n- [e5cb6a91](https://github.com/quay/clair/commit/e5cb6a91484254ab647989ab7761ae4d0f85a5f4): Update matcher client to match server definition\n### Metrics\n- [e1664659](https://github.com/quay/clair/commit/e1664659909ddfac0fca48b4995d2b772ebd085b): Spread clair_http_indexerv1_request_duration buckets\n### Prometheus\n- [b6ce5043](https://github.com/quay/clair/commit/b6ce504373675f4b75c5e229098d9fd89669b13f): rework indexer buckets\n### Services\n- [668f443f](https://github.com/quay/clair/commit/668f443f1c0829ce3f5977ff158214fa76951d59): update initialization\n### Webhook\n- [472e70b6](https://github.com/quay/clair/commit/472e70b6c4c6a65f7afd5ef4ecd2c4d722578ba5): clone headers on request\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.5.0-rc.0...HEAD\n[v4.5.0-rc.0]: https://github.com/quay/clair/compare/v4.4.4...v4.5.0-rc.0\n",
      "date_published": "2022-10-10T20:04:47Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "clair",
      "_version": "v4.5.0-rc.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220913/",
      "url": "https://help.vuls.biz/releasenotes/20220913/",
      "title": "[FutureVuls] 2022-09-13",
      "content_text": "2022-09-13 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます。\n古いスキャナでは\n最新機能\nが利用できません。\nスキャナの自動更新\nオプションがご利用いただけます。\n2022年9月13日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nスキャナバイナリ\nOS\nScannerバージョン\nLinux用\nvuls v0.20.3 build-2a00339\nWindows用\nvuls v0.2.1 build-36d85c1\nTrivy\nVersion: 0.29.2\nスキャン実行スクリプト\nVersion: 2022/09\nスキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて\n再インストール\nが必要です。\nLinuxスキャン\nWindowsスキャン\n最新の自動トリアージエンジン「SSVC」を搭載、リスクベースの判断から対応指示までを全自動化\n#\nSSVC 機能は CSIRT プランのみ対象です。\n従来の CVSS スコアベースのトリアージでは「実際のリスクベースで判断できない」という課題がありました。\nこの課題を解決すべくカーネギーメロン大学から提案された最新のリスクベーストリアージ手法が「SSVC」であり、今回のリリースでは、この SSVC のトリアージエンジンを FutureVuls に実装しました。\nFutureVuls 内蔵の SSVC エンジンが、上図の左下に記載のシステム環境と現状の4つの条件を考慮して、専門家に代わり実際のリスクベースで対応優先度を自動分類します。\nさらに、SSVC が自動分類した4つの優先度「immediate」「out of cycle」「scheduled」「defer」の結果をトリガーにして、タスクのステータス（優先度、対応期限、ステータス）を自動設定することで、運用担当者への対応指示まで自動で可能になります。\nたとえば、以下のような設定もできます。\n「Immediate」（緊急対応が必要）なタスクは優先度を「High」にしてタスク期限を2週間後に設定する\n「Scheduled」（次回の定期メンテナンス時に対応）なタスクはタスクステータスを「defer」（保留）、優先度を「Low」に、タスク期限を次回メンテナンス日の12月2週の水曜日にする\nまた、環境によっては SSVC が判断した「緊急対応」「計画外メンテナンス」が必要な優先度の高い脆弱性の抽出性能は、CVSS スコアベースのトリアージと比べて約「15倍」以上の分類性能を確認しています。\nより詳細は\nチュートリアル > 自動トリアージ\nを参照してください。\n詳細な設定方法は\nSSVC設定方法\nを参照してください。\nタスクステータスにDefer(保留)を追加\n#\nタスクステータスに、新区分 Defer を追加しました。\nタスクの対応を見送る際はこのステータスを指定をしてください。\n全体的なタスクステータスと作業フローは下記のイメージになります。\nWindowsのペーストスキャンの方法を変更\n#\n前回リリースされた Windows スキャンの精度向上に伴い、Windows のペーストスキャンも同様に改修しました。\n変更点は以下の通りです。\nサーバ種別が pseudo から paste になりました。\n管理対象 OS 以外の脆弱性を検知していた不具合を修正しました。\nWindows や Microsoft Edge など一部の製品で未修正の脆弱性の検知が可能になりました。\nサーバ種別が変わった関係で、既存の Windows ペーストスキャンを引き続き利用できません。\npseudo として登録していた Windows のペーストサーバは一度削除していただき、新しくペーストサーバとして登録してください。\nスキャナの自動更新機能を追加\n#\nLinux スキャン・Windows スキャンにて、スキャナの自動更新が可能になりました。設定すると、定期的にスキャナのバージョンを確認する必要なく、常に最新の機能をご利用いただけます。\nインストール\n時と同様に、スキャナのインストールコマンドを FutureVuls 画面上からコピーし、対象の環境で実行してください。\n詳しくは、\nスキャナの更新\nを参照ください。\nスキャン対象OSを追加\n#\nLinux OSパッケージスキャン\nにて、新たに Red Hat Enterprise Linux 9をスキャンできるようになりました。\nREST APIの強化\n#\n手動スキャンが REST API 経由(\n/v1/server/scan/{serverID}\n)で可能になりました。\nAPI 経由の Lock ファイル追加時、\nfileContent\nを Base64でも受け取れるようになりました。\nAWS連携を強化\n#\nAWS 連携が、\nIMDSv2\nのみ利用可能なインスタンスでも利用可能になりました。\nその他\n#\nいくつかの不具合を修正しました。",
      "date_published": "2022-09-13T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-09-13"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220713/",
      "url": "https://help.vuls.biz/releasenotes/20220713/",
      "title": "[FutureVuls] 2022-07-13",
      "content_text": "2022-07-13 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できません。\n2022年7月13日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nScannerバージョン\nLinux用\nvuls v0.19.8 build-48f7597\nWindows用\nvuls v0.2.0 build-3d5127e\nシングルサインオンに対応\n#\nSSO 機能は CSIRT プランのみ対象です。\nFutureVuls が SSO ログインに対応しました。この機能は CSIRT プランにて利用可能です。\n対応プロトコルや各ユースケースに応じた FutureVuls 上の操作について、詳細は\nSAML連携\nをご確認ください。\nWindowsのゼロデイ脆弱性を検知可能に\n#\nWindows 用スキャナの最新版へのアップデートが必須です。\n管理対象 OS 以外の脆弱性を検知していた不具合を修正しました。\nまた、Windows や Microsoft Edge など一部の製品で未修正の脆弱性の検知が可能になりました。\nTrivy連携を強化\n#\nTrivy 連携を強化しました。主な追加機能は以下の通りです。\n2022-07-13 リリース内容\nシングルサインオンに対応\nWindowsのゼロデイ脆弱性を検知可能に\nTrivy連携を強化\n定期的にTrivyスキャンを自動実行可能に\nTrivyスキャナのバージョン管理が可能に\nリスト上でEnterキーを押して該当行の詳細を表示\nサーバ追加ダイアログの並び順を変更\n定期的にTrivyスキャンを自動実行可能に\n#\nTrivy スキャンインストール時に設定用のスクリプトファイルを実行することで、一日１回自動で Trivy が起動し、スキャンを実行するようになりました。コンテナイメージやアプリケーションライブラリの構成が変更されるたびに再スキャンする必要がなくなり、より快適に日々の脆弱性管理に注力いただけます。\nこの機能を利用するためには root 権限が必要ですが、root 権限不要で従来の機能を利用できる軽量版も用意していますので、用途に合った方法をお選びください。\n詳しくは以下のドキュメントを参考ください。\nTrivyによるコンテナイメージスキャン\nTrivyによるアプリケーションライブラリスキャン\nTrivyスキャナのバージョン管理が可能に\n#\nTrivy スキャナのバージョン管理が FutureVuls 上でできるようになりました。Vuls スキャナと同様にサーバ詳細から確認いただけます。\n詳しくは\nコチラ\nを参照ください。\nリスト上でEnterキーを押して該当行の詳細を表示\n#\n脆弱性リストなどのリスト上のセルにフォーカスが当たっているときに Enter キーを押すと該当行の詳細を表示できるようになりました。\n十字キーでセルの移動しながら、必要な場合に Enter キーを押して詳細を表示ができ、より軽快に情報の確認が行えます。\nもちろん、これまで通りセルのクリックでも詳細を表示できます。\nサーバ追加ダイアログの並び順を変更\n#\nサーバリストで\nサーバ追加\nをクリックしたときに表示されるサーバ追加ダイアログの並び順を変更しました。\nよりスキャンの精度が高いものを上部に配置しています。各スキャン方法の違いについては、\nスキャン方法の選択肢と特徴\nをご覧ください。",
      "date_published": "2022-07-13T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-07-13"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.4",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.4",
      "title": "[Clair] v4.4.4 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.4\"></a>\n## [v4.4.4] - 2022-06-09\n### Chore\n- [48a3a4ee](https://github.com/quay/clair/commit/48a3a4eef20ce76e25bb57ed9e8444af60998fd4): v4.4.4 changelog bump\n- [6b1f27ed](https://github.com/quay/clair/commit/6b1f27ed682605fa89641cebf4f0f029c604f0d3): Bump claircore v1.4.1 -> 1.4.2\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.4...HEAD\n[v4.4.4]: https://github.com/quay/clair/compare/v4.4.3...v4.4.4\n",
      "date_published": "2022-06-09T20:18:49Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.4"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.3",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.3",
      "title": "[Clair] v4.4.3 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.3\"></a>\n## [v4.4.3] - 2022-06-06\n### Chore\n- [3682f31e](https://github.com/quay/clair/commit/3682f31ee399e2b14a1d669c1f3d9ee774feefdd): v4.4.3 changelog bump\n### Go.Mod\n- [51c63e32](https://github.com/quay/clair/commit/51c63e323cc27824cdb59b942b66af110400d5b3): update claircore version\n -  [#1580](https://github.com/quay/clair/issues/1580)### Webhook\n- [edc65d66](https://github.com/quay/clair/commit/edc65d667261fbc08d54bbc4057151f47ce6d4b7): clone headers on request\n -  [#1557](https://github.com/quay/clair/issues/1557)\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.3...HEAD\n[v4.4.3]: https://github.com/quay/clair/compare/v4.4.2...v4.4.3\n",
      "date_published": "2022-06-06T18:23:09Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.3"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.2",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.2",
      "title": "[Clair] v4.4.2 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.2\"></a>\n## [v4.4.2] - 2022-05-26\n### Chore\n- [2a4694bf](https://github.com/quay/clair/commit/2a4694bff671a9e41c3c5c5c77eb1a53afebf971): v4.4.2 changelog bump\n### Go.Mod\n- [67f32bff](https://github.com/quay/clair/commit/67f32bff3f3ef655ff24313ccc7905d6d2a0a719): update claircore version\n -  [#1571](https://github.com/quay/clair/issues/1571)\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.2...HEAD\n[v4.4.2]: https://github.com/quay/clair/compare/v4.4.1...v4.4.2\n",
      "date_published": "2022-05-26T16:13:21Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220517/",
      "url": "https://help.vuls.biz/releasenotes/20220517/",
      "title": "[FutureVuls] 2022-05-17",
      "content_text": "2022-05-17 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できません。\n2022年5月17日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nScannerバージョン\nLinux用\nvuls v0.19.7 build-91ed318\nWindows用\nvuls v0.2.0 build-3d5127e\nオープンソースのライセンス違反を確認できるように\n#\nアプリケーション依存ライブラリの OSS ライセンスを検知して画面上に一覧表示する機能を追加しました。\n下記の方法でスキャンした、Lockfile や jar などのバイナリの OSS ライセンスの種類を検知できます。\nLockfileのペーストスキャン\nVuls ScannerでLockfileを指定したスキャン\nTrivyでファイルシステム上のパスを指定したスキャン\nTrivyでリモートリポジトリ上のライブラリをスキャン\nまた、\nグループセット内のGPL系OSSライセンス横断検索機能\nから GPL 系のソフトウェアを検索できるようになりました。\n組織内のアプリケーションで利用されているすべての依存ライブラリの中から GPL, AGPL のソフトウェアを横断検索する際に便利です。\nFutureVuls Blog > OSSライセンス表示機能を開発しました\nに詳細や開発秘話を記載しましたので参照ください。\nスキャナの改良\n#\nLinuxのサポート対象を拡充\n#\n実機スキャンのサポート対象として下記 OS を追加しました。\nUbuntu 22.04 LTS\nAmazon Linux 2022\nRocky Linux 8\nAlmaLinux OS 8\nFedora Linux 32, 33, 34, 35\nopenSUSE tumbleweed\nopenSUSE Leap 15.2, 15.3\nSUSE Linux Enterprise Server 11 12 15\nまた、スキャナは x86系の CPU のみ対応していましたが、今回リリースで新たに ARM 系の CPU も対応しました。\n対応環境の一覧については\nlinuxホストスキャン\nをご確認ください。\nコンテナイメージスキャンで追加したイメージのOSバージョンおよびEOLも確認可能に\n#\n今まで、コンテナイメージスキャンで追加したサーバは OS バージョンや、OS の EOL は表示していませんでした。\n今回のリリース以降、コンテナイメージスキャンで追加したサーバは実機スキャン同様、OS バージョン・EOL をご確認いただけます。\nWindowsのPASTEスキャンがより簡単に\n#\nWindows の PASTE スキャンの登録方法が簡単になりました。他 OS の PASTE スキャン同様に、サーバタブの\nサーバ追加\nダイアログから登録いただけます。\nサーバ名を入力\nインストール済みの更新プログラム情報をペースト\n詳細は\nWindows PASTEスキャンの新規登録\nをご確認ください。\n画面上でスキャナのバージョンを確認できるように\n#\nサーバタブ上でスキャナのバージョンが確認できるようになりました。\n最新のスキャン機能を利用するためにはスキャナの更新が必須です。\n警告が表示される場合はインストールされているスキャナが古いため、最新版にアップデートしてください。\n詳細は\nスキャナバージョンの確認方法\nをご確認ください。\nタスクの「対応期限」を追加\n#\nタスクに、新たに「対応期限」の項目を追加しました。\n「対応期限」は主にセキュリティ部門や管理者が設定する項目であり、リスクの高い脆弱性の対応期限を管理できます。\n対応予定日、対応期限の使い分けは下記のとおりです。\n対応予定日: 次回メンテナンス日など対応予定の日付。主に運用者が設定します。\n対応期限: 必須で対応しなければならない期限。主にセキュリティ部門や管理者が設定します。\n今後、ダッシュボードやタスク一覧等の「期限切れ」には対応期限が超過しているタスク数を表示します。\n対応期限は下記2つの設定方法があります。\nタスク詳細画面にて、対応期限を個別に入力（誰でも変更可能）\nスペシャル警戒タグの対応期限を設定する\nCSIRT プラン限定の機能です\n該当タスクに自動設定されます。警戒タグ設定画面からのみ変更可能です。\n詳細・他の項目については\nタスク一覧\nをご確認ください。\n通知機能の改良\n#\nタスクコメント時の通知\n#\nタスクにコメントをした際に、担当者へ通知が送られるようになりました。\nメール通知は、主担当者、副担当者へ送られます\nSlack Appに対応し通知がリッチに\n#\nSlack App に\nFutureVuls\nを新たに用意しました。\nこれまでの DailyReport の Slack 通知に加え下記を Slack 通知できるようになりました。\nDailyReport\nトピック作成通知\n警戒タグ作成通知\nエラー通知\nメンションの設定や、種類ごとに別 Channel へ送付もできます。\n詳しい設定方法は\nSlack APP\nをご覧ください。 (既存の webhook での slack 通知は近日廃止予定です)\nDaily Reportの充実化\n#\nDaily Report に「対応期限切れのタスク数」「警戒タグが付与された脆弱性」「スコアの高い脆弱性上位10件」を追加しました。\nDaily Report についての詳細は\n通知 > DailyReportメール\nをご確認ください。",
      "date_published": "2022-05-17T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-05-17"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.26.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.26.0",
      "title": "[Trivy] v0.26.0",
      "content_text": "## Changelog\n* a0047a79 feat(alpine): warn mixing versions (#2000)\n* d786655a Update ASFF template (#1914)\n* a02cf651 chore(deps): replace `containerd/containerd` version to fix CVE-2022-23648 (#1994)\n* 613e38cc chore(deps): bump alpine from 3.15.3 to 3.15.4 (#1993)\n* 3b6d65be test(go): add integration tests for gomod (#1989)\n* 22f5b938 fix(python): fixed panic when scan .egg archive (#1992)\n* 485637c2 fix(go): set correct go modules type (#1990)\n* 6fdb554a feat(alpine): support apk repositories (#1987)\n* d9bddb90 docs: add CBL-Mariner (#1982)\n* 1cf1873f docs(go): fix version (#1986)\n* d77dbe8a feat(go): support go.mod in Go 1.17+ (#1985)\n* 32bd1e48 ci: fix URLs in the PR template (#1972)\n* 94a5a180 ci: add semantic pull requests check (#1968)\n* 72d94b21 docs(issue): added docs for wrong detection issues (#1961)\n\n",
      "date_published": "2022-04-15T21:41:49Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.26.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.4",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.4",
      "title": "[Trivy] v0.25.4",
      "content_text": "## Changelog\n* b4a7d6a8 docs: move CONTRIBUTING.md to docs (#1971)\n* 0127c1d3 refactor(table): use file name instead package path (#1966)\n* a92da722 fix(sbom): add --db-repository (#1964)\n* b0f3864e feat(table): add PkgPath in table result (#1960)\n* 0b1d32c1 fix(pom): merge multiple pom imports in a good manner (#1959)\n\n",
      "date_published": "2022-04-11T16:29:57Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.25.4"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.3",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.3",
      "title": "[Trivy] v0.25.3",
      "content_text": "## Changelog\n* d4e3df81 fix(downloadDB): add dbRepositoryFlag to repository and rootfs commands (#1956)\n* 7e48cc1f fix(misconf): update BurntSushi/toml for fix runtime error (#1948)\n* c9efa8c4 fix(misconf): Update fanal/defsec to resolve missing metadata issues (#1947)\n* 52b71542 feat(jar): allow setting Maven Central URL using environment variable (#1939)\n* 21f7a41b chore(chart): update Trivy version in HelmChart to 0.25.0 (#1931)\n* ff2b3d17 chore(chart): remove version comments (#1933)\n\n",
      "date_published": "2022-04-06T07:16:49Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.25.3"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.2",
      "title": "[Trivy] v0.25.2",
      "content_text": "## Changelog\n* 9c19298f fix(downloadDB): add flag to server command (#1942)\n\n",
      "date_published": "2022-04-05T10:27:43Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.25.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.1",
      "title": "[Trivy] v0.25.1",
      "content_text": "## Changelog\n* aa3d6966 fix(misconf): update defsec to resolve panics (#1935)\n* 31e76699 chore(deps): bump github.com/docker/docker (#1924)\n* 4ca35b26 docs: restructure the documentation (#1887)\n* 8da45480 chore(deps): bump github.com/urfave/cli/v2 from 2.3.0 to 2.4.0 (#1923)\n* 76e9d7eb chore(deps): bump actions/cache from 2 to 3.0.1 (#1920)\n* 2b217a3b chore(deps): bump actions/checkout from 2 to 3 (#1916)\n* 902aa8ce chore(deps): bump github.com/open-policy-agent/opa from 0.37.2 to 0.39.0 (#1921)\n* 60b19e5e chore(deps): bump sigstore/cosign-installer from 2.0.0 to 2.1.0 (#1919)\n* 58aab679 chore(deps): bump helm/chart-testing-action from 2.2.0 to 2.2.1 (#1918)\n* 209b9cc2 chore(deps): bump golang from 1.17 to 1.18.0 (#1915)\n* bfb931d4 Add trivy horizontal logo (#1932)\n* ae86a5b1 chore(deps): bump alpine from 3.15.0 to 3.15.3 (#1917)\n* 1a23039e chore(deps): bump github.com/go-redis/redis/v8 from 8.11.4 to 8.11.5 (#1925)\n* 56498ca1 chore(deps): bump github.com/stretchr/testify from 1.7.0 to 1.7.1 (#1927)\n* 02105678 feat(db): Add dbRepository flag to get advisory database from OCI registry (#1873)\n\n",
      "date_published": "2022-04-04T21:55:13Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.25.1"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.1",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.1",
      "title": "[Clair] v4.4.1 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.1\"></a>\n## [v4.4.1] - 2022-04-04\n### Chore\n- [363dca4d](https://github.com/quay/clair/commit/363dca4d771d7e36e2925552cce102e458193c4f): v4.4.1 changelog bump\n- [cc5a916e](https://github.com/quay/clair/commit/cc5a916ef11f5de53af0b87b9ad75d940a615beb): bump claircore to v1.3.2\n -  [#1537](https://github.com/quay/clair/issues/1537)### Httptransport\n- [d314e412](https://github.com/quay/clair/commit/d314e41234292084dc125c3c9489f3958ca772ae): handle no notifier in \"combo\" mode\n -  [#1531](https://github.com/quay/clair/issues/1531)\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.1...HEAD\n[v4.4.1]: https://github.com/quay/clair/compare/v4.4.0...v4.4.1\n",
      "date_published": "2022-04-04T19:04:48Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.1"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.25.0",
      "title": "[Trivy] v0.25.0",
      "content_text": "## Changelog\n* 4470a181 docs(filter vulnerabilities): fix link (#1880)\n* cb171ead feat(template) Add misconfigurations to gitlab codequality report (#1756)\n* 36e24b18 fix(rpc): add PkgPath field to client / server mode (#1643)\n* 88311745 fix(vulnerabilities): fixed trivy-db vulns (#1883)\n* 9154b819 feat(cache): remove temporary cache after filesystem scanning (#1868)\n* f36d9b6f feat(sbom): add a dedicated sbom command (#1799)\n* 7a148089 feat(cyclonedx): add vulnerabilities (#1832)\n* df80fd31 fix(option): hide false warning about remote options (#1865)\n* 88ebc075 chore: bump up Go to 1.18 (#1862)\n* d6418cf0 feat(filesystem): scan in client/server mode (#1829)\n* 12d0317a refactor(template): remove unused test (#1861)\n* c3aca152 fix(cli): json format for trivy version (#1854)\n* b2b68951 docs: change URL for tfsec-checks (#1857)\n\n",
      "date_published": "2022-03-31T11:39:16Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "trivy",
      "_version": "v0.25.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.4",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.4",
      "title": "[Trivy] v0.24.4",
      "content_text": "## Changelog\n* 06659f15 fix(docker): Getting images without a tag (#1852)\n* a91cc50d docs(gitlab-ci): Use environment variables TRIVY_CACHE_DIR and TRIVY_NO_PROGRESS (#1801)\n\n",
      "date_published": "2022-03-17T19:49:15Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.24.4"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.0",
      "title": "[Clair] v4.4.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.0\"></a>\n## [v4.4.0] - 2022-03-16\n### Chore\n- [c7075aa4](https://github.com/quay/clair/commit/c7075aa46dfffbbd9b09393d5db42938cda2a615): v4.4.0 changelog bump\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.0...HEAD\n[v4.4.0]: https://github.com/quay/clair/compare/v4.4.0-rc.7...v4.4.0\n",
      "date_published": "2022-03-16T21:46:49Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.3",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.3",
      "title": "[Trivy] v0.24.3",
      "content_text": "## Changelog\n* 4b8bf874 chore(issue labels): added new labels (#1839)\n* 5040caef refactor: clarify db update warning messages (#1808)\n* 28cd5a55 chore(ci): change trivy vulnerability scan for every day  (#1838)\n* b2f554eb feat(helm): make Trivy service name configurable (#1825)\n* 7a44a7a3 chore(deps): updated sprig to version v3.2.2. (#1814)\n* 18842fbe chore(deps): updated testcontainers-go to version v0.12.0 (#1822)\n* 12ca3ca6 docs: add packages.config for .NET (#1823)\n* 728a3db6 build: sign container image (#1668)\n* 4e7b5ca3 chore(deps): bump github.com/CycloneDX/cyclonedx-go from 0.4.0 to 0.5.0 (#1778)\n* 0fca2cda docs: fix Installation documentation (#1804)\n* e50839bb fix(report): ensure json report got a final new line (#1797)\n* f95a0f0d fix(terraform): resolve panics in defsec (#1811)\n* e5bf3d1e feat(docker): Label images based on OCI image spec (#1793)\n* 2193fb3c fix(helm): indentation for ServiceAccount annotations (#1795)\n* bbccb5a6 fix(hcl): fix panic in hcl2json (#1791)\n* a625455f chore(helm): remove psp from helm manifest (#1315)\n* 7e69f482 build: Replace `make protoc` with `for loop` to return an error (#1655)\n* f6c986b6 fix: ASFF template to match ASFF schema (#1685)\n* aab6f0bf feat(helm): Add support for server token (#1734)\n\n",
      "date_published": "2022-03-16T13:29:58Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.24.3"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.7",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.7",
      "title": "[Clair] v4.4.0-rc.7 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.0-rc.7\"></a>\n## [v4.4.0-rc.7] - 2022-03-14\n### Chore\n- [94fdf1f8](https://github.com/quay/clair/commit/94fdf1f83102d1ae11f9363f7a41532e2414f18e): v4.4.0-rc.7 changelog bump\n### Ci\n- [87a2421f](https://github.com/quay/clair/commit/87a2421f458591be50f2303de4cf76add5789925): use runner context object\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.0-rc.7...HEAD\n[v4.4.0-rc.7]: https://github.com/quay/clair/compare/v4.4.0-rc.6...v4.4.0-rc.7\n",
      "date_published": "2022-03-14T19:13:17Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.0-rc.7"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.6",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.6",
      "title": "[Clair] v4.4.0-rc.6 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.0-rc.6\"></a>\n## [v4.4.0-rc.6] - 2022-03-14\n### Build(Deps)\n- [323e83ce](https://github.com/quay/clair/commit/323e83cee577e6df4b41db03f6a90d05480c6443): bump actions/checkout from 2 to 3\n### Chore\n- [0ea0e9d5](https://github.com/quay/clair/commit/0ea0e9d547de3d0ed2d7fe4e400b1fcb8cb16476): v4.4.0-rc.6 changelog bump\n### Ci\n- [d4983fdb](https://github.com/quay/clair/commit/d4983fdb737aa11ce01a952dc4ca6b26af7f4bab): fix extract step\n### Httptransport\n- [5caad7fc](https://github.com/quay/clair/commit/5caad7fc921b64a877e5055171c382a28ba2dbba): remove unused AffectedManifest handler\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.0-rc.6...HEAD\n[v4.4.0-rc.6]: https://github.com/quay/clair/compare/v4.4.0-rc.5...v4.4.0-rc.6\n",
      "date_published": "2022-03-14T18:48:45Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.0-rc.6"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220314/",
      "url": "https://help.vuls.biz/releasenotes/20220314/",
      "title": "[FutureVuls] 2022-03-14",
      "content_text": "2022-03-14 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できません。\n2022年3月14日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nScannerバージョン\nLinux用\nvuls v0.19.2 build-2923cbc\nWindows用\nvuls v0.2.0 build-3d5127e\nWindowsスキャナの更新\n#\nWindows スキャナを v0.2.0に更新しました。更新に含まれる機能は以下の通りです。\nWindowsHistoryAPI から KBID を取得\nKBID をパッケージ情報ではなく、アドバイザリ情報として取得\n適用済み KBID と未適用の KBID を明示的に取得\nWindows スキャナにより FutureVuls にアップロードされる情報の詳細は\nこちら\nをご確認ください。\n後述の、\n改善した脆弱性検知\nを完全に利用するためには、Windows スキャナの更新が必須です。(\nスキャナインストール方法\n)\nWindowsにおける脆弱性の検知精度を改善\n#\nWindows スキャナの更新と、脆弱性検知の方法の変更により、Windows に潜むより多くの脆弱性を検知できるようになりました。\n変更した脆弱性検知の方法については、\nこちら\nを参照してください。\nまた、WSUS 環境において、承認設定や未配信によりこれまで検知できていなかった更新プログラムに紐づく脆弱性の検知が可能になりました。\nスキャナで検知出来ない未適用な更新プログラムがある場合は、\nKBIDを手動登録\nすることで、承認設定を変更することなく、脆弱性検知ができます。\n閉域網にあるWindowsの脆弱性検知をサポート\n#\nスキャナを使わず、画面上で KBID をペーストするだけで Windows の脆弱性検知ができるようになりました。\nインターネットに直接接続できないオフライン環境の Windows や、セキュリティー事故でオフライン状態な Windows の脆弱性を可視化する用途で便利な機能です。\n閉域網での Windows スキャンの方法は\nこちら\nをご確認ください。\nアドバイザリのテーブル表示\n#\n各種 OS ベンダーが用意しているアドバイザリ情報を、一覧で見られる画面を追加しました。\nサーバ一覧からサーバを選択した際に、関連するアドバイザリの一覧を見ることができます。\nアドバイザリ画面でできることは以下の通りです。\n(全体)\nサーバに関連するアドバイザリ情報の一覧表示\nアドバイザリに紐づく脆弱性の表示\n(Windows)\nKBID の手動登録\n手動登録した KBID の削除\n今後アドバイザリ画面には、タスクの一括更新や、アドバイザリを指定したパッケージアップデートなどの機能追加を進める予定です。",
      "date_published": "2022-03-14T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-03-14"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.5",
      "url": "https://github.com/quay/clair/releases/tag/v4.4.0-rc.5",
      "title": "[Clair] v4.4.0-rc.5 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.4.0-rc.5\"></a>\n## [v4.4.0-rc.5] - 2022-03-03\n### Chore\n- [8d2d1593](https://github.com/quay/clair/commit/8d2d159396004f17bfedb755b5f6a32b90ede1c2): v4.4.0-rc.5 changelog bump\n### Ci\n- [58c761e3](https://github.com/quay/clair/commit/58c761e3662524358720ea15789e5121375f7bc6): update nightly version description\n- [bbdd9252](https://github.com/quay/clair/commit/bbdd925292fd426cdaae8172fafe2f333d7b127b): fix tar prefix\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.4.0-rc.5...HEAD\n[v4.4.0-rc.5]: https://github.com/quay/clair/compare/v4.4.0-rc.4...v4.4.0-rc.5\n",
      "date_published": "2022-03-03T18:07:35Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.4.0-rc.5"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.2",
      "title": "[Trivy] v0.24.2",
      "content_text": "## Changelog\n\neebf9c8f fix(pom): keep an order of dependencies (#1784)\n971092b8 chore: bump up Go to 1.17 (#1781)\n2f2d8222 chore(deps): bump actions/setup-python from 2 to 3 (#1776)\na2afd6e6 chore(deps): bump golangci/golangci-lint-action from 2 to 3.1.0 (#1777)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.24.2`\n- `docker pull ghcr.io/aquasecurity/trivy:0.24.2`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.24.2`\n",
      "date_published": "2022-03-03T10:52:56Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.24.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.1",
      "title": "[Trivy] v0.24.1",
      "content_text": "## Changelog\n\na423b993 fix(python): correct handling pip package names with a hyphen (#1771)\na069ad78 doc(docker): fix command to run trivy with docker on linux (#1761)\n015055e1 feat(helm): Add support for custom labels (#1767)\ncbaa3639 chore(helm): bump chart to trivy 0.24.0 (#1762)\nbec02f09 docs: remove erroneous command (#1763)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.24.1`\n- `docker pull ghcr.io/aquasecurity/trivy:0.24.1`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.24.1`\n",
      "date_published": "2022-02-27T16:04:56Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.24.1"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.24.0",
      "title": "[Trivy] v0.24.0",
      "content_text": "## Changelog\n\nd7f8b92a chore(deps): bump github.com/spf13/afero from 1.6.0 to 1.8.1 (#1708)\n59ea0d57 fix(option): warn list-all-pkgs only with the table format (#1755)\nc788676f feat(option): warn \"--list-all-pkgs\" with \"--format table\" (#1632)\n58ade462 feat(report): add support for CycloneDX (#1081)\n77cab6e0 chore(deps): update the defsec and tfsec versions (#1747)\n2ede15d3 fix(scanner): fix skip of language-specific files when scanning rootf… (#1751)\nd266c749 chore(deps): bump github.com/google/wire from 0.4.0 to 0.5.0 (#1712)\n4423396b feat(report): considering App.Writer when printing results (#1722)\n356ae30c chore(deps): replace `satori` version and skipping examples folder  (#1745)\n477dc7d5 build: add s390x container images (#1726)\n89b8d7ff feat(template) Add misconfigurations to junit report (#1724)\n219b71b4 chore(deps): bump github.com/twitchtv/twirp (#1709)\naa6e1eb6 feat(client): configure TLS InsecureSkipVerify for server connection (#1287)\nde6c3cbb fix(rpc): Supports RPC calls for new identifier CustomResource (#1605)\nb7d4d1ea chore(deps): bump go.uber.org/zap from 1.20.0 to 1.21.0 (#1705)\ne6c029d0 chore(deps): bump github.com/caarlos0/env/v6 from 6.0.0 to 6.9.1 (#1707)\nec6cb1a6 feat(helm): Parameterise ServiceAccount annotations (#1677)\n7dfc16cf chore(deps): bump github.com/hashicorp/go-getter from 1.5.2 to 1.5.11 (#1710)\n42d8fd66 chore(deps): bump github.com/cheggaaa/pb/v3 from 3.0.3 to 3.0.8 (#1704)\nc3ef2035 chore(deps): bump github.com/open-policy-agent/opa from 0.36.1 to 0.37.2 (#1711)\n274103e8 chore(dependabot): enable gomod monthly (#1699)\ne618d83d fix(gitlab tpl): escape double quote (#1635)\n3b0b2ed4 build: Make `make protoc` be consistent (#1682)\n5c8d0983 feat(purl): add generate purl package utilities (#1574)\n11f4f811 refactor: move result structs under types (#1696)\n6db2092c feat(mariner): add support for CBL-Mariner 2.0 (#1694)\n8898bb09 docs(gitlab-ci): fix Script in GitLab CI Example #1688\n33d08337 chore: Upgrade helm chart version (#1683)\n13874d86 chore(mod): update Go dependencies (#1681)\nf26a06b9 docs: fix typos in markdown docs (#1674)\ne2821a4f docs: update documentation for image scanning of tar files to use a tag present on Docker Hub (#1671)\nef8a1afc fix(repo): --no-progress suppresses git output (#1669)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.24.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.24.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.24.0`\n",
      "date_published": "2022-02-23T12:43:55Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.24.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220208/",
      "url": "https://help.vuls.biz/releasenotes/20220208/",
      "title": "[FutureVuls] 2022-02-08",
      "content_text": "2022-02-08 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できません。\n2022年2月8日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nScannerバージョン\nLinux用\nvuls v0.19.2 build-2923cbc\nWindows用\nvuls v0.1.11 build-0e4fca5\npom.xmlのサポート\n#\nこれまで Java のライブラリスキャンは、jar, war, ear, par のスキャンをサポートしていましたが、新たに pom.xml をサポートしました。\n下記のスキャン方法で pom.xml に記載のライブラリをスキャンできます。\nLockFileのペーストスキャン\nvuls-scannerでlockfileを指定したスキャン\ntrivyでローカルファイルシステム上のパスを指定したスキャン\nTrivyの最新版に対応\n#\nTrivy v0.23.0に対応しました。\nデータグリッドコンポーネントの変更\n#\n脆弱性やタスクなどのテーブル表示を MUI DataGrid コンポーネントへ変更しました。\n置き換えによる主な追加・変更機能は以下の通りです。\n列一覧\n#\nこれまで表示する列の選択はドラッグ&ドロップで1つずつ入れ替える操作画面でした。今回のアップデートからチェックボックス式で必要な項目を選択する操作画面になりました。\n項目の一括で表示・非表示を切り替える機能がありますので、一度全部の列を非表示してから確認したい項目のみを表示して情報を絞ったテーブルにできます 。\nまた、非表示にした列のテーブルヘッダから列の非表示を行えます。\nフィルタ\n#\nリスト上部のフィルタボタン、もしくはフィルタしたい項目のテーブルヘッダにある\nフィルタ\nからテーブルをフィルタする構成に変更されました。\n加えて、テーブルをフィルタする際、これまでの AND 条件に加えて OR 条件でのフィルタが行えるようになりました。\n例えば、脆弱性のサマリ列に対して “HTTP” と “Apache” の OR 条件でフィルタをかけることで、サマリにどちらか文字列が含まれる脆弱性の一覧を確認できます。\n行間隔の調整\n#\nテーブル行の高さを3段階で変更できるようになりました。ゆったりしたテーブルの高さで確認したいときには「ひろめ」、より情報を密集させたいときは「コンパクト」を設定してください。\n列のピン止め\n#\nテーブルヘッダから\nPin to left\n/\nPin to right\nを選択することで一時的に列のピン止めを行えます。\n項目のソート順変更\n#\n深刻度・優先度・ステータスのソート順をアルファベット順からそれぞれ適したソート順に変更しました。\n表示の軽量化\n#\n若干ですがリスト表示が軽量化しました。\nステータスごとのタスク数表示\n#\nグループ内の脆弱性・サーバ・ロールでのリストに、これまでの「未対応タスク数」「全タスク数」に加え「対応中タスク数」「対応中タスク数」を追加しました。\n各脆弱性の対応状況確認にご活用ください。\nトピックを第3ペインで表示\n#\n第3ペインで脆弱性詳細が表示される際、トピックの確認も第3ペイン内で行えるようになりました。\nダッシュボードグラフの対応済タスクを表示選択可能に\n#\nダッシュボード機能は CSIRT プランのみ対象です\nダッシュボードのタスク数遷移グラフに関して、対応済みタスクをグラフに含めない表示ができるようになりました。\nダッシュボード内の「対応済タスクをグラフから非表示」ボタンから切り替えが可能です。\nタスク情報を他のサーバからコピーできるように\n#\n「新たにサーバを管理対象へ追加した際にゼロから再度トリアージするのは大変。過去にトリアージ済みの同じような構成のサーバのタスクステータスを丸ごとコピーしたい」\nという要望をうけ、サーバに紐づくタスク情報を、グループ内の他のサーバからコピーして更新できるようになりました。\n既に FutureVuls に登録済みのサーバと同じような構成のサーバを新しく追加した際に、ステータスなどの情報を一括して同期させることができます。\nタスクをコピーする際は、次の手順に従って操作してください。\nサーバタブからコピー先のサーバを選択し、詳細画面を開く。\n画面下部に表示されている\n別サーバのタスク情報をコピー\nボタンからダイアログを開く。\nコピー元となるサーバを選択して実行する。\nコピーされるタスクは、コピー先でステータスが\nNEW\nかつ、コピー元サーバと共通して検知されているタスクです。\nまた、コピーされるタスク情報は以下の通りです。\nステータス\n優先度\n主担当者/副担当者\n実行予定日\n非表示設定\nCloudOneの新規API認証に対応\n#\nCloudOne アカウントシステムの変更に対応しました。\n2021年8月4日以降に Trend Micro Cloud One を登録した場合は、\n新しいCloud Oneアカウントシステム\nが適用されます。\n新しいアカウントシステムで CloudOne 連携を設定する際は、ご利用のリージョンも選択してください。\n詳しい設定方法は\nマニュアル\nを参照ください。\nCloudOne連携済みサーバに今どのポリシーが適用されているのかをFutureVulsで確認できるように\n#\nサーバ詳細ページから確認いただけます。\n設定画面の構成変更\n#\nトークン設定画面の変更\n#\nトークンの有効化・無効化や権限の変更、トークンの再生成が行いやすい構成へ変更しました。\nスペシャル警戒タグ設定画面の変更\n#\nスペシャル警戒タグ機能は CSIRT プランのみ対象です\n編集やメールでの再通知をより行い構成へ変更しました。\nFutureVuls APIのアクセスを監査ログに登録\n#\nFutureVuls API 経由のオーガニゼーションへのアクセスが監査ログで表示できるようになりました。",
      "date_published": "2022-02-08T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-02-08"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.23.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.23.0",
      "title": "[Trivy] v0.23.0",
      "content_text": "## Changelog\n\n449add24 docs: add ACR navigator (#1651)\ncb9afc84 fix: update example Rego files and docs (#1628)\n78b2b899 feat(option): show a link to GitHub Discussions for --light deprecation (#1650)\n52fd3c2e fix(sarif): fix the warning message (#1647)\n8d5882be refactor: migrate to prefixed buckets (#1644)\n84dd33f7 feat(mariner): add support for CBL-Mariner (#1640)\n9e903a1d docs: commercial use available (#1641)\nf4c746a2 feat: support azure acr (#1611)\n420f8ab1 feat(os-pkg): add data sources (#1636)\nd2827cba feat(redhat): support build info in RHEL (#807)\nce703ce4 fix: change links in pull_request_template to static URLs (#1634)\n50bb938a feat(lang-pkg): add data sources (#1625)\na31ddbe9 feat(detector): support custom detector (#1615)\n3a4e18ac docs(contribution): change role who should resolve comments (#1618)\n8ba68361 docs: add PR template (#1602)\nf5c55739 feat(rocky): support Rocky Linux (#1570)\neab2b425 Add the ability to set dockerhub credentials in the helm chart (#1569)\ncabd18da feat(cache): redis TLS support (#1297)\n02c3c365 feat(java): add support for PAR files (#1599)\n4f7b7683 refactor(rust): move rust-advisory-db to OSV (#1591)\nd754cb8c feat: log ignored vulnerabilities on debug (#1378)\na936e675 chore(mod): hcl2json deps update (#1585)\naf116d3c fix(rpm): do not ignore installed files via third-party rpm (#1594)\nb5073600 feat(fs): allow scanning a single file (#1578)\n7fcbf44b refactor(python): drop Safety DB (#1580)\n478d2799 feat: added insecure tls skip to scan git repo (#1528)\n33bd41b4 Supress git clone output (#1590)\n39a10089 fix(alma): skip modular package because MODULARITYLABEL is not set (#1588)\n37abd612 feat(photon os): added EOL dates check (#1587)\n78de33e8 docs: update supported os (#1586)\n22054626 BREAKING: remove root command (#1579)\n28ddcf1a docs: add Rust to Language-specific Packages Table (#1577)\ndf134c73 docs: update int doc for gitlab ci (#1575)\n8da20c8c BREAKING: migrate the sarif template to Go code (#1437)\n714b5ca2 refactor: remove unused field (#1567)\n51e152b0 chore(deps): bump helm/chart-testing-action from 2.1.0 to 2.2.0 (#1554)\n884daff4 docs: gitlab integration (#1381)\n2a8336b9 feat(alma): support AlmaLinux (#1238)\n1e171af1 docs: added note about default template path when Trivy installed using rpm (#1551)\ne65274e0 BREAKING: Trivy DB from GHCR (#1539)\ndb35450b feat(cli): Do not set default commands when a plugin is being run (#1549)\n24254d19 fix: add fingerprint field to codequality template (#1541)\n2ee07456 fix(image): correct handling of uncompressed layers (#1544)\n0aef82c5 chore: helm chart app version 0.22.0 (#1535)\n8b2a7997 test(integration): use fixtures (#1532)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.23.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.23.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.23.0`\n",
      "date_published": "2022-01-31T14:47:54Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "trivy",
      "_version": "v0.23.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20220131/",
      "url": "https://help.vuls.biz/releasenotes/20220131/",
      "title": "[FutureVuls] 2022-01-31",
      "content_text": "2022-01-31 リリース内容\n#\nCanonical社のURL変更に対応\n#\nCanonical 社が公開している Ubuntu Linux 用の脆弱性データベースの URL 変更に対応しました。",
      "date_published": "2022-01-31T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2022-01-31"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.6",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.6",
      "title": "[Clair] v4.3.6 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.6\"></a>\n## [v4.3.6] - 2022-01-14\n### Chore\n- [84801fa](https://github.com/quay/clair/commit/84801fa23add925ba6b406a9e1bc5d2aaba217fb): v4.3.6 changelog bump\n### Go.Mod\n- [8562653](https://github.com/quay/clair/commit/8562653ac42933bbf0e73d82abde09c2a337ea22): update claircore\n### Webhook\n- [ca28de4](https://github.com/quay/clair/commit/ca28de4149e5041958b220daa2c8601abb424dda): clone headers out of Config struct\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.6...HEAD\n[v4.3.6]: https://github.com/quay/clair/compare/v4.3.5...v4.3.6\n",
      "date_published": "2022-01-14T22:47:51Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.6"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.22.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.22.0",
      "title": "[Trivy] v0.22.0",
      "content_text": "## Changelog\n\n42f795fa fix(java/pom): ignore unsupported requirements (#1514)\n8f737cc6 feat(cli): warning for root command (#1516)\n76249bdc BREAKING: disable JAR detection in fs/repo scanning (#1512)\n59957d4c feat(scan): support --offline-scan option (#1511)\nda8b72d2 fix: improve memory usage (#1509)\nb713ad0f feat(java): support pom.xml (#1501)\n56115e9d docs: fixing rust link to security advisory (#1504)\n7f859afa Add missing IacMetdata (#1505)\n628a7964 feat(jar): add file path (#1498)\n82fba771 feat(rpm): support NDB (#1497)\nd5269da5 feat: added misconfiguration field for html.tpl (#1444)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.22.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.22.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.22.0`\n",
      "date_published": "2021-12-24T22:44:13Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.22.0"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.3",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.3",
      "title": "[Trivy] v0.21.3",
      "content_text": "## Changelog\n\n8e57dee8 fix(docs): typo (#1488)\n8bfbc84a feat(plugin): Add option to update plugin (#1462)\n1e811de2 fix: fixed skipFiles/skipDirs flags for relative path (#1482)\n8b5796f7 feat (plugin): add list and info command for plugin (#1452)\na2199bb4 fix: set up a vulnerability severity (#1458)\n279e76f7 chore: add arm64 deb package (#1480)\n52625908 Link to trivy tutorial on Semaphore (#1449)\nc275a841 refactor(helm): externalize env vars to configMap (#1345)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.21.3`\n- `docker pull ghcr.io/aquasecurity/trivy:0.21.3`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.21.3`\n",
      "date_published": "2021-12-20T09:12:59Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.21.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20211209/",
      "url": "https://help.vuls.biz/releasenotes/20211209/",
      "title": "[FutureVuls] 2021-12-09",
      "content_text": "2021-12-09 リリース内容\n#\n米国CISAが新たに定義した超危険CVE-IDリストを情報源に追加\n#\n2021年11月3日に米国政府のサイバーセキュリティ・インフラセキュリティ庁(CISA)が公開した「\nBinding Operational Directive 22-01\n」（米国政府系システム向けの運用指令）にて、「攻撃コードが公開されており野生のインターネットで攻撃に悪用された事例が数多くある極めて重大なリスクのある脆弱性リスト」である、「\nKnown Exploited Vulnerabilities (KEV) catalog\n」(以下、\nCISA-KEV\nと記載)を指定しました。米国政府系のシステムでは、この CISA-KEV に該当する CVE は\n指定期間内に必須で対応しなければいけない\n、という強制力のある内容です。\n今回のリリースでは\nCISA-KEV\nの情報を取り込み、FutureVuls の下記機能で扱えるようになりました。\nダッシュボードでグループごとのCISA-KEV該当数をひと目で確認できるように\n脆弱性一覧でCISA-KEVをフィルタ可能に\n脆弱性詳細でCISA-KEVかをひと目でわかるように\n重要フィルタ/自動DangerでCISA-KEVを判断条件に指定可能に\n以下、それぞれの詳細を説明します。\nダッシュボードでグループごとのCISA-KEV該当数をひと目で確認できるように\n#\nダッシュボード機能は CSIRT プランのみ対象です\n「グループセット > ダッシュボード」で、「\nCISA-KEV\nに該当する未対応な脆弱性」を含むグループには、該当する脆弱性の件数と警告が表示されるようになりました。\nグループ名をクリックして展開すると、より詳細な説明と関連するタスク数が確認できます。\n脆弱性一覧でCISA-KEVをフィルタ可能に\n#\n脆弱性一覧の警戒情報カラムの値を三段階に変更しました。\nこれまでは JPCERT/CC-Alerts、US-CERT-Alerts からの警戒情報に該当するかを確認できましたが、今回の変更により\nCISA-KEV\nでフィルタをかけることができるようになります。\n警戒情報あり（致命的）\nは\nCISA-KEV\nに含まれる脆弱性のみが該当します。\n警戒情報あり（注意）\nは、JPCERT/CC-Alerts、US-CERT-Alerts の警戒情報弱性が該当します。\n脆弱性詳細でCISA-KEV指定の危険CVEかをひと目でわかるように\n#\nCISA-KEV\nに該当する脆弱性の詳細ページを開くと、注意喚起が表示されるようになりました。\n重要フィルタ/自動DangerでCISA-KEVを判断条件に指定可能に\n#\n重要フィルタ/自動 Danger で警戒情報の深刻度を選択できるようになりました。\n致命的\nを選択した場合、\nCISA-KEV\nの警戒情報がある脆弱性のみを対象とします。\n注意\nを選択した場合、\nCISA-KEV\n,\nJPCERT/CC-Alerts\n,\nUS-CERT-Alerts\nからの警戒情報がある脆弱性のみを対象とします。\n脆弱性詳細のサマリを短縮表示しました\n#\n脆弱性情報のデータソース増加に伴い、詳細画面を占めるサマリの割合が増え、CVSS を見るためにスクロールする必要がでてきました。\n今回の変更で、各データソースの CVSSv3スコアと代表的なサマリのみを表示するように変更しました。各データソースのサマリや CVSSv2スコアを確認したい場合は、サマリ下部の\n∨\nをクリックして展開してご確認ください。\nFutureVuls APIで更新できるタスクのステータスを追加\n#\nFutureVuls API で更新できるタスクのステータスを追加しました。\n追加されたステータス\nrisk_accepted\nnot_affected\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-12-09T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-12-09"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.2",
      "title": "[Trivy] v0.21.2",
      "content_text": "## Changelog\n\n7beed301 docs: provide more information on scanning Google's GCR (#1426)\nf50e1f42 docs(misconfiguration): added instruction for misconfiguration detection (#1428)\n3ae4de58 Update git-repository.md (#1430)\n6e35b8f5 fix(hooks): exclude unrelated lib types from system files filtering (#1431)\nbeb60b05 chore: run `go fmt` (#1429)\n582e7fd1 fix(sarif): change `help` field in the sarif template. (#1423)\n11bc2901 Update fanal with cfsec version update (#1425)\n392f6892 Replace deprecated option in goreleaser (#1406)\n101d5760 feat(alpine): support 3.15 (#1422)\nbd3ba68c chore: test the helm chart in the PR and used the commit hash (#1414)\n3860d6e4 chore(deps): bump alpine from 3.14 to 3.15.0 (#1417)\n4f82673a chore(release): add ubuntu older versions to deploy script (#1416)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.21.2`\n- `docker pull ghcr.io/aquasecurity/trivy:0.21.2`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.21.2`\n",
      "date_published": "2021-12-07T02:17:23Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.21.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.1",
      "title": "[Trivy] v0.21.1",
      "content_text": "## Changelog\n\nb9a51de8 chore(mod): tidy (#1415)\n7f248341 fix(rpc): fix nil layer transmit (#1410)\naf3eaefd Lang advisory order (#1409)\n07c9200e chore: add support for s390x arch (#1304)\n8bc8a4ad fix(chart): ingress helm manifest-update trivy image (#1323)\n9076a49b docs: Add comparison for cfsec (#1388)\nbb316d93 remove: delete unused functions in utils package (#1379)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.21.1`\n- `docker pull ghcr.io/aquasecurity/trivy:0.21.1`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.21.1`\n",
      "date_published": "2021-11-26T05:02:22Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.21.1"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.5",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.5",
      "title": "[Clair] v4.3.5 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.5\"></a>\n## [v4.3.5] - 2021-11-19\n### Chore\n- [844bfd2](https://github.com/quay/clair/commit/844bfd2436fb5acb1d08975acad152d78367364a): v4.3.5 changelog bump\n- [bef331e](https://github.com/quay/clair/commit/bef331e67e1b00a1e6f2139c0c817907de93d7d4): Revert \"chore: v3.4.5 changelog bump\"\n- [c01d88c](https://github.com/quay/clair/commit/c01d88c6ac2513cb728703f5721ce61ff839f5a3): v3.4.5 changelog bump\n- [8849c61](https://github.com/quay/clair/commit/8849c61360520230b6c987bdc243db03b7340c9f): update claircore version\n -  [#1437](https://github.com/quay/clair/issues/1437)\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.5...HEAD\n[v4.3.5]: https://github.com/quay/clair/compare/v4.3.4...v4.3.5\n",
      "date_published": "2021-11-19T22:07:11Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.5"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.21.0",
      "title": "[Trivy] v0.21.0",
      "content_text": "## Changelog\n\nefdb29d fix(sarif): fix validation errors (#1376)\n9bcf9e7 docs: add Bitbucket Pipelines (#1374)\n3147097 docs: add community integrations (#1361)\n33f74b3 Use a stable SARIF identifier (#1230)\n5915ffb fix(python): fix parsing of requirements.txt with hash checking mode available in pip since version 8.0\nae4c42b feat(iac): Add line information (#1366)\n19747d0 feat(cloudformation): Adding support for cfsec IaC scanning (#1360)\nda45061 chore: send debug and info logs to stdout in install.sh, not stderr. (#1264)\ncb1a4ed Update containerd to v1.5.7 and docker-cli to v20.10.9 (#1356)\n69dae54 chore: update SBOM generation (#1349)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.21.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.21.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.21.0`\n",
      "date_published": "2021-11-15T15:18:58Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.21.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.4",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.4",
      "title": "[Clair] v4.3.4 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.4\"></a>\n## [v4.3.4] - 2021-11-05\n### Chore\n- [dddb910](https://github.com/quay/clair/commit/dddb910b6f51e7b69042ba3db98c2a0d6cc1caa2): v4.3.4 changelog bump\n- [41d2593](https://github.com/quay/clair/commit/41d25933ad25b8ae5deb4b6da84336c2a4d400fe): update changelog to cope with submodule tags\n -  [#1421](https://github.com/quay/clair/issues/1421)\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.4...HEAD\n[v4.3.4]: https://github.com/quay/clair/compare/v4.3.3...v4.3.4\n",
      "date_published": "2021-11-05T18:01:39Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.4"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.2",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.2",
      "title": "[Clair] v4.3.2 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.2\"></a>\n## [v4.3.2] - 2021-10-29\n### Chore\n- [bfd9718](https://github.com/quay/clair/commit/bfd971861e88bb21e4480ac98b8b0b7e1abf1501): v4.3.2 changelog bump\n### Go.Mod\n- [f8dff8b](https://github.com/quay/clair/commit/f8dff8b8691ad58508457b2022425a7c533fca3c): update go-containerregistry\n -  [#1407](https://github.com/quay/clair/issues/1407)\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.2...HEAD\n[v4.3.2]: https://github.com/quay/clair/compare/v4.3.1...v4.3.2\n",
      "date_published": "2021-10-29T15:33:21Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20211029/",
      "url": "https://help.vuls.biz/releasenotes/20211029/",
      "title": "[FutureVuls] 2021-10-29",
      "content_text": "2021-10-29 リリース内容\n#\nCSIRTプランにダッシュボード機能を追加\n#\n本機能は CSIRT プランのみ対象です\n脆弱性管理の運用をしっかり回せているグループと、改善が必要なグループを一目みただけで判断可能なダッシュボード機能を追加しました。\n「グループセット > ダッシュボード」を開くとグループ毎の情報が表示されます。\nグループ名を選択するとグラフが展開されます。\n下のグラフのように灰色の「対応済みタスク」が日毎に増えている状態は、検知した脆弱性への対応が出来ており、運用が回っているグループです。\nいっぽうで下のグラフのように赤・黄色範囲が増加しているのは、放置されている脆弱性が日毎に増えている状態なので脆弱性管理の運用が回っていないと判断出来ます。運用方法や体制の改善が必要なグループです。\nこのように、一目みただけで脆弱性管理の運用がしっかり回っているグループと改善が必要なグループを判断できます。\nなお、ダッシュボード上の数字をクリックすると、対応するグループのページにフィルタ条件が指定された状態で遷移します。\n2021年10月時点のダッシュボードには以下の項目が表示されます。\n項目\n説明\n更新頻度\n重要な未対応\nグループに残っている「重要な未対応」に割り振られた脆弱性の数を表示します。\n1時間毎\n未対応タスク\n未対応タスクの数を検知されてからの経過日数別で表示します。検知後、長期間放置されているタスク数を確認できます。\n1時間毎\n期限切れのタスク\n期限切れの未対応タスク数を表示します。\n１時間毎\nタスク数の推移\nグループの脆弱性の数をステータスごとの日次推移で表示します。\n１時間毎\nダッシュボードはユーザの意見を参考に改良していきます。\n「こんなデータがみたい」などのご要望はぜひ\nリクエスト\nしてください。",
      "date_published": "2021-10-29T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-10-29"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.2",
      "title": "[Trivy] v0.20.2",
      "content_text": "## Changelog\n\n5dc8cfe docs: update builtin.md (#1335)\n798b564 chore: fix issues with Homebrew formula (#1329)\n21bf5e5 chore: bump GoReleaser to v0.183.0 (#1328)\ne0f4ebd docs: update iac.md for a typo (#1326)\n23a9a5e docs: typo fix (#1308)\n1f5d17f Add new networking API features to Ingress (#1262)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.20.2`\n- `docker pull ghcr.io/aquasecurity/trivy:0.20.2`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.20.2`\n",
      "date_published": "2021-10-25T18:46:54Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.20.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.1",
      "title": "[Trivy] v0.20.1",
      "content_text": "## Changelog\n\nbcfa028 chore(release): bump up GoReleaser to v0.182.1 (#1299)\n681ab1b fix(yarn): support quoted version (#1298)\n46051d5 feat(custom-forward): Forward the extended advisory data (#1247)\nd8d692b feat(javascript) : Initialize npm driver for javascript packages (#1289)\ncc344df fix(cli): fix incorrect comparision of DB metadata type. (#1286)\n0dec17f docs: add footer to readme (#1281)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.20.1`\n- `docker pull ghcr.io/aquasecurity/trivy:0.20.1`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.20.1`\n",
      "date_published": "2021-10-16T04:13:58Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.20.1"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20211015/",
      "url": "https://help.vuls.biz/releasenotes/20211015/",
      "title": "[FutureVuls] 2021-10-15",
      "content_text": "2021-10-15 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ調査・修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できません。\n2021年10月15日リリースのスキャナバージョン (\nスキャナバージョンの確認方法\n)\nOS\nScannerバージョン\nLinux用\nv0.18.1 build-8659668\nWindows用\nvuls v0.1.11 build-0e4fca5\nTrivy連携を強化\n#\nTrivy\nv0.20.0\nに対応しました。\nFutureVuls の Trivy 連携は最新版のみをサポートします。\nTrivy連携\nを参照して必要なモジュールをアップデートしてください。\nTrivy\ntrivy-to-vuls\nfuture-vuls\nJavaやGo言語をサポート\n#\n新たに Java の JAR/WAR/EAR や Go 言語のライブラリがサポート対象として追加されました。\nサポート対象の言語やパッケージエコシステムの詳細は、\nTrivy v0.20.0 Language-specific Packages\nの Filesysetm 列を参照してください。\n全パッケージリストを取り込み可能に\n#\nこれまでの Trivy 連携では、脆弱性が存在するパッケージのみ「サーバ > ソフトウェア」に表示されていまた。今回のリリース以降は、trivy のコマンドライン引数の\n--list-all-pkgs\nを指定すると全ソフトウェアリストが「サーバ > ソフトウェア」に表示されます。\n詳細は\nTrivy連携\nを参照してください。\nローカルファイルシステムのディレクトリを指定したLockfileのスキャンが可能に\n#\ntrivy fs\nコマンドに対応しました。\ntrivy fs\nはローカルファイルシステムにあるライブラリの Lockfile や jar をスキャンできます。\n詳細は、\ntrivyでローカルファイルシステム上のパスを指定したスキャン\nを参照してください。\nCPEスキャン機能を強化\n#\nNW 機器のファームウェアや、商用ミドルウェア、ソースコンパイルしたソフトウェア用のスキャン方法である、\nCPEスキャン\n機能を強化しました。\nJVNを検知対象のソースに含めるかを選択できるように\n#\nCPE 登録・変更時に、JVN を検知対象のソースに含めるかを選択できるようになりました。このチェックを選択した場合は「NVD には脆弱性情報が掲載されていないが、JVN をには登録されている和製ソフトウェア」の脆弱性を検知できるようになります。詳細は\nマニュアル\nを参照してください。\n検知ロジックの改善\n#\nこれまでは、OpenSSL のような、登録した CPE のバージョンや NVD 内に記載されたバージョンが\nセマンティックバージョニング形式\nでは無い場合に検知漏れする場合がありました。今回のリリースにより、セマンティックバージョニング以外の形式でも検知できるようになりました。検知ロジックの詳細は\nCPEスキャンのフローチャート\nも参照してください。\nCSIRTプランの機能を強化\n#\n本機能は CSIRT プランのみ対象です\nグループセットでタスクコメントの追加と削除が可能に\n初回検知日時を追加\nグループセットでタスクコメントの追加と削除が可能に\n#\nグループセットの画面からも各タスクへのコメントを残せるようになりました。\nセキュリティ部門が各グループの担当者に対してコメントする場合や、個別に注意喚起する際にご利用ください。\n初回検知日時を追加\n#\nグループセットの脆弱性一覧・ソフトウェア一覧に初回検知日時のカラムを追加しました。\nこの列でフィルタやソートすることで最近検知された、新しい脆弱性をグループ横断で確認できます。\n別のグループへサーバを移動できるように\n#\n「組織変更の際に別のグループにサーバを移動したい。タスクのステータスやコメントも一緒にコピーしたい」という要望にお応えし、登録したサーバのグループ間のコピーをサポートしました。\nオーガニゼーション設定 > 設定 > サーバ情報を他グループへコピー\nから対象サーバとコピー先のグループを選択して複製します。その後、旧サーバを画面上から手動で削除するという流れで移動が完了します。\n詳細は\nマニュアル\nを参照してください。\nタスク機能を強化\n#\nタスクの一覧・詳細で重要フィルタに該当するかを確認できるように\n#\nタスク一覧に重要フィルタのカラムを追加し、重要な脆弱性に関するタスクかを確認できるようになりました。また、タスク詳細でも重要フィルタに合致するか確認できるようになりました。\n再検知時にタスクの初回検知日時を更新するように\n#\n「Patch_applied」ステータスのタスクが再検知され「new」になった際、初回検知日時を更新するようにしました。\nシステムによるタスクコメント記録を強化\n#\n新規検知時\n各データソースの脆弱性情報の変更差分情報\n新規公開された攻撃コードの検知情報\nタスクステータスの自動変更情報\nタスクに関連するパッケージのバージョンアップ情報\n攻撃コードの情報ソースを強化\n#\nFutureVuls\nでは検知した脆弱性の攻撃コード, Exploit, PoC がインターネット上に公開されているかを画面上から確認できます。今回、新たな情報ソースとして、\ngithub.com/nomi-sec\nに掲載されている中から「Star 数が３以上のもの」を「信頼度：低」の PoC 情報として追加しました。 また、信頼度が低い PoC 情報をデータソースから削除しました。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-10-15T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-10-15"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.20.0",
      "title": "[Trivy] v0.20.0",
      "content_text": "## Changelog\n\nf12446d feat(report): add package path (#1274)\n1c9ccb5 feat(command): add rootfs command (#1271)\na463e79 fix: update fanal (#1272)\ne0ca5ef feat(commands): remove deprecated options (#1270)\n1ebb329 Aggregate jar result for table (#1269)\nb37f682 BREAKING(report): migrate to new json schema (#1265)\nda90510 feat: improve --skip-dirs and --skip-files (#1249)\nbd57b4f fix(gobinary): skip large files (#1259)\n9027dc3 Disable library analyzer for OS only scan type (#1191)\n5750cc2 chore: update trivy version (#1252)\nbbcce9f refactor: move from io/ioutil to io and os package (#1245)\n6bcb4af fix: brew test command (#1253)\n8d13234 fix:added layer info in packages (#1248)\n982f35b fix(go/binary): improve debug messages (#1244)\n2e170cd Update db.go (#1199)\ncc6c67d fix(deps): fix CVE-2021-32760 for github.com/containerd/containerd (#1243)\n669fd1f feat(debian): support the versions that reached EOL (#1237)\n8cd7de2 feat(alpine): support unfixed vulnerabilities (#1235)\n3bf3a46 feat(report): add image config (#1231)\n8edcc62 feat(nodejs): support package.json (#1225)\n31c45ff refactor: use testing DB instead of mock (#1234)\nd8cc8b5 feat(ruby): support gemspec (#1224)\ndbc7a83 feat(python): add packaging detector and respective hook (#1223)\n19c0b70 feat(license): Added support to new License field of go-dep-parser's library (#1167)\n9d61777 fix(oracle): handle advisories contain ksplice versions (#1209)\n5d57dea fix(docs): remove OSVDB advisories (#1215)\nb595559 docs: fix typos in CONTRIBUTING.md (#1181)\nb1410b2 Update EOL of Debian 11 (#1180)\n0e777d3 fix(plugin): resolve a closure (#1207)\nb6d9c30 docs: fix typo (#1206)\n5160a2e fix(detector): change an argument for trivy-db getter (#1203)\n40ed227 chore(mod): update fanal (#1179)\n2a4400c Add license info to package data (#1176)\n82eb630 feat(nuget): support packages.config (#1095)\n4a8db20 feat(python): add support for requirements.txt (#1169)\n8db9b6a GitLab CI integration documentation (#1168)\nc159501 chore(gorelease) change goreleaser config to include template examples (#1138)\n76e63d1 chore(deps): bump dmnemec/copy_file_to_another_repo_action (#1153)\n79b6684 chore(deps): bump actions/stale from 3 to 4 (#1152)\n214fe82 feat(report): add end of service life flag to OS metadata (#1142)\nc489e31 chore: set up Dependabot for github-actions and docker (#1128)\nefd812c docs: fix typo (#1149)\n3a920dc docs: add some external links (#1147)\n7cb1598 chore (release): add ubuntu esm versions to deploy script (#1151)\n6a88002 docs(troubleshooting) add urls which are required to download vuls db (#1137)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.20.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.20.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.20.0`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-10-06T10:06:57Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.20.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.0",
      "title": "[Clair] v4.3.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.0\"></a>\n## [v4.3.0] - 2021-10-01\n### Chore\n- [ce63ff2](https://github.com/quay/clair/commit/ce63ff2615cef36804346acc016c625d2fcfd630): v4.3.0 changelog bump\n### Contrib\n- [2cee4e1](https://github.com/quay/clair/commit/2cee4e1c6b06179f8166b3090526d6d5d592433c): update secrets path\n### Dockerfile\n- [5493bbc](https://github.com/quay/clair/commit/5493bbc0d5cdd67c52c4d1786ddc3226086403d6): remove dumb-init, tar\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.0...HEAD\n[v4.3.0]: https://github.com/quay/clair/compare/v4.3.0-rc.0...v4.3.0\n",
      "date_published": "2021-10-01T15:51:49Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.3.0-rc.0",
      "url": "https://github.com/quay/clair/releases/tag/v4.3.0-rc.0",
      "title": "[Clair] v4.3.0-rc.0 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.3.0-rc.0\"></a>\n## [v4.3.0-rc.0] - 2021-09-28\n### Chore\n- [b5ea27b](https://github.com/quay/clair/commit/b5ea27bc324308e359adf3084b92301441457001): v4.3.0-rc.0 changelog bump\n- [d65432d](https://github.com/quay/clair/commit/d65432d3cc7dbe57de1b7be7cfd4745005e44159): update claircore version\n- [5ab6c76](https://github.com/quay/clair/commit/5ab6c76121a03543f8edf748fa511a7d486df54c): automation around v2 issues\n- [b53aeb7](https://github.com/quay/clair/commit/b53aeb714aa3536dd7aa295ea6306a20e69e03cf): update claircore version\n- [f06b041](https://github.com/quay/clair/commit/f06b0419f3aa38d54a56fda3a07729fab80ca6a1): update go version\n### Cicd\n- [7f19200](https://github.com/quay/clair/commit/7f192003eef5eb6e0d42e2d21264410f71af96ce): create expiring, dated image\n- [673ab1e](https://github.com/quay/clair/commit/673ab1ebd1efc1cfc778316ca7c4f183687138a1): update go version\n- [ace31fe](https://github.com/quay/clair/commit/ace31fe6e8737fb4ab4ad66750e7637c8af36e0d): re-vendor after modifying the module\n- [411facf](https://github.com/quay/clair/commit/411facfaeb292bd74e1865a2b48767ac1560febf): use push flag with build\n- [7d29f69](https://github.com/quay/clair/commit/7d29f694b0de2751ef1d1886ca2b15317a3b33d0): add \"nightly\" workflow\n- [e36bc82](https://github.com/quay/clair/commit/e36bc8226ab762948cc0f855751b5d55eea44afe): add script to edit module for nightly\n### Clairctl\n- [66a3137](https://github.com/quay/clair/commit/66a3137af6d6b5f1640c32e55aa5a65b71d606a0): update to new API\n### Config\n- [b4ec7aa](https://github.com/quay/clair/commit/b4ec7aa3e2d4bd272e8f518ff3bd2b3e2434216d): add CacheAge field\n### Contrib\n- [7308254](https://github.com/quay/clair/commit/73082541568b014b89407bee9d30a0142ccd21ea): stop unneeded vendoring\n- [87f8f6c](https://github.com/quay/clair/commit/87f8f6cb7525ad6e85c49907f17a35523de2a19f): update saas file\n### Documentation\n- [28b78c5](https://github.com/quay/clair/commit/28b78c5415696ab23a1465f5b631f0be2cb97704): fix typo\n### Httptransport\n- [22a2548](https://github.com/quay/clair/commit/22a25484e149bc5665e5e78754552cbda6967b9f): add Cache-Control header to VulnerabilityReport response\n- [1d6ce96](https://github.com/quay/clair/commit/1d6ce962d79c2cad86e8c7f6c5a247bf1f329d92): documentation updates\n- [f7fdc90](https://github.com/quay/clair/commit/f7fdc906c3bd0e779e0480b2444d6068ae939546): fix auth test logging\n### Matcher\n- [b3c3e38](https://github.com/quay/clair/commit/b3c3e38574df1d53c37fbf9c7fe0128b2c76c35e): default garbage collection on\n### Notifier\n- [0f6d0e4](https://github.com/quay/clair/commit/0f6d0e4a6950c64c74f18f1c4d0dee3fbc2eaf01): move to ctxlock\n### Shutdown\n- [6b7029d](https://github.com/quay/clair/commit/6b7029df2f74a44f57f924545442465874103e0b): introduce the new NotifyContext\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.3.0-rc.0...HEAD\n[v4.3.0-rc.0]: https://github.com/quay/clair/compare/v4.2.3...v4.3.0-rc.0\n",
      "date_published": "2021-09-28T21:57:03Z",
      "tags": [
        "security"
      ],
      "_tool_id": "clair",
      "_version": "v4.3.0-rc.0"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.2.3",
      "url": "https://github.com/quay/clair/releases/tag/v4.2.3",
      "title": "[Clair] v4.2.3 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.2.3\"></a>\n## [v4.2.3] - 2021-09-28\n### Chore\n- [8bc69b0](https://github.com/quay/clair/commit/8bc69b0a4c83a3275ee8dc17042a58357cd167ec): v4.2.3 changelog bump\n- [7ee97e5](https://github.com/quay/clair/commit/7ee97e506372454963c81a3c5c045ce487056d87): bump claircore version\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.2.3...HEAD\n[v4.2.3]: https://github.com/quay/clair/compare/v4.2.2...v4.2.3\n",
      "date_published": "2021-09-28T18:43:17Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.2.3"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.1.6",
      "url": "https://github.com/quay/clair/releases/tag/v4.1.6",
      "title": "[Clair] v4.1.6 Release",
      "content_text": "<a name=\"unreleased\"></a>\n## [Unreleased]\n\n\n<a name=\"v4.1.6\"></a>\n## [v4.1.6] - 2021-09-28\n### Chore\n- [018a2db](https://github.com/quay/clair/commit/018a2db20131d0e56c1f52732a9ed1d73cf23d61): v4.1.6 changelog bump\n- [63b5b3d](https://github.com/quay/clair/commit/63b5b3d97f50fc1c22eb4be55e9cfc2cdb7ed86b): bump claircore version\n\n[Unreleased]: https://github.com/quay/clair/compare/v4.1.6...HEAD\n[v4.1.6]: https://github.com/quay/clair/compare/v4.1.5...v4.1.6\n",
      "date_published": "2021-09-28T18:42:17Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.1.6"
    },
    {
      "id": "https://github.com/quay/clair/releases/tag/v4.2.2",
      "url": "https://github.com/quay/clair/releases/tag/v4.2.2",
      "title": "[Clair] v4.2.2 Release",
      "content_text": "<a name=\"unreleased\"></a>\r\n## [Unreleased]\r\n\r\n\r\n<a name=\"v4.2.2\"></a>\r\n## [v4.2.2] - 2021-08-17\r\n### Chore\r\n- [3762d9c](https://github.com/quay/clair/commit/3762d9c3459f5bb1b12fab46453358b79f3952ba): v4.2.2 changelog bump\r\n- [90f2909](https://github.com/quay/clair/commit/90f2909ed8d29b90dad205f9ad92bbbf9660f88c): bump claircore version\r\n\r\n[Unreleased]: https://github.com/quay/clair/compare/v4.2.2...HEAD\r\n[v4.2.2]: https://github.com/quay/clair/compare/v4.2.1...v4.2.2\r\n",
      "date_published": "2021-08-17T16:57:32Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "clair",
      "_version": "v4.2.2"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210730/",
      "url": "https://help.vuls.biz/releasenotes/20210730/",
      "title": "[FutureVuls] 2021-07-30",
      "content_text": "2021-07-30 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できない可能性があります。\nセキュリティを強化\n#\nメールアドレスが無効になったユーザを利用不可に\n#\nFutureVuls からのメールが届かなくなったユーザの、ポータル画面へのアクセスが制限されるようになりました。\nたとえば、\n退社したユーザをグループから削除し忘れた\nことによる、意図しないユーザの継続利用を防ぐことができます。\nFutureVuls から送付されたメールがバウンス状態になった時点で制限がかかり、プロフィール画面のみ参照可能になります。\n無効になったアカウントを復旧したい場合は、登録されたアドレスが有効であることを確認の上、ログインしプロフィール画面から再度認証してください。\nメールアドレスに対して認証コードが送付されます。認証コードをメール受信可能な場合のみ、FutureVuls アカウントを復旧可能です。\n不正ログインをユーザに通知し対応可能に\n#\n通常とは異なるログイン\nを検知した時、登録されたメールアドレスに通知が送られるようになりました。\n記載されたログイン情報に心当たりがない場合は、第三者にパスワードが漏洩している可能性があります。\nパスワードの変更や、2要素認証を設定してください。\nユーザ管理を強化\n#\nオーガニゼーションへユーザを一括招待\n#\nこれまで新規ユーザの招待はグループ設定の「メンバ」ページからのみ行えましたが、オーガニゼーション設定の「メンバ」からも行えるようになりました。\nオーガニゼーション設定の「メンバ」で「ユーザ追加」をクリックすると、ユーザを追加するためのダイアログが表示されます。\n改行やカンマ区切りで入力すると、複数のユーザをオーガニゼーションに一括追加できます。\n招待したユーザはグループに配属されていないため、脆弱性情報等を確認できない状態になります。別途グループへの招待をお願いします。\nなお、これまで通り、グループ設定の「メンバ」からも新規ユーザの招待を行えます。状況に応じて使いやすいほうをご利用ください。\nメンバの所属しているグループを管理しやすく\n#\nオーガニゼーション設定の「メンバ」からグループ管理のアイコンをクリックすると、メンバの所属しているグループが表示されるようになりました。\nまた、メンバの所属するグループの追加・削除もまとめて行えます。\nグループに所属しているメンバを管理しやすく\n#\nオーガニゼーション設定の「グループ」からユーザ管理のアイコンをクリックすると、グループに所属しているメンバが表示されるようになりました。\nまた、グループに所属するメンバの追加・削除もまとめて行えます。\n脆弱性詳細のデータソース強化\n#\nこれまで脆弱性詳細には NVd, JVN, Red Hat, Microsoft のスコアを表示していましたが、今回のリリースで以下のデータソースを追加しました。\nAmazon Linux\nUbuntu\nDebian\nGitHub\nWPScan\nTrivy\n脆弱性詳細のスコア欄には、各ソースから取得された Severity の頭文字が表示されます。\nそれぞれの Severity と CVSS スコアの目安は以下のとおりです。\n表示ラベル\nSeverity\n相当するCVSSスコア\nC\nCRITICAL\n9.0 ~ 10.0\nH\nHIGH\n7.0 ~ 8.9\nI\nIMPORTANT\n7.0 ~ 8.9\nM\nMEDIUM\n4.0 ~ 6.9\nM\nMODERATE\n4.0 ~ 6.9\nL\nLOW\n0.1 ~ 3.9\nタスク機能を強化\n#\nタスクに「NOT_AFFECTED」「RISK_ACCEPTED」のステータスを追加\n#\nこれまでのステータスに加えて、環境に影響がないことを示す「NOT_AFFECTED」とリスクを許容することを示す「RISK_ACCEPTED」のステータスを追加しました。\nタスクのステータスは以下の状態を想定しています。\nステータス名\n状態\n備考\nNEW\n新規で脆弱性を検知した状態\n脆弱性検知時に設定される\nINVESTIGATING\n調査中の状態\n検知した脆弱性の調査時に設定する\nONGOING\n作業中の状態\n調査完了後、対応検討や対応準備時に設定する\nWORKAROUND\n緩和策を実施した状態\n仮想パッチや設定変更などの緩和策を実施した状態\nNOT_AFFECTED\n環境に影響がないタスク\n脆弱性が環境に影響しないことを確認した状態\nRISK_ACCEPTED\nリスクを許容するタスク\n脆弱性による影響を許容することを決定した状態\nPATCH_APPLIED\nパッチを適用した状態\npatch適用後の次のスキャンで自動設定される\n手動でのステータス設定は不可\nタスク内のコメント欄にある更新履歴を非表示にできるように\n#\nタスクに投稿されたコメントのうち、システムによるタスクの更新履歴を非表示設定できるようになりました。\nタスクの変更履歴を表示したい場合は\nシステムによる更新履歴を表示\nバーを ON に、ユーザが投稿したコメントのみを表示したい場合は OFF に設定してください。\n検知された脆弱性の信頼度を表示\n#\n検知された脆弱性の信頼度が確認できるようになりました。\n信頼度\nは1から100までの数値で表され、値が小さいと誤検知の可能性が高まります。\n信頼度\nはタスク一覧や、タスク詳細画面からご確認いただけます。\n検知方法の信頼度が低い脆弱性は、重要フィルタや自動 Danger の対象から除外するよう設定できます。\nまた、検知方法の信頼度が低い脆弱性は、自動非表示の処理をスキップできます。\n影響がない場合はタスクを非表示にして、ステータスを「NOT_AFFECTED」に変更してください。\nCPEスキャンを強化\n#\n日本製ソフトウェアの資産管理が可能に\n#\n日本ローカルなソフトウェアは NVD には存在せず、JVN にのみ定義されています。\nこのような日本製ソフトウェアの CPE を\nサーバ > ソフトウェア\nの「CPE 追加」ポップアップから登録し、資産管理可能になりました。\n日本製ソフトウェアの脆弱性検知が可能に\n#\nCPE スキャンで利用する脆弱性 DB として JVN を追加しました。\n登録された CPE の以下の項目にマッチしたものを検知します。\ntype\nベンダー名\nプロダクト名\nタスク一覧や、タスク詳細画面\nの\n信頼度\nが「CpeVendorProductMatch(信頼度: 10)」となっているタスクは JVN にて検知された脆弱性です。\nJVN にて検知された脆弱性はバージョン情報を考慮していないため誤検知の可能性があります。\nJVN の該当ページを参照し目視でバージョンレンジを確認し影響がない場合は、タスクを非表示にして「NOT_AFFECTED」に変更してください。\nDeprecatedなCPEを注意喚起\n#\n登録されている CPE が NVD 上で Deprecated になった場合、ソフトウェア詳細画面で注意喚起されるようになりました。\nDeprecated な CPE の脆弱性は今後検知されません。正しい CPE を NVD で確認し、\nCPE編集\nより更新してください。\nCloudOne連携を強化\n#\nCloudOne 連携済みのグループで、\nグループ設定 > 外部連携\nから CloudOne API の実行履歴が確認できるようになりました。\nCloudOne API の実行が正常に完了しているか確認したい場合はこちらをご確認ください。\nREST APIの強化\n#\nREST API に\nペーストLockfile\nの参照・作成・更新・削除機能が追加されました。\ncurl\nなどを用いて、PASTE サーバを作成・更新いただけます。\n詳細は、\nREST APIマニュアル\nをご確認ください。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-07-30T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-07-30"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.2",
      "title": "[Trivy] v0.19.2",
      "content_text": "## Changelog\n\nf3f3029 Updated the Alpine Image to 3.14 (latest) (#1130)\n0e52fde Added EOL for Ubuntu 21.10 (#1131)\n9b3fba0 fix(image): disabled scanning of config files within container images (#1133)\n1101634 docs: fixed typo (#1124)\n499b7a6 update cyclonedx github action to v0.3.0 (#1127)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.19.2`\n- `docker pull ghcr.io/aquasecurity/trivy:0.19.2`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.19.2`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-07-20T10:48:20Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "trivy",
      "_version": "v0.19.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.1",
      "title": "[Trivy] v0.19.1",
      "content_text": "## Changelog\n\ncea9b0b fix(policy): fix panic on the first run (#1116)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.19.1`\n- `docker pull ghcr.io/aquasecurity/trivy:0.19.1`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.19.1`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-07-12T18:59:07Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.19.1"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.19.0",
      "title": "[Trivy] v0.19.0",
      "content_text": "## Changelog\n\ndea3428 docs(misconf): add comparison with Conftest and tfsec (#1111)\n47d600a feat(report): add schema version (#1110)\neae4baf fix(scan): change unknown os from info to debug (#1109)\n9e08bd4 docs: add misconfiguration (#1101)\nd9883e4 fix(config): rename include-successes with include-non-failures (#1107)\ne6f7e55 feat(config): support --trace (#1106)\n4b84e79 fix(policy): reduce the Internet access (#1105)\n05ae22a chore: bump golangci-lint to v1.41.1 (#1104)\na0e5c3a feat: support config scanning (#931)\n712f9eb feat(report): add artifact metadata (#1079)\n803b2f9 Generate SBOM (#1076)\n92f980f fix(db): multiple prefixed data sources (#1070)\n52e98f1 Add EOL date for Alpine 3.14 (#1072)\n6cd9a32 suse: mark sle 15.3 as maintained, add opensuse 15.3 (#1059)\n03a7366 docs: improve data sources (#1069)\na29d6d8 chore(label): add kind/security-advisory (#1068)\n2a08969 fix(asff): replace slice with substr (#1058)\n3a94b73 fix(helm-chart): parametrized ingress host path (#1049)\n41d000c feat: support Google Artifact Repository (#1055)\n78da283 Update ASFF template to use label for severity (#1047)\ne362843 BREAKING: migrate to a new JSON schema (#782)\n097b8d4 docs: Fix link to AWS Security Hub template (#1046)\n3b6122f refactor(server): support gzip (#1045)\nf75a369 chore(rpc): update protoc and twirp (#1044)\ne4c32cd Added support for list all packages flag in client (#1032)\nfb19abd chore: chart with 0.18.3 (#1033)\nd2afc20 feat: add gitlab codequality template (#895)\n43ff5f9 feat(plugin): add aqua plugin (#1029)\n5e6a50b fix(go): if patchedVersion is empty mark it as vulnerable (#1030)\n23b9533 docs(ubuntu): fix supported versions (#1028)\nd1f8cfc Support Ubuntu 21.04 (#1027)\naa2336b chore: remove codecov (#1016)\ne646172 fix typo on github-actions.md (#1022)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.19.0`\n- `docker pull ghcr.io/aquasecurity/trivy:0.19.0`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.19.0`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-07-12T11:03:10Z",
      "tags": [
        "security"
      ],
      "_tool_id": "trivy",
      "_version": "v0.19.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210618/",
      "url": "https://help.vuls.biz/releasenotes/20210618/",
      "title": "[FutureVuls] 2021-06-18",
      "content_text": "2021-06-18 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できない可能性があります\nアプリケーション依存ライブラリスキャンの強化\n#\ngo.sumをサポート\n#\n本機能を利用するためには\nスキャナの更新\nが必要です。\nGo 言語アプリケーションの脆弱性検知に対応しました。\nLockFileのペーストスキャンに対応\n#\nFutureVuls では\n複数の方法\nでアプリケーション依存ライブラリの脆弱性検知が可能ですが、新たに\nブラウザにLockFileの内容をペーストしてスキャン可能\nになりました。\n登録された LockFile に該当する脆弱性が新規公開されたタイミングで継続的に通知されます。\n依存ライブラリをバージョンアップして LockFile の内容が更新された場合は、FutureVuls の画面上から LockFile の内容を更新してください。FutureVuls で検知済みタスクのステータスが「patch_applied」に自動更新されます。\n2021年6月18日時点でペーストスキャンがサポートする LockFile は以下の通りです。\nLang\nLockFile\nRuby\nGemfile.lock\nPython\nPipfile.lock, poetry.lock\nPHP\ncomposer.lock\nNode.js\npackage-lock.json, yarn.lock\nGo\ngo.sum\nRust\nCargo.lock\n.NET\npackages.lock.json\n次に、LockFile を登録する方法を説明します。\nサーバを選択し、LOCKFILE のタブで追加をクリック\nLockFile に名前を付け、種別を選択。LockFile の内容をペーストし、送信。\n次回スキャン時にソフトウェアの登録と脆弱性を検知します\nまたこれまで通り、スキャン対象サーバ上の\nconfig.toml\nに、サーバ上の\nlockfileのパスを指定してのスキャン\nも行えます。\nアプリケーション依存ライブラリの検知性能検証\n#\nFutureVuls にはアプリケーション依存ライブラリの脆弱性検知の方法が\n複数存在\nしますが、下記の理由で複数の方法を併用することをおすすめします。\n完全に網羅するライブラリ用の脆弱性 DB は世の中に存在しない\n検知手法ごとにサポート言語や、パッケージエコシステムが異なる\nGitHub Security Alertsのサポート対象\nペーストスキャンのサポート対象\n参考までに、Lockfile ペーストスキャンと、\nGitHub Security Alerts連携\nの検知数を比較してみました。\n※ 2021年6月17日時点のデータです。検証に使った Lockfile の URL も掲載します。\nLang\nスキャンしたLockFile\nペーストスキャン検知数\nGitHub Security Alerts検知数\nRust\nCargo.lock\n2\n未サポート\nPHP\ncomposer.lock\n10\n3\nRuby\nGemfile.lock\n54\n16\nNode.js\npackage-lock.json\n25\n12\nNode.js\nyarn.lock\n38\n26\nPython\nPipfile\n14\n3\nGo\ngo.sum\n18\n未サポート\n2021年6月17日時点での上記の Lockfile の検知数を見ると GitHub Security Alerts よりも LockFile ペーストスキャンの方が多く検知することを確認できました。\nただし、この結果は以下の条件に依存するため、ユーザ各自で実際に試して検討されることをおすすめします。\n検知処理を実施した時点の脆弱性 DB の内容\nLockfile の内容\nCloud One連携の強化\n#\nTrend Micro Cloud One Workload Security連携\nを強化しました。\nFutureVuls で検知した脆弱性に対応する Cloud One 侵入防御ルールが存在する場合は\nAvailable\nステータスのアイコンが表示されます。\n高リスクな脆弱性を検知したが、すぐにはアップデートできない状況。一時的な回避策として、Cloud One に該当する脆弱性の侵入防御ルールが存在するかを確認したいケースで便利な機能です。\nAvailable ステータスは「グループ設定 > Cloud One 外部連携」が未設定でもデフォルトで表示されます。また侵入防御ルール有無の情報は FutureVuls サービス側で数時間に一度の間隔で同期されます。\n実際に適用中の侵入防御ルールのステータス表示\n防御済みの CVE-ID は自動で「WorkAround」タスクステータスに変更する\n侵入防御ルール最適化機能\nなど、さらに高度に連携する場合は、\nグループ設定 > Cloud One連携\nを設定してください。\nCPEスキャンの強化\n#\nCPEスキャン機能\nは「FutureVuls 画面上から登録した CPE」に該当する脆弱性を NVD から検知します。主に OS パッケージ以外の脆弱性検知に利用できます。\nこれまでは CPE の下記の項目のみで比較していました。\n種別\nベンダ\nプロダクト\nバージョン\n今回のリリース以降、他の項目も用いて検知するように変更したため、より正確に検知できるようになりました。\nCVE-2017-3160\nを例に具体的に説明します。\n上記 NVD のページ下部の「Known Affected Software Configurations」(影響を受ける CPE)には、\ncpe:/a:apache:cordova:::~~~android~~\nUp to\n6.1.2\nが指定されています。\nこれは、\napacheのcordovaの6.1.2未満のandroid向けプラットフォーム版\nでは\nCVE-2018-3160\nの影響を受ける、という意味です。\nFutureVuls に\ncpe:/a:apache:cordova:5.1.1::~~~iphone_os~~\nを登録し CPE スキャンするケースを考えます。\nこれまでの検知ロジックでは\ncpe:/a:apache:cordova:5.1.1\nまでを見て\na=a && apache == apache && cordova == cordova && 5.1.1 < 6.1.2\nが成立するため上記の CVE-2017-3160が誤検知されていました。\n今回のリリース以降はバージョン以外の項目で指定されている\niphone_os\nも比較条件に加わったことで\nandroid\nと\niphone_os\nの部分がマッチしなくなり、この例のような誤検知が解消されます。\nREST APIの強化\n#\nREST API に\nPASTEサーバ\nの作成・更新機能が追加されました。\ncurl\nなどを用いて、PASTE サーバを作成・更新いただけます。\n詳細は、\nREST APIマニュアル\nをご確認ください。\nサーバ登録方法の集約と整理\n#\n「コンテナイメージ追加」や「擬似サーバ追加」はサーバ一覧から、サーバにスキャナをインストールし脆弱性検知する場合はグループ設定画面の「スキャナ」とサーバ登録の方法が散らばっていました。\n今回のアップデートでサーバ一覧に「サーバ追加」ボタンとしてまとめ、サーバの登録方法を一覧化しました。\n各種サーバの登録方法と追加ボタンを設置し、「？」マークからヘルプページへ移動できます。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-06-18T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-06-18"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.3",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.3",
      "title": "[Trivy] v0.18.3",
      "content_text": "## Changelog\n\n85e45ca chore(ci): change to more granular tokens (#1014)\n9fa512a chore(ci): add Go scanning and update dependencies (#1001)\n349371b docs: Add HIGH severity to Trivy command in GitLab CI example to match comment (#1013)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.18.3`\n- `docker pull ghcr.io/aquasecurity/trivy:0.18.3`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.18.3`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-05-24T06:00:02Z",
      "tags": [
        "other"
      ],
      "_tool_id": "trivy",
      "_version": "v0.18.3"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210521/",
      "url": "https://help.vuls.biz/releasenotes/20210521/",
      "title": "[FutureVuls] 2021-05-21",
      "content_text": "2021-05-21 リリース内容\n#\nサーバに導入済みのスキャナは定期的に\n更新\nしてください。\nスキャナのバグ修正は\n最新版にのみ適用\nされます\n古いスキャナでは\n最新機能\nが利用できない場合があります\n閉域網などスキャナからアップロードできない環境でも脆弱性検知・管理が可能に\n#\nインターネットから隔離された環境\nスキャナプログラムをサーバにインストールできない環境\nのような、これまで FutureVuls のスキャナの導入が難しかった環境をサポートします。\nサーバ上でいくつかのコマンドを実行し、結果を FutureVuls 画面上にペーストするだけで登録完了です。\n以下のステップで簡単に登録できます。\n「PASTE サーバ追加」ボタンを押下\nサーバ名を入力\nOS の種類を選択\nOS のバージョン情報をペースト\n実行中のカーネルリリースの情報をペースト\nインストールされたパッケージリストをペースト\n「PASTE サーバ追加」ボタン\nサーバ名・OS の種類などを入力・ペースト\nインストールされたパッケージリストをペースト\n登録後は画面上から\n手動スキャン\nすることで、実機にアクセスすることなく、新規公開された脆弱性を検知可能です。\nCSIRTプラン\nのオーガニゼーションは一日に複数回定期スキャンされるため、画面上から手動スキャンする必要はありません。\n定期スキャンのタイミングで新規に検知された脆弱性は\n自動トリアージ\nされます。\n該当サーバのパッケージをアップデートして構成情報を変更した場合は、サーバ詳細画面内のサーバ情報 >「編集」ボタンから更新してください。\n次回のスキャンでは、更新された構成情報を元に検知処理が実行されます。また、パッケージアップデートにより解消されたタスクは「Patch_Applied」ステータスに自動変更されます。\n2021年5月現在、Paste サーバは以下の OS をサポートしています。\nRHEL\nCentOS\nAmazon Linux\nUbuntu\nDebian\n「スキャナ経由で登録したサーバ」の定期スキャンで、よりクイックな脆弱性対応が可能に\n#\n本機能は CSIRT プランのみ対象です\nこれまでは「スキャナ経由で登録したサーバ」の検知処理は、サーバ上でスキャナを実行し構成情報を FutureVuls にアップロードしたタイミングで実行されていました。\n本リリース以降、より頻繁に検知処理が実施されるようになり、新規公開された脆弱性をより早く検知できるようになりました。\n「スキャナ経由で登録したサーバ」の検知処理の実行タイミングは以下となります。\n実サーバ上でスキャナ実行時\n一日数回の定期スキャン時\n定期スキャン処理では、実サーバの構成情報ではなく、FutureVuls に登録済みの構成情報を用いて検知されます。\nOS パッケージをアップデートした場合は実サーバ上でスキャナを実行し、最新の構成情報を FutureVuls にアップロードする必要がありますのでご注意ください。\nOracle Linuxに対応\n#\n本機能を利用するためには\nスキャナの更新\nが必要です。\nOracle Linux 6, 7, 8をサポートしました。\n※ Oracle Linux 8の dnf module の脆弱性検知は2021年5月21時点では未対応です。\nスキャン履歴の警告メッセージダイアログの追加\n#\nグループ設定内のスキャン履歴に警告メッセージがある場合に、アイコンをクリックするとダイアログで詳細が表示されるようになりました。\n信頼度の低い攻撃コードを信頼度の高い攻撃コードの補足情報として表示\n#\n信頼度の高い攻撃コードがある場合に信頼度の低い攻撃コードを補足情報として表示されるようになりました。\nCVSSの選択タブのデフォルトを存在するものに変更\n#\n脆弱性情報の詳細画面を開いた際に、情報のある CVSS ベクターのタブをデフォルトで選択するようにしました。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-05-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-05-21"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.2",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.2",
      "title": "[Trivy] v0.18.2",
      "content_text": "## Changelog\n\n4446961 fix(image): disable go.sum scanning (#1007)\n04473ad fix(gomod): handle go.sum with an empty line (#1006)\n1b66b77 feat: prepare for config scanning (#1005)\n8fc6ea6 Clarify that dev dependencies are excluded (#986)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.18.2`\n- `docker pull ghcr.io/aquasecurity/trivy:0.18.2`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.18.2`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-05-20T07:35:11Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.18.2"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.1",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.1",
      "title": "[Trivy] v0.18.1",
      "content_text": "## Changelog\n\neaf2da2 Include target value in Sarif template ruleID (#991)\n083c157 chore(mkdocs): allow workflow_dispatch (#989)\n\n\n## Docker images\n\n- `docker pull aquasec/trivy:0.18.1`\n- `docker pull ghcr.io/aquasecurity/trivy:0.18.1`\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.18.1`\n- `docker pull aquasec/trivy:latest`\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\n",
      "date_published": "2021-05-13T17:34:54Z",
      "tags": [
        "bugfix"
      ],
      "_tool_id": "trivy",
      "_version": "v0.18.1"
    },
    {
      "id": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.0",
      "url": "https://github.com/aquasecurity/trivy/releases/tag/v0.18.0",
      "title": "[Trivy] v0.18.0",
      "content_text": "## Release Note\r\nhttps://github.com/aquasecurity/trivy/discussions/990\r\n\r\n## Changelog\r\n\r\ne26e39a fix(vuln) unique vulnerabilities from different data sources (#984)\r\n04e7cca feat(go): added support of gomod analyzer (#978)\r\n\r\n\r\n## Docker images\r\n\r\n- `docker pull aquasec/trivy:0.18.0`\r\n- `docker pull ghcr.io/aquasecurity/trivy:0.18.0`\r\n- `docker pull public.ecr.aws/aquasecurity/trivy:0.18.0`\r\n- `docker pull aquasec/trivy:latest`\r\n- `docker pull ghcr.io/aquasecurity/trivy:latest`\r\n- `docker pull public.ecr.aws/aquasecurity/trivy:latest`\r\n",
      "date_published": "2021-05-12T10:50:07Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "trivy",
      "_version": "v0.18.0"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210416/",
      "url": "https://help.vuls.biz/releasenotes/20210416/",
      "title": "[FutureVuls] 2021-04-16",
      "content_text": "2021-04-16 リリース内容\n#\n本リリースの機能を利用するためには\nスキャナの更新\nが必要です。\nFutureVuls としては以下の理由でスキャナの定期更新をおすすめします。\n古いスキャナでは最新機能が利用できないケースあり\nバグフィックスは\n最新版にのみ適用\nされる\nLinuxスキャナの動作を柔軟に指定可能に\n#\nスキャナの動作が config.toml で指定可能になりました。\nWordPress の脆弱性は検知したいが OS パッケージの脆弱性は検知したくない\nサーバに配備されているライブラリの脆弱性のみ検知したい\nポート接続チェックはしたくない\nなど、環境や用途に合わせてスキャナの動作を柔軟に制御できます。\n詳細は\n設定>スキャンモジュールの変更\nを参照してください。\nLinuxスキャナが出力するファイルの改廃処理が不要に\n#\nこれまでの Linux スキャナは、スキャナが配備されたサーバ上に以下のファイルを生成していたため、定期的な改廃処理が必要でした。\n今回のアップデートでデフォルトの動作を変更し、以下のファイルが生成されなくなりました。\n/opt/vuls-saas/results\nに結果の JSON ファイル\n/var/log/vuls\nにログファイル\nもし以前のようにファイルを出力したい場合は以下のオプションをつけて実行してください。\n結果 JSON ファイルは\n./vuls-saas.sh --debug\nログファイル出力は、\n./vuls-saas.sh --log-to-file\nLinuxスキャナのconfig.tomlを上書きしないように変更\n#\nこれまでは、スキャン実行のたびに config.toml を上書きしていました。このため root ユーザで\n./vuls-saas.sh\nコマンド実行すると config.toml 所有者が root 権限に変更されます。この状態で CRON 定期ジョブが実行されると、\nvuls-saas\nユーザで実行しようとして config.toml 書き込みの権限エラーでスキャンが失敗する、というケースがありました。\n参考:\nFAQ > scan-logにpermission-deniedと出力されscanできない\n最新版のスキャナでは、初回スキャン時に UUID が新規発番されるときのみ config.toml を上書きします。それ以降 config.toml は上書きしません。",
      "date_published": "2021-04-16T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-04-16"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210408/",
      "url": "https://help.vuls.biz/releasenotes/20210408/",
      "title": "[FutureVuls] 2021-04-08",
      "content_text": "2021-04-08 リリース内容\n#\n今回のリリースでは以下を変更しました。\nオーガニゼーション一括スキャン\n#\nオーガニゼーション内に登録されている全サーバを一括で手動スキャンすることが可能になりました。\n最新スキャン時のパッケージ情報を用いるため、実機にはアクセスしません。\n例えば、自動トリアージ設定（CSIRT オプション限定）を登録後に、すべてのサーバに更新したルールを適用させるときなどに便利な機能です。\nなお、オーガニゼーション一括スキャンは一度実行すると、1時間は再実行できません。\n最終一括スキャン日時を確認の上、1時間経過後に再スキャンを実行してください。\n※ 一括スキャンは本リリース後に一度でもスキャンが実行されたサーバのみ実行されます。\nグループ一括スキャン\n#\nグループ内に登録されているサーバを一括で手動スキャンすることが可能になりました。\n制約などはオーガニゼーション一括スキャンと同じです。\nタスク一覧画面のタブに件数を表示\n#\nタスク一覧ページのタブにそれぞれのタブで表示されるタスクの件数を表示しました。\n各タブの件数の関係性は\n未対応 + 対応中 + 対応済み = すべて\nとなります。\nこれにより、脆弱性一覧と同様に、タスクのステータス遷移をタブの件数で把握できるようになりました。\n脆弱性詳細ページの一次情報ソースを拡充\n#\n以下の情報が表示されるようになりました。\nベンダのサポートページ URL\n本家 bugzilla の URL\nパッチの GitHub URL\nなど\n脆弱性一覧の自動更新\n#\n脆弱性一覧グリッドに表示される脆弱性情報が自動更新されるようになりました。\n以前は、スキャンのタイミングで脆弱性情報を最新化していましたが、スキャンしなくても自動で更新されます。\n脆弱性情報は自動で最新化されますが、検知処理はスキャン時に実行されるという点は変わりません。長期間スキャンしないと新規公開された脆弱性は検知されず、画面には表示されない点は変更ありませんので、ご注意ください。\nタスク一括非表示時のメール通知にコメントを追加\n#\nタスクの一括非表示時のコメントがメール通知に記載されます。\nタスク一括編集時のメール通知を新旧担当者のみに送信\n#\nタスクの一括編集時に、新旧の主担当と副担当者にメール通知します。\n重要な脆弱性が検知された場合にSlack通知でメンション可能に\n#\nSlack の Profile 内ある\nmemberID\nを FutureVuls の slack 連携ページで追加すると、重要な脆弱性が検知された時のみ、対象のユーザへのメンションできます。\nAWS設定を複数グループ間で利用可能に\n#\nグループの設定 > AWS 連携にて、1つの AWS アカウントを複数のグループに対して設定可能になりました。\n初回設定時は CloudFormation の実行が必要ですが、2つ目以降は FutureVulsExternalID を入力することで cloudformation の実行をスキップできます。\nスペシャル警戒タグに判断日を設定可能に\n#\n本機能は CSIRT プランのみ対象です\nスペシャル警戒タグの登録時に判断日が追加できる様になりました。\nスペシャル警戒タグの再通知が可能に\n#\n本機能は CSIRT プランのみ対象です\nすでに登録済みのスペシャル警戒タグを再通知できる様になりました。\nDeep Security as a ServiceからCloudOneへ表記変更\n#\nTrend Micro Deep Security as a Service\n（以下、DSaaS）から\nTrend Micro Cloud One Workload Security\nへの名称変更に伴い、FutureVuls でも CloudOne という表記に変更しました。\nCloudOne連携の認証方法をAPIキーに統一\n#\n本リリース以前まで、CloudOne の認証情報はパスワード認証と API キーの認証の両方を設定する必要がありましたが、API キーのみで連携可能になりました。（FutureVuls 画面上に設定されていた DSaaS の暗号化されたパスワードは物理削除済みです）\n設定方法は\nこちら\nを参照してください。\nCloudOne連携を手動実行可能に\n#\nCloudOne連携\nはスキャン後に自動実行されていましたが、今回のリリースで画面から手動実行できるようになりました。連携に失敗したときのみメール通知されます。\nCloudOne連携設定で、機能のON OFFを設定可能に\n#\nCloudOne連携\nには、\n侵入防御ルール最適化機能\n検知した CVE が CloudOne の IPS のルールで検出または防御されているかを表示\nという2つの機能がありますが、それぞれの機能の ON OFF を切り替え可能になりました。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-04-08T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-04-08"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20210128/",
      "url": "https://help.vuls.biz/releasenotes/20210128/",
      "title": "[FutureVuls] 2021-01-28",
      "content_text": "2021-01-28 リリース内容\n#\n今回のリリースでは以下を変更しました。\nWordPressの脆弱性検知が可能に\n#\n本機能は Linux スキャナのアップデートが必要です（v0.15.5以上）。バージョン確認方法は\nこちら\nサーバにインストールされている WordPress コア、プラグイン、テーマの一覧を自動取得し、脆弱性を検知できるようになりました。\nWordPress 関連だけで2万件以上の脆弱性情報を持つ\nwpscan.com\nの脆弱性データベースを利用します。\n本機能は、まず WordPress が稼働する OS 上にて\nwp\nコマンドを実行し、WordPress コア、プラグイン、テーマの完全なバージョンリストを取得します。この完全なリストを元に検知するため、ネットワーク型のスキャナ（シグニチャから推測する方式）よりも高精度の検知が可能です。また、擬似攻撃は行わない非破壊型スキャンのため本番サイトに影響を及ぼしません。\n詳細は\nヘルプ\nを参照ください。\nOSのEOL(End Of Life)を確認可能に\n#\nサーバ詳細画面で OS のサポート期限が確認できるようになりました。\n画面上から手動スキャン可能に\n#\n2021年1月28日以降にスキャンされたサーバが対象です。\nこれまで、手動スキャンは\n擬似サーバ\nでのみ可能でしたが、「スキャナ経由で作成されたサーバ」でも手動スキャンできるようになりました。\n画面上から手動スキャンすることで、その時点の最新の脆弱性データベースを用いて検知処理が再実行され、脆弱性情報が最新化されます。\n手動スキャンでは「\n実サーバ上のスキャナは実行されません\n」。\n前回アップロードされた情報（OS パッケージ情報など）を用いて再スキャンします。\nこのためパッケージを更新した、などのサーバの構成情報を変更した場合は、手動スキャンではなくスキャナを実行してアップロードする必要があります。\n攻撃コード、回避策、一次情報の情報ソースを強化\n#\n攻撃コード、緩和策、一次情報の情報ソースを強化しました。\nRHEL8のdnf moduleに対応\n#\n本機能は Linux スキャナのアップデートが必要です（v0.15.5以上）。バージョン確認方法は\nこちら\nRHEL8から導入された、dnf module の脆弱性検知をサポートしました。\ndnf module の参考情報:\nRHEL8ドキュメント\n脆弱性管理の対象外のソフトウェアを一括設定可能に\n#\n本機能は CSIRT プランのみ対象です\nFutureVuls には、脆弱性管理の対象外のソフトウェアを設定できる機能があります。管理対象外として設定されたソフトウェアについて、スキャン時に初めて検知された脆弱性のタスクと、タスクステータスが NEW のままになっている既存のタスクは、自動的に非表示に設定されます。\nこれまでは、サーバ単位で\nソフトウェア管理対象を設定\nしなければならず、大規模環境での設定が大変でした。\n今回のリリースでは、ソフトウェアをグループ横断で検索し、複数選択して一括で管理対象外として設定できるようになりました。\nグループセット > ソフトウェア\nからご利用いただけます。\n自動Dangerを一括で解除可能に\n#\n本機能は CSIRT プランのみ対象です\n自動Danger機能\nで設定された Danger を一括解除できるようになりました。\n初期設定時に間違えて大量の Danger がついてしまった場合にご利用ください。\nオーガニゼーション設定 > 自動トリアージ設定\nからご利用いただけます。\n本操作は取り消し不可能なのでご注意ください。\nトピック投稿時に付与された Danger は、解除対象外です。\nトピック作成のメール通知機能\n#\nトピック新規作成時に、投稿対象のオーガニゼーションやグループのメンバにメールを送信できます。Danger な脆弱性の注意喚起や、対応状況を他グループに共有する場合などにご利用ください。\nトピック更新とコメントは対象外です。\nトピックについては\nヘルプ\nを参照ください。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2021-01-28T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2021-01-28"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20201217/",
      "url": "https://help.vuls.biz/releasenotes/20201217/",
      "title": "[FutureVuls] 2020-12-17",
      "content_text": "2020-12-17 リリース内容\n#\n今回のリリースでは以下を変更しました。\nログイン状態の保持期間を延長\n#\nログイン状態を保持する期間が大きく延長されました。再ログインする手間が減り、より快適にご利用いただけます。\nページ読み込み速度の改善\n#\n脆弱性一覧ページなどの読み込み速度を大幅に改善しました。\nその他\n#\nいくつかのバグを修正しました。",
      "date_published": "2020-12-17T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-12-17"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20201204/",
      "url": "https://help.vuls.biz/releasenotes/20201204/",
      "title": "[FutureVuls] 2020-12-04",
      "content_text": "2020-12-04 リリース内容\n#\n今回のリリースでは以下を変更しました。\nFutureVulsにアップロードしない情報を設定可能に\n#\n本機能は Linux が対象です。\nスキャナバージョン「v0.13.9」以上にアップデートして下さい。\nFutureVuls にアップロードしない情報を設定ファイルで定義可能になりました。\n2020年7月17日のリリース\nでは Windows のみの対応でしたが、今回のリリースで Linux にも対応しました。\nconfig.toml の\nIgnoredJSONKeys\nに JSON の key を配列形式で定義してください。\nサンプル：スキャン対象サーバの IP アドレスとスキャナの IP アドレスをアップロードしない設定\n[Servers]\n[servers.dev]\nuser\n=\n\"vuls-saas\"\nhost\n=\n\"localhost\"\nport\n=\n\"local\"\nscanMode\n=\n[\n\"fast-root\"\n]\nignoredJSONKeys\n=\n[\n\"scannedIpv4Addrs\"\n,\n\"ipv4Addrs\"\n]\n[servers.dev.uuids]\ndev\n=\n\"xxxxxx\"\nignoredJSONKeys\nに指定する key の確認方法を説明します。\n/opt/vuls-saas/vuls-saas.sh\nを実行すると\n/opt/vuls-saas/results\n以下に json ファイルが生成されます。\nこの JSON ファイルが FutureVuls にアップロードされます。\nJSON を直接参照し、アップロードしない情報の key を config.toml に定義してください。\nなお、json ファイルの第1階層のキーのみ指定可能です。第2階層より深いキーは指定できません。\nWindows Scannerのプロキシ バイパスリストを指定可能に\n#\n本機能は Windows が対象です。\nスキャナバージョン「v0.1.11」以上にアップデートして下さい。\n適用されいない KBID を取得するために、Vuls は Windows Update API を実行しています。\nプロキシを経由して Windows Update を実行する場合はインターネットオプションではなく WinHTTP のプロキシ設定が必要です。Vuls は config.toml に指定されたプロキシ情報をスキャン時に自動で設定します。\n今回のリリースで WinHTTP のプロキシ バイパスリストを config.toml で指定できるようになりました。\n例)\n[Servers]\n[Servers.localhost]\nHost\n=\n\"localhost\"\nUUID\n=\n\"XXXXXXXX-XXXX-XXXX－XXXX-XXXXXXXXXXX\"\n[Proxy]\nProxyURL\n=\n\"proxy.contoso.com:8080\"\nBypassList\n=\n\"localhost;*.contoso.com\"\n詳細は\nWindowsのプロキシ設定\nを参照して下さい。",
      "date_published": "2020-12-04T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-12-04"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20201030/",
      "url": "https://help.vuls.biz/releasenotes/20201030/",
      "title": "[FutureVuls] 2020-10-30",
      "content_text": "2020-10-30 リリース内容\n#\n今回のリリースでは以下を変更しました。\nDailyReport Slack通知機能\n#\nSlack 外部連携を設定すると24時間以内に新たに検知した脆弱性を DailyReport として Slack に通知する機能を追加しました。\nSlackとの連携方法\n#\nSlack に新しい Webhook を追加し、Webhook URL を取得します。\n(参考)\nFutureVuls のグループ設定から、\n外部連携 > Slack\nをクリックし、追加ボタンを押して取得した URL を入力します。\n設定した Slack チャネルに対して Daily Report が送信されます。\n新規検知数ゼロの日は通知されまません。\n攻撃コードの信頼度を表示\n#\n脆弱性・タスクの一覧ページや脆弱性の詳細ページに表示していた「攻撃コード」に攻撃コードの信頼度を表示するようにしました。\nMetasploit Framework に組み込まれた攻撃コードは「信頼度：HIGH」として表示します。ExploitDB や GitHub リポジトリから収集した攻撃コードの情報は「信頼度：低」として表示しています。\nまた今回のリリース以前の情報は信頼度；不明として表示されますが、再度スキャンすることで信頼度(H or L)の情報が付与されます。\n攻撃コードの信頼度をトリアージ条件に指定可能に\n#\nFutureVuls では CVSS や注意喚起有無などの条件を事前設定しルールベースで自動トリアージする機能がありますが、今回のリリースで攻撃コードの信頼度を条件として指定可能になりました。\n重要フィルタ\n自動Danger\n自動非表示\n(CSIRT プラン)\n※ 自動 Danger と自動非表示は\nCSIRTプラン\nの機能です。\nこれにより例えば以下のようなルールを柔軟に設定できるようになりました。\n「攻撃コード(信頼度 High)がある」かつ、\n「NW から攻撃可能」かつ、\n「権限なしで攻撃可能」かつ、\n「CVSS が9.0以上」かつ、\n「JPCERT 注意喚起の対象」\nな脆弱性は Danger フラグを自動でつける\n監査ログのメソッド名を日本語化\n#\n本機能は CSIRT プランのみ対象です\nユーザの操作履歴を表示する監査ログ画面をアップデートしました。\nこれまでリクエストしたメソッドの名前を API 名で表示していましたが、メソッドを日本語で表示するように変更し操作内容がよりわかりやすくなりました。\nデータの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。\nスペシャル警戒タグ登録時にメールで送信可能に\n#\n本機能は CSIRT プランのみ対象です\n2020年9月4日のリリース\nで脆弱性に独自の警戒タグを設定できるようになりましたが、今回のアップデートでスペシャル警戒タグ登録時にオーガニゼーション所属のメンバに対してメール通知できるようになりました。\nなお、ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。\nその他\n#\nリスト表示ページを最適化し表示時間を短縮化しました。\n設定ページの一部レイアウトを調整しました。",
      "date_published": "2020-10-30T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-10-30"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200904/",
      "url": "https://help.vuls.biz/releasenotes/20200904/",
      "title": "[FutureVuls] 2020-09-04",
      "content_text": "2020-09-04 リリース内容\n#\n今回のリリースでは以下を変更しました。\n監査ログ機能を追加\n#\n本機能は CSIRT プランのみ対象です\nオーガニゼーションに所属しているユーザの操作履歴を表示、CSV ダウンロードできるようになりました。\nオーガニゼーションに所属しているユーザの操作履歴を表示できます。\nデータの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。\nまた、矢印アイコンをクリックすることで CSV 形式にてダウンロード可能です。\n取得、表示できる項目は以下の通りです。\n項目名\n説明\nステータス\nリクエストが成功したか失敗したかを表示(SUCCESS, ERROR)\nエラーメッセージ\nリクエストにエラーが発生した時のエラーメッセージ\nグループセット名\nグループセット名(グループセットの操作をした場合のみ表示)\nグループ名\nグループ名(グループの操作をしたときのみ表示)\nリクエスト日時\nリクエストをした日時\nユーザ名\nリクエストしたユーザ名\nIPアドレス\nリクエストしたユーザのIPアドレス\nエンドポイント\nリクエストしたメソッドの名前\nパラメータ\nリクエストしたパラメータの名前\n注意点は以下のとおりです。\nパラメータが長い場合テーブル上ですべての表示ができないため、セルコピーを利用するか、CSV ダウンロードして内容を確認してください\nパスワード等の機密情報はマスキングされて表示されます\nログイン、ログアウトはオーガニゼーション外の操作となるため、オーガニゼーションの操作ログとしては残りません\nオーガニゼーション設定のメンバ一覧に二要素認証の有無とメール検証の有無の項目を追加\n#\nオーガニゼーション一覧で、所属しているユーザの二要素認証の設定有無とメール検証の有無を確認する項目を追加しました。\n二要素認証の設定有無とメール検証の有無はその都度確認しているわけではなく、バックエンドで定期的にチェックしており、その内容が反映されます。\nしたがって、ユーザが設定を変更して即座に反映されるわけではありません。\nスペシャル警戒タグ機能を追加\n#\n本機能は CSIRT プランのみ対象です\n脆弱性情報に対して、独自の警戒タグを設定できるようになりました。\n自組織で定めるオリジナルな警戒度情報を CVE-ID に紐づけすることで、タグごとの脆弱性管理が可能です。\n警戒タグはオーガニゼーション単位で管理されます。\nスペシャル警戒タグの管理は、オーガニゼーション設定のページから行えます。\n特定のタグが着いた脆弱性一覧を表示したり、\n特定の期間にタグが登録された脆弱性一覧を表示したりできます。\nスペシャルタグ登録日時を範囲指定でフィルタする方法\n#\nまず、登録日時カラムの日時入力欄の右側にあるアイコンをクリックします。\n検索方法を「範囲で指定」に切り替え、「開始日」と「終了日」を入力すれば、指定の範囲内に登録されたタグのみが表示されます。\n※「終了日」で指定した日に登録されたタグは\n範囲外\nになります。\nExploit情報源に新たにMetasploitを追加\n#\n検知した脆弱性を突く PoC や Exploit がインターネットに公開されると、攻撃されるリスクが高くなります。\nFutureVuls はこれまでも、検知された CVE-ID に PoC, Exploit が公開されているかを表示していました。\n今回のリリースで GitHub 上の\nmetasploit-framework\nを新たな情報源として追加しました。\nCPEダイアログチューニング\n#\nCPE 追加画面ダイアログの CPE 名入力補完ロジックを変更しました。\nCPE 名の入力時に該当 CPE の検索を高速化し、スペース区切りでの絞り込みができるようになりました。\nテキストメールへの対応\n#\nVuls の通知メールをテキストメールに対応しました。\n今までは HTML メールのみの対応となっていましたが、今回のリリースでテキストメールの形式にも対応しました。\n不具合修正\n#\nlinux scannerのバグフィックス\n#\nスキャナの更新が必要です。\nRed Hat 系の\nkernel-devel\nのバージョンが複数インストールされている場合に、\n実行中カーネルではないバージョンのものが選択されてしまうという不具合を解消しました。\n不具合を解消するためには、\nスキャナの更新\nが必要です。\nほかいくつかのバグを修正しました。",
      "date_published": "2020-09-04T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-09-04"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200807/",
      "url": "https://help.vuls.biz/releasenotes/20200807/",
      "title": "[FutureVuls] 2020-08-07",
      "content_text": "2020-08-07 リリース内容\n#\n今回のリリースでは以下を変更しました。\nスキャナのバグフィックス\n#\nUbuntu Linux 上で稀に FutureVuls にスキャン結果をアップロードできない問題がありましたが今回のリリースで解決されました。\n該当する方は\nスキャナの更新\nを参考にしてスキャナを最新版に更新して下さい。\n各スキャン対象上のスキャナのバージョンは\nグループ設定 > スキャン履歴\nより確認可能です。\nタスクタブの改良\n#\nタスク\nのタブ順番を脆弱性ページと同様に、対応の時系列順に並べました。\nまた、「新着」タブを廃止し、「対応中」タブを追加しました。\nタブ名\n取得するタスク\n未対応\nステータスがNEWで、かつ、非表示設定されていないタスク一覧\nマイタスク\n対応済ではなく、かつ、主担当または、副担当に自分が設定されているタスク一覧\n対応中\n対応済みではない、かつ、未対応でもないタスク一覧\n期限切れ\n対応済みではない、かつ、対応予定日が過去のタスク一覧\n対応済\n「ステータスが WORKAROUNDまたはPATCH_APPLIED」または、非表示設定されているタスク一覧\nすべて\nすべてのタスク一覧\nタスクリストにDanger列とサーバタグ列を追加\n#\n脆弱性の\nDangerフラグ\nと、\nサーバタグ\nをタスクリストに表示するように変更しました。\nこれにより例えばタスクタブにて「Danger」な脆弱性かつ「機密情報あり」タグを設定中のサーバのタスクをフィルタし、タスクステータスを変更するといった操作が可能となりました。\n自分のタスクコメントを削除可能に\n#\n自分が登録したタスクのコメントを削除できるようになりました。\n不具合修正\n#\nその他複数の不具合を修正しました。",
      "date_published": "2020-08-07T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-08-07"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200729/",
      "url": "https://help.vuls.biz/releasenotes/20200729/",
      "title": "[FutureVuls] 2020-07-29",
      "content_text": "2020-07-29 リリース内容\n#\n今回のリリースでは以下を変更しました。\n担当者のインクリメンタルサーチが可能に\n#\nFutureVuls では登録されたサーバや検知された脆弱性のタスクに担当者を設定できます。\n今回のリリースでは担当者をインクリメンタルサーチで絞り込んで設定可能になりました。\n数十人が所属するグループでも、担当者に設定したいユーザをすぐに設定できるようになりました。\n「サーバ」>「脆弱性×タスク」へ Microsoftのスコアを追加\n#\nこれまで「脆弱性」一覧にのみ表示していた Microsoft のスコアを「サーバ」>「脆弱性×タスク」内にも追加しました。\n前回追加した\nwindows資産管理機能強化\nとあわせてご利用ください。\nPublicAPIのURLが一部変更されました\n#\nhealth の API URL が\n\"https://rest.vuls.biz/v1/health\"\nから\n\"https://rest.vuls.biz/health\"\nへ変更されました。\n不具合修正\n#\n第1ペインのリストを検索してから第2ペインを閉じた場合に、画面で表示される件数がリセットされる問題を含めて、画面上の不具合を修正しました。",
      "date_published": "2020-07-29T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-07-29"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200717/",
      "url": "https://help.vuls.biz/releasenotes/20200717/",
      "title": "[FutureVuls] 2020-07-17",
      "content_text": "2020-07-17 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nWindows資産管理機能強化\n#\nFutureVuls の Windows 用スキャナは\nWindowsに未適用のKB\nに含まれる CVE-ID の検知と管理が可能です。\n今回のリリースでは KB の検知に加えて資産管理系の機能が強化されました。\nインストール済みのアプリや KB を\nサーバ > ソフトウェア\nで参照可能に\nインストール済みのアプリや KB の\nグループ横断検索\nが可能に\nWSUS 配下の Windows PC の KB も検知可能に\nFutureVuls にアップロードする情報をカスタマイズ可能に\nresults フォルダ(検知結果格納用)を自動掃除\n今回のリリースは Windows PC のみが対象であり、Linux 用のスキャナのアップデートは必要ありません。\n本機能を利用するためにはWindows用スキャナを\nv0.1.8\n以上にアップデートして下さい。\nWindows用スキャナのアップデート手順、バージョンの確認方法は\nスキャナ\nを参照して下さい。\nインストール済みのアプリやKBをサーバ>ソフトウェアで参照可能に\n#\n本機能は Windows が対象です。\nFutureVuls 管理対象の Windows PC にインストール済みのアプリや KB は\nサーバ > ソフトウェア\nに表示されます。自分でインストールしたアプリも表示されます。\nインストール済みの KB も表示されます。\nインストール済みのアプリやKBのグループ横断検索が可能に\n#\n本機能は\nCSIRTプラン\nのオーガニゼーションのみ利用可能です。\n本機能は Windows が対象です。\nこれまでの\nCSIRT > グループ横断検索\nでは Linux のパッケージや CPE, アプリケーション依存ライブラリがソフトウェア検索の対象でしたが、今回のリリースで\nWindows PCにインストール済みのアプリやKBも検索可能\nになりました。\nこの機能は以下のようなケースで役に立ちそうです。\nある朝、自宅でネットニュースを見ていたセキュリティ部門所属のあなたは、あるWindwos用人気アプリにCVE-ID未割り当て状態の高リスクな脆弱性が公開されたことを知ります。\n脆弱性情報を調査したところ危険な脆弱性でPoCも公開されており攻撃も観測され始めているため一刻も早いアップデートが必要なようです。\nこの人気のアプリは社内でよく使われていますが、どのPCにインストールされているかはわかりません。\nあなたは全社員にアプリをアップデートするようにメールを送付します。\nその後、社員がメールを見たかどうか、また本当にアップデートしたどうか、それは誰にもわかりません。。。\n今回のリリースでは上記のようなケースで真価を発揮します。\nFutureVuls 画面上からソフトウェア名を横断検索することで、組織内で影響のある PC やインストールされているバージョンを瞬時に把握し、その後の対応を素早く行うことが可能となります。\nまた後日、アップデートせずに放置している PC を特定できるため、注意喚起後の対応状況の追跡にも役に立つ機能です。\nWSUS配下のWindows PCのKBも検知可能に\n#\n本機能は Windows が対象です。\nこれまでの FutureVuls はインターネット上の Windows Update を参照していたため、Local ネットワークの WSUS 配下にある Windows PC で未適用な KB の一覧を取得できませんでした。\n今回のアップデートから config.toml の設定をすることで、Local ネットワーク上の WSUS を参照して未適用な KB を検知することが可能となりました。\nWindows Update のアクセス先を変更する場合は、config.toml の WinUpdateSrc を以下のように設定して下さい。\nインターネット上の Windows Update は\"2\"を指定(デフォルト)\n[Servers]\n[Servers.localhost]\nHost\n=\n\"localhost\"\nUUID\n=\n\"xxx-xxx-xx\"\nWinUpdateSrc\n=\n\"2\"\nLocal の WSUS は\"1\"を指定\n[Servers]\n[Servers.localhost]\nHost\n=\n\"localhost\"\nUUID\n=\n\"xxx-xxx-xx\"\nWinUpdateSrc\n=\n\"1\"\nFutureVulsにアップロードしない情報を設定可能に\n#\n本機能は Windows が対象です。\nconfig.toml の\nIgnoredJSONKeys\nに JSON の key を配列形式で定義してください。\nサンプル：インストール済みのアプリ一覧をアップロードしない設定\n[Servers]\n[Servers.localhost]\nHost\n=\n\"localhost\"\nUUID\n=\n\"xxx-xxx-xx\"\nIgnoredJSONKeys\n=\n[\n\"packages\"\n]\nconfig.toml に指定する JSON キーは以下の手順で確認して下さい。\ndebug フラグを付けて vuls.exe を実行\nC:\\Program Files\\vuls-saas>vuls.exe -debug\nresults 以下に作成された json ファイルをエディタで確認する\nresultsフォルダ(検知結果格納用)を自動掃除\n#\n本機能は Windows が対象です。\nこれまでは\nC:\\Program Files\\vuls-saas\\results\\\nフォルダ以下に検知結果の JSON を残していましたが、今回のリリースによりスキャン終了時にデフォルトで削除するようにしました。results 以下にファイルを残したい場合は、\n-debug\nフラグをつけて実行して下さい。\nC:\\Program Files\\vuls-saas>vuls.exe -debug",
      "date_published": "2020-07-17T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-07-17"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200703/",
      "url": "https://help.vuls.biz/releasenotes/20200703/",
      "title": "[FutureVuls] 2020-07-03",
      "content_text": "2020-07-03 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nアプリケーション依存ライブラリの脆弱性スキャン機能強化\n#\n本機能を利用するためには FutureVuls のスキャナを v0.10.0 にアップデートする必要があります。\nアップデート手順、バージョンの確認方法は\nスキャナ\nを参照して下さい\nOS パッケージの脆弱性だけではなく、アプリケーション依存ライブラリの脆弱性も日々公開されており、リスクの高いものはスピーディーに対応していく必要があります。\nFutureVuls ではこれまで以下の方法で\n依存ライブラリの脆弱性検知\nをサポートしていました。\nGitHub Security Alerts連携\nCPEを指定する機能\n今回のリリースにて、サーバ上に配置されている Lockfile のパスを指定して依存ライブラリの脆弱性をスキャンすることが可能となりました。\n2020年7月3日時点でスキャン可能な Lockfile は以下の通りです。（Java は\nGitHub Security Alerts連携\nをご利用下さい）\nLang\nlockfile\nRuby\nGemfile.lock\nPython\nPipfile.lock, poetry.lock\nPHP\ncomposer.lock\nNode.js\npackage-lock.json, yarn.lock\nRust\nCargo.lock\n本機能はローカルスキャン、リモートスキャンの両方に対応しています。\nローカルスキャンの動作\n#\nconfig.toml に、スキャン対象の LockFile のパスを指定します。scan 時に指定されたパスの Lockfile を解析し依存ライブラリのリストを取得します。\nリモートスキャンの動作\n#\nconfig.toml に、スキャン対象サーバ上の LockFile のパスを指定します。scan 時に SSH で接続したリモートサーバの指定したパスの Lockfile を解析し、依存ライブラリのリストを取得します。\n設定方法\n#\n/opt/vuls-saas/config.toml に lockfile のパスを指定して下さい。\n[\nservers\n]\n[\nservers.sample\n]\nuser\n=\n\"vuls-saas\"\nhost\n=\n\"localhost\"\nport\n=\n\"local\"\nfindLock\n=\ntrue\n# auto detect lockfile\nlockfiles\n=\n[\n\"/home/user/lockfiles/package-lock.json\"\n,\n\"/home/user/lockfiles/Gemfile.lock\"\n,\n\"/home/user/lockfiles/yarn.lock\"\n]\nスキャン後のパッケージは、OS パッケージ同様、ソフトウェアとタスクに表示される\n本機能を利用するためには FutureVuls のスキャナを v0.10.0 にアップデートする必要があります。\nアップデート手順、バージョンの確認方法は\nスキャナ\nを参照して下さい\ntrivy連携の改良\n#\nCI/CD パイプラインでの Docker イメージのスキャンが可能な\ntrivy連携\nでスキャンした場合に、Docker イメージ内の依存ライブラリ情報が画面で表示されるようになりました\nサーバ一覧に補足情報を表示可能に\n#\nサーバ詳細画面にて、サーバの任意の補足情報を登録可能となりました。\n追加された補足情報はサーバ一覧と詳細ページにて確認できます。\nサーバ一のタグを一括登録可能に\n#\nサーバ一覧にて複数選択後、「サーバを編集」ボタンよりサーバタグを一括登録可能になりました。\nバグフィックス\n#\nグループ設定のスキャン履歴でスキャナのバージョンが取得できていない問題を修正\nスキャンの履歴にて、スキャナのバージョンが取得されていない問題があったので、修正しました。\n今後のスキャンではスキャナイメージが表示される様になります。",
      "date_published": "2020-07-03T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-07-03"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200515/",
      "url": "https://help.vuls.biz/releasenotes/20200515/",
      "title": "[FutureVuls] 2020-05-15",
      "content_text": "2020-05-15 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n自動Danger,自動非表示の条件にサーバタグを指定できるように\n#\n※こちらは\nCSIRTプラン\nの機能です\n今まで: 自動 Danger と自動非表示はオーガニゼーションの全サーバに対して適用されていた。\nこれから: 自動 Danger と自動非表示の条件にサーバタグを指定できるように\nサーバタグフィルタにより柔軟な自動トリアージが可能となっています。\nこれにより、例えば\n「社内システム」タグがつけられているサーバの、\nネットワークから攻撃されない\n脆弱性は、リスクが低いとみなして自動で非表示にすることが可能となります。\nまた、逆に\n「個人情報」タグがつけられているサーバの、\nネットワークから攻撃される脆弱性かつ、\nRed Hat の CVSS が9以上かつ、\nJPCERT/CC, US-CERT の注意喚起情報に掲載さている\n脆弱性は、リスクが高いとみなして自動で Danger にする\nなどが可能となります。\n自動非表示が既存のタスクにも適用されるように変更\n#\n今まで: 自動非表示は\n新しく検知されたタスク\nにのみ適用されていた。\nこれから: 自動非表示は\nステータスがNEWのタスク\nに適用される。\nAWS EC2タグ連携\n#\n今まで: AWS の EC2タグを設定する場合は FutureVuls 上のサーバタグを手動設定\nこれから: AWS の EC2タグを FutureVuls のサーバタグに自動設定\n外部設定で\nAWSの認証情報\nを設定している状態で、AWS で管理されているサーバをスキャンした時、\nEC2のタグをそのまま FutureVuls のサーバタグとして設定するようになりました。\n例えば、AWS 上で\nKey: ENV\n,\nValue: 本番\nと設定してあった場合、\nENV:本番\nというサーバタグが自動で付与されます。\nこれにより、EC2タグを用いて運用されている現場において、\nFutureVuls のサーバタグにも自動で連携が可能となり、\n自動トリアージルールの設定を簡略化できるようになりました。\nなお、AWS EC2からタグを削除しても FutureVuls のサーバタグは削除されません。\nEC2のタグの中から FutureVuls のサーバタグにないものを追加するという仕様です。\nサーバタグの文字数増加\n#\n今まで: サーバタグは20文字\nこれから: サーバタグは400文字",
      "date_published": "2020-05-15T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-05-15"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20200330/",
      "url": "https://help.vuls.biz/releasenotes/20200330/",
      "title": "[FutureVuls] 2020-03-30",
      "content_text": "2020-03-30 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nコンテナイメージスキャン機能の追加\n#\nFutureVuls 上で Amazon ECR と Google Container Registry 上のコンテナイメージに含まれる脆弱性を管理可能になりました。\nAWS, GCP の連携設定をすると、毎日1回、自動でスキャンを実施します。また、画面上から「手動スキャン」も可能です。\n詳細は\nヘルプページ\nを参照ください。\nなお、上記 ECR, GCR 連携機能の対象はコンテナに含まれるパッケージのみが対象です。\nコンテナイメージに含まれるアプリケーションライブラリの脆弱性は\n外部連携 GITHUB SECURITY ALERTS\nでの検知がおすすめです。\n一覧表示処理の最適化\n#\nタスクや脆弱性の一覧表示部分についての処理を最適化しました。\nデータの読み込みと表示部分のロジックを改善し、多数のタスクがある場合でも、すべてのタスクを読み込み終えるまでの時間が大幅に短縮しました。",
      "date_published": "2020-03-30T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2020-03-30"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20191217/",
      "url": "https://help.vuls.biz/releasenotes/20191217/",
      "title": "[FutureVuls] 2019-12-17",
      "content_text": "2019-12-17 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nコンテナイメージスキャン機能の追加\n#\n今回のリリースでコンテナイメージのスキャンが実行できるようになりました。\n外部連携をすることで、Amazon ECR に存在するプライベートイメージのスキャンも可能です。\nまた、パッケージなどの脆弱性スキャン以外に、\nDockle\nによるコンテナイメージのチェックも可能です。\nこれによりコンテナイメージの作成方法やセキュリティリスクを、従来とは別の角度からチェックできます。\n自動で最新のイメージをチェック\n#\nDocker Registry API を利用することにより、最新のタグを自動で取得し、動的に最新のイメージのチェックが可能になります。\nそのため、CI/CD のスピードが速い現場でも導入しやすくなっております。\n特定のバージョンだけをスキャンしたい場合は、タグを指定してスキャンすることも可能となっています。\nスキャンの頻度\n#\n毎日１回自動スキャンが実行されます。\n手動でオンデマンドに実行できる「手動スキャン」も可能です。\n詳細は\nヘルプページ\nをご確認ください。",
      "date_published": "2019-12-17T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-12-17"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20191011/",
      "url": "https://help.vuls.biz/releasenotes/20191011/",
      "title": "[FutureVuls] 2019-10-11",
      "content_text": "2019-10-11 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nCSIRT向けプランの追加\n#\n社内全体の脆弱性管理を担当する CSIRT 向けのプラン(以下、CSIRT プラン)を追加しました。\nCSIRT プランでは部門やグループ会社のシステム群に潜在する脆弱性を横断的に把握・トリアージ・対応依頼・対応状況の追跡などをサポートする機能を搭載しています。\nCSIRT プランは最低台数100台からの契約となり、年間サブスクリプション料金は300万円です。\n大規模導入の場合は、通常の一台月額4,000円プランよりも1台あたりの料金を抑えられます。\nボリュームディスカウントの相談・オンラインデモ・訪問説明など可能ですのでお問い合わせ下さい。\nグループセット(CSIRTプラン)\n#\nこれまでは運用者がそれぞれのグループで単一システム内の脆弱性を効率的に管理・対応するという思想で作っていました。\nしかしながら、規模の大きいシステム群を管理する方々から「複数グループをより効率的に管理したい」というお声をいただいておりました。\nそこで、複数のグループをまとめた「グループセット」ごとに脆弱性を管理する機能を開発し、複数グループの脆弱性を1画面で横断的に管理しやすくなりました。\nCSIRT プランではトリアージ方針が似ているグループを同一のグループセットでまとめることで CSIRT はトリアージと対応指示を効率的にできるようになります。\n例えば\n社内システム用グループセットは機密性、完全性は重視するが可用性は重要視しない\nB2C 事業を提供する子会社のグループセットはサービス停止すると大損害なので可用性を重視する必要があるので DoS 系脆弱性も対応する\nなどといったようにシステムの特性に応じたグループセットを作成し、特性に応じたトリアージを行えるようになります。\n脆弱性タブ(CSIRTプラン)\n#\nグループセットに含まれる脆弱性を一覧表示します。\nCSIRT がグループセットに含まれる脆弱性への対応が必要かを確認、リスクを許容可能な脆弱性は「関連するタスクを非表示」することで、\nグループセット内の複数グループのタスクを横断して非表示にできます。\nCSIRT が低リスクな脆弱性を一括で非表示することで、運用者にはリスクの高い脆弱性のみを表示し、対応を依頼できます。\nそれぞれの脆弱性に対して、詳細情報・CVSS ベクター・攻撃コードの有無・警戒情報などがまとめられた「詳細タブ」、調査した内容を掲示板のように投稿する「トピック」タブ、脆弱性を含むサーバを確認できる「タスク×サーバ」タブが用意されています。\nまた、グループセットごとに重要フィルタを設定できます。\n重要フィルタはスコア・CVSSv3ベクター・JPCERT/CC, US-CERT の注意喚起情報の有無を AND 条件で指定できますので、たとえば「Red Hat の CVSS スコア9以上かつ Network から攻撃可能なもの」や「権限なしで攻撃できるかつ、可用性に影響のあるもの」といった条件をグループセットの特性に応じて指定してください。\nソフトウェアタブ (CSIRTプラン)\n#\nグループセット内のソフトウェアをソフトウェア名で横断検索できます。\ncurl\nや\nruby\nなどで検索すると関連するソフトウェアが表示され、それぞれのソフトウェアがインストールされているサーバ、バージョン情報、アップデートの有無、脆弱性情報一覧などが確認できます。\nユースケースとしては、まだ CVE-ID が発番されていない脆弱性情報がニュースなどで流れてきたときに、自社に該当ソフトウェアがあるかや、そのバージョンチェックを横断して調査したいケースで便利です。\n自動トリアージ(CSIRTプラン)\n#\n一定の基準に当てはまる脆弱性を自動的に Danger 指定する「自動 Danger」と、逆に一定以下の脆弱性を自動的に非表示にする「自動非表示」を設定できるようになりました。\n自動トリアージはオーガニゼーションに対して適用され、スコア・CVSSv3ベクター・JPCERT/CC, US-CERT 注意喚起情報の AND 条件で複数設定できます。\nDanger 指定をすると、脆弱性タブで該当する行が赤くなり目立つようになります。\n特に必須で対応しないといけない脆弱性を注意喚起するために自動 Danger をお役立てください。\nまた、物理でしか攻撃できない・管理者権限がないと攻撃できない、などといったリスクを受容すると判断した脆弱性は自動非表示を設定し、トリアージ業務の負担を軽減してください。\nその他の機能追加\n#\n重要フィルタをより細かく\n#\n重要フィルタがより細かく設定できるようになりました。\nこれまで重要フィルタは「スコア」「NW から攻撃可能」「権限なしで攻撃可能」「JPCERT/CC, US-CERT の注意喚起情報あり」のみが設定可能でしたが、\nより細かく設定できるように変更し、\nNVD/JVN/Red Hat/Microsoft の各 CVSS スコア、CVSSv3の各ベクター、JPCERT/CC, US-CERT の注意喚起情報の13項目の組合わせで重要フィルタを設定できるようになっています。\n各グループごとに重視したい項目を設定し、トリアージにお役立てください。",
      "date_published": "2019-10-11T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-10-11"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190919/",
      "url": "https://help.vuls.biz/releasenotes/20190919/",
      "title": "[FutureVuls] 2019-09-19",
      "content_text": "2019-09-19 リリース内容\n#\n今回のリリースでは以下を変更しました。\n機能追加\n#\nDeep Security as a Serviceとの連携を強化\n#\nFutureVuls で検知した脆弱性が DSaaS の IPS で防御されているかを FutureVuls の画面上で表示できるようになりました。\nまた、DSaaS で防御されている脆弱性タスクは自動で WORKAROUND の状態に変更されますのでトリアージがさらに楽になります。\nこの機能を有効にするためには、FutureVuls 上で DSaaS の API キーを登録し、DeepSecurity のエージェントをインストールしたあと、FutureVuls で再度スキャンする必要があります。\nAPI キーの権限設定は\nヘルプページ\nをご確認ください。\n日次スキャンレポートの実装\n#\n24時間以内に初めて検知された脆弱性の日次レポートを実装しました。\n朝8:00過ぎにメールでレポートが届きます。\nレポートの内容は以下の通りです。\n24時間以内に初めて検知した重要な脆弱性の数\n24時間以内に初めて検知したその他の脆弱性の数\nサーバ別、深刻度別脆弱性数のテーブル\nなお、配信を停止する場合は、\nプロフィール画面\nから設定できます。\nレポートサンプル",
      "date_published": "2019-09-19T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-09-19"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190802/",
      "url": "https://help.vuls.biz/releasenotes/20190802/",
      "title": "[FutureVuls] 2019-08-02",
      "content_text": "2019-08-02 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nトリアージ支援機能　「NW攻撃可能か」「権限なしで攻撃可能」のRed Hatの列を追加\n#\nこれまで用意していた「Red Hat の CVSS スコア」や「Red Hat の深刻度」に加えて、「NW から攻撃可能か」「権限なしで攻撃可能」についても Red Hat 版を用意しました。\nCentOS や RHEL 環境では、NVD の情報よりもベンダ1次情報である Red Hat の情報もとに判断したほうがトリアージ（脆弱性対応判断）が捗ります。\nトリアージが捗る理由としては、Red Hat のほうがスコアが低くつけられているケースが多々あり、例えば、\nCVSS が Red Hat は3.8だが、NVD では9.8\nAV: 攻撃元区分 (Access Vector)が、Red Hat は Local だが、NVD では Network\nPR: 必要な特権レベル(Privileges Required)が Red Hat は高(H)だが、NVD では低(L)\nといったように CVSS スコア、CVSS Base Metrics が、Red Hat と NVD で異なっている（NVD は別 OS 環境を考慮した結果、Red Hat のものよりも深刻と判断されている）ものが多く、Future Vuls 上でのトリアージ作業の支障となるケースが多々あるためです。\n脆弱性リストの\n「表示項目の編集」アイコン\nから表示・非表示を切り替えることができます。\nCentOS や RHEL を利用中の方はお試しください。\n参考:\nIPA 共通脆弱性評価システムCVSS v3概説\n脆弱性詳細の項目並び順変更\n#\n脆弱性詳細のページに表示されるサマリ・CVSS スコアの並び順を変更しました。\nこれまでは JVN → NVD → Red Hat → Microsoft の順に表示していました。各ディストリビューションの情報を優先するため、Red Hat → Microsoft → JVN → NVD の表示順へ変更しました。\nソフトウェアリストのバージョン・リリース列を統合\n#\nこれまでソフトウェアリストのバージョン・リリースを別の列で表示していました。「インストール済みバージョン」と「アップデート可能なバージョン」を見比べる際に列が統合されている方が確認しやすいため列を統合しました。\nまたアップデード可能なソフトウェアを ！マークで強調して表示するよう変更しました。\n新規作成時のナビゲーションにヘルプへのリンク追加\n#\n新規登録したユーザがオーガニゼーションやグループの作成で迷わないよう、該当部分にヘルプページのチュートリアル( /tutorial/ )へのリンクを追加しました。",
      "date_published": "2019-08-02T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-08-02"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190705/",
      "url": "https://help.vuls.biz/releasenotes/20190705/",
      "title": "[FutureVuls] 2019-07-05",
      "content_text": "2019-07-05 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nRHEL8サポート\n#\nRed Hat Enterprise Linux 8に対応しました。\n本日から RHEL8のスキャンが可能です。\nRHEL8のスキャンには\nスキャナの更新\nが必要です\n検知された脆弱性の対応判断支援を強化\n#\n脆弱性タブのメニューを変更\n#\nタブメニューを一新しました。\nスキャンして検知された脆弱性は、まずは一番左の未対応なタブに表示されます。\nそれぞれの脆弱性ごとに対応要否を判断し、非表示にするか、対応する場合はタスクを更新すると「未対応」なままの脆弱性が減っていきます。\n左側「未対応」な放置されている脆弱性をどんどん減らして、右側の対応中、対応済みに振り分けていくイメージです。\n以下にそれぞれのタブの意味を説明します。\n重要な未対応\n#\n「重要フィルタ」で絞り込まれた脆弱性に関連するタスクのうち、1つでも未対応ステータスがある脆弱性が表示されます\n未対応ステータスとは、「非表示ではない」かつタスクステータスが「new」のもの、つまり、放置されている脆弱性のことです。\nその他の未対応\n#\n「重要フィルタ」で該当\nしない\n脆弱性に関連するタスクのうち、1つでも未対応ステータスなままの脆弱性が表示されます。\n対応済み\n#\nその脆弱性に関連するタスクすべてが対応済みステータスのものが表示されます。\n対応済みとは、タスクのステータスが「PATCH_APPLIED」「WORKAROUND」または、非表示のものです。\n対応中\n#\n現在対応中の脆弱性が表示されます。\n正確には、未対応ではない、かつ、対応済みではない脆弱性が表示されます。\n脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示\n#\n検知した脆弱性に該当するパッケージのうち、プロセスが起動しているものや、ネットワークポートを開いて Listen しているものがあるかをアイコンで表示します。\nインターネットや LAN からネットワーク経由で攻撃される脆弱性の対応判断に役に立つ情報です。\nプロセス起動状況やポートの情報は、脆弱リスト、タスクリスト、ソフトウェアリストから確認できます。\n本機能は\nスキャナの更新\nが必要です\nWill not fixな脆弱性を検知しないように\n#\nRHEL と CentOS にて、Red Hat 社がリスクが低いのでパッチを提供しないと判断した脆弱性(パッチ提供ステータスが Will not fix)を検知しないようにしました。\nこれにより Red Hat が低リスクと判断した脆弱性を除外した状態で判断が可能となります。\nまた、過去に検知されていた Will not fix の脆弱性を画面に表示されないように変更しました。\n脆弱性の数、タスクの数が減少していることがありますが、今回の対応によるものです。\nなお、パッチ提供予定のある「Affected」な脆弱性と、将来的に修正される「Fix deferred」「Not Fixed Yet」な脆弱性は引き続き、検知されます。\nRHEL のパッチ提供ステータスは下記ページが参考になります。\nhttps://access.redhat.com/blogs/product-security/posts/2066793\n画面に用いる色を変更しました\n#\n色調の統一や可読性向上のため画面に用いられている色の変更を画面全体に行いました。\n脆弱性一覧の「深刻度」やタスク一覧の「タスクの優先度」は以下のようになりました。\n文字の可読性が向上したとともに、モノクロ印刷をした場合に危険なもの・優先度が高いものほど背景の色が濃くなるように調整されています。\n他にも SSM コマンド履歴やスキャン履歴のステータス、リンクのテキスト、ペインの区切り線などの色も調整しています。\nヘルプページへの反映は今後順次行われる予定です。\n重要フィルタの設定をグループ全体で共有できるように\n#\nこれまではグループのメンバ各々が重要フィルタのルールを設定していました。\n今回の変更により、グループ内でルールを共有するようにし、統一したルールで脆弱性管理ができるようになりました。\n今まで使用していた重要フィルタの設定は使用できなくなります。\nグループ内で相談の上、重要な脆弱性のフィルタを設定してください。(設定はグループ管理者のみ可能です)",
      "date_published": "2019-07-05T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-07-05"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190619/",
      "url": "https://help.vuls.biz/releasenotes/20190619/",
      "title": "[FutureVuls] 2019-06-19",
      "content_text": "2019-06-19 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nIPアドレスを使ったアクセス制限\n#\nIP アドレスのレンジ(CIDR 形式)をオーガニゼーションの設定ページに追加すると IP 制限ができるようになりました。\nIP アドレスの制限の詳細は以下の通りです。\nIP レンジを設定していない場合は、すべての IP アドレスからの接続が許可される\n1つでも IP レンジを指定すると、指定した IP レンジからしかアクセスできない。\n設定者（接続している人）の IP アドレスを制限するような設定はできない。（最初は自分の IP アドレスを指定する必要がある）\n今回の IP 制限で制限されるのは、コンソール画面と、FutureVuls API (スキャナからのアップロードは制限されません)\n設定方法\n#\nオーガニゼーションの設定画面を開き、\nアクセス可能なIPアドレスを登録\nのカードで、\nADD\nをクリックします\n許可したい IP アドレスを CIDR 形式で入力し、送信をクリックする\n以下のように、登録 IP アドレスが表示されれば IP 制限は有効となっています\nバグフィックス\n#\nSSM ドキュメントの内の\nsudo\nを削除しました\nGoogle アカウントでのサインアップを修正しました",
      "date_published": "2019-06-19T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-06-19"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190605/",
      "url": "https://help.vuls.biz/releasenotes/20190605/",
      "title": "[FutureVuls] 2019-06-05",
      "content_text": "2019-06-05 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nAWS連携機能その1: 画面上でアップデート可能になりました\n#\nAWS と連携することで、FurureVuls の画面から AWS 上にある EC2サーバのパッケージアップデートできるようになります。\nEC2サーバのタスクを選択し\nSSMアップデート\nのボタンを押すと、AWS Systems Manager エージェントを経由してアップデートコマンドを実行できます。\nいきなりアップデード試すのが不安な方向けに DRY RUN モードでのアップデートコマンド実行もできます。\nもちろん、実行結果も FurureVuls の画面から確認できます。\nこの機能は\nグループ設定 > 外部連携 > AWS\nから、IAM ロールまたは API キーで認証すると利用できるようになります。\nssh ログインせずにソフトウェアのアップデードを行えるようになるこちらの機能、AWS にて環境を構築しているならぜひお試しください。\nマニュアル\nAWS認証設定\nパッケージアップデート\nAWS連携機能その2: 画面上でスキャンが可能になりました\n#\nソフトウェアアップデート後にすぐにスキャン結果を確認したい時に便利な機能です。\n詳細はマニュアルを参照してください。\nマニュアル\nAWS認証設定\nスキャン\nこの機能を利用するためには\nスキャナのアップデート\nを行ってください。\nチュートリアル記事を公開しました\n#\nヘルプページに\nチュートリアル記事\nを公開しました。\n登録から、スキャン、検知した脆弱性のトリアージ方法などを順を追って解説しています。\nぜひ一読ください。\nタスクのリストにパッチ提供ステータスの欄を追加\n#\nタスクのリストにパッチ提供ステータスの欄を追加しました。\n「すでにパッチが提供されているかだけでなく、これからパッチが出る可能性があるのかといった提供ステータスを一覧から確認したい」という声にお応えしてタスクのリストにパッチ提供ステータスの欄を追加しました。\nタスクを振り分ける際の参考としてお役立てください。\nRedHatの深刻度の欄を追加\n#\n脆弱性のリストに RedHat の深刻度の欄を追加しました。\n「主に RHEL や CentOS を利用しているので、RedHat のスコアをもとにした深刻度を表示させたい」という声にお応えして、脆弱性のリストに RedHat の深刻度の欄を追加しました。\n深刻度\nにはこれまで通り、NVD・JVN・RedHat・Microsoft の v2/v3スコアの中から最も数値の高いものを元に CRITICAL/HIGH/MEDIUM/LOW/NONE で表示します。\nRedHat のスコアは NVD・JVN と比べて低くなることが多いため、RHEL ベースの OS を多く利用される方は\nRedHatの深刻度\nも参考してください。\nリストの重要なものをアイコンで表示\n#\nリスト内の○☓表記のうち重要なものをアイコンで表示するようにしました。\n警戒情報\n・\n攻撃コードあり\n・\nOS再起動が必要\n・\nプロセス再起動\nがアイコン化されています。\nパッチ提供の欄を三段階で表示\n#\nパッチ提供の欄を三段階で表示するよう変更しました。\nこれまでは〇✖でのみの表示でしたが、すべてのパッケージにパッチが提供済み：〇、いくつかのパッケージのみパッチ提供済み：△、パッチ提供がない：✖ の3段階で表示するように修正しました。\nバグフィックス\n#\nUbuntu18のスキャンが失敗する問題を修正しました。Ubuntu18でスキャンに失敗する場合は\nスキャナのアップデート\nを実施してください。\nRHEL, CentOS でパッチ提供ステータスが「Affected」な脆弱性も検知対象としました(\n参考\n)。\nUbuntu14, 16, 18でカーネルの脆弱性検知ロジックを改善しました。",
      "date_published": "2019-06-05T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-06-05"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190410/",
      "url": "https://help.vuls.biz/releasenotes/20190410/",
      "title": "[FutureVuls] 2019-04-10",
      "content_text": "2019-04-10 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nパッチ提供予定のないタスクを自動で非表示に\n#\nWill not fix とは、今後のパッチ提供が予定されていない、重要でないと判断されている脆弱性を指します。これまで FutureVuls では高い検知能力のため、これらの脆弱性も検知可能であったため、タスクの仕分けの手間が増えていました。\n今回のリリースで以下の条件の場合、自動で「脆弱性情報に対して何らかの変更があるまで非表示」するタスクとして追加されます。\n新規で作成されるタスク\nサーバの OS が CentOS もしくは Red Hat\n関連パッケージのパッチ提供ステータスがすべて「Will not fix」\nグループ設定画面で「パッケージが WillNotFix のタスクを自動的に非表示にする」が ON になっている\nこの設定はグループ設定画面の「パッケージが WillNotFix のタスクを自動的に非表示にする」にて切り替えできます。\n運用の負荷軽減のためにお役立てください。\n攻撃コードの情報ソースを増強しました\n#\n攻撃コードが公開された直後から攻撃が増加する傾向にあるため、検知された脆弱性の攻撃コードが公開されているかどうか、は対応の緊急度を判断する際に非常に重要な判断要素です。\nFutureVuls では、これまでは ExploitDB をデータソースとして表示していましたが、今回のアップデートで情報ソースを大幅に拡充しました。\n1億以上ある GitHub プロジェクトを独自スクリプトでクロールして攻撃コードを収集\n大量の PoC、攻撃コードが掲載されているページを解析して収集\n脆弱性に攻撃コードが公開されているリストから確認でき、さらに詳細画面に攻撃コードのリンクが貼られています。\n現状値の攻撃される可能性への反映や、緊急度を判断する際の参考としてお役立てください。\nアップデート前のバージョンに戻す方法を表示\n#\nyum を用いる OS に対してのロールバックコマンドが表示されるようになりました。\n「脆弱性を解消するためパッケージのアップデートを行ったが、不具合が生じたため元のバージョンに戻したい」、というときのためのコマンドが\nアップデートコマンド\n内で表示されるようになりました。\nいざというときにお役立てください。\nDeepSecurityで同名の複数ポリシーの更新が可能に\n#\n同名のポリシーが複数ある場合に、同名のポリシーを同時に更新できるようになりました。\n以下の画像のように\n[Vuls] サーバロール名\nで設定したポリシーをすべて更新します。\nGoogleアカウントでのユーザ新規登録が可能に\n#\nGoogle のアカウントを用いたオンラインサインアップに対応し、より簡単にアカウントが作成できるようになりました。\nまだアカウントを作成されていないなら、この機会にぜひ作成してみてください。\nすでに作成済みのアカウントへ Google アカウントからログインする機能も後日実装予定ですので、しばらくお待ちください。\n以前閲覧していたグループへ自動で遷移するように\n#\nこれまで、ログインした後に閲覧するオーガニゼーション・グループを選択する画面が表示されていましたが、今回のアップデードで以前閲覧していたグループの脆弱性ページへ自動で遷移するようになりました。\n他のグループや他のオーガニゼーションを確認したい場合は、左上のグループ切り替えメニューや右上の\nプロフィール > 所属情報\nから切り替えてください。\nバグフィックス\n#\n第1ペイン「脆弱性」グリッドの、パッチ提供済みカラムの不具合を修正\n#\n以下の場合でパッチ提供済みが☓になっていた不具合を修正しました。\nある CVE が複数サーバで検知されてる\nその中で1つでも「パッチ未提供」なものがある\nCPEベースのスキャンで検知漏れを修正しました\n#\nバージョン番号に()が含まれるケースのような、\nセマンティックバージョニング\nではない CPE を登録していた場合に検知漏れが発生していましたが、修正しました。",
      "date_published": "2019-04-10T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-04-10"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190320/",
      "url": "https://help.vuls.biz/releasenotes/20190320/",
      "title": "[FutureVuls] 2019-03-20",
      "content_text": "2019-03-20 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\nオンラインサインアップ、クレジットカード払いに対応\n#\nこれまで新規登録のために問い合わせをお願いしていましたが、このたびオンラインサインアップができるようになりました。\nFutureVuls から新規登録していただくと、すべての機能を2週間お試しいただけます。\n実際にご自身のサーバをスキャンして危険な脆弱性がないかご確認ください。\nさらにクレジットカードでの支払にも対応いたしました。\nこれを記念して、クレジットカードの登録をしていただいた方に期間限定で\n3ヶ月間サーバ一台のスキャン（3か月×4,000円分計12,000円分）が無料になるクーポン配布キャンペーンを実施中です。\nぜひこの機会に新規登録して FutureVuls をお試しください。\n今後はクレジットカードでの支払を標準としますが、大規模ユーザやクレジットカード払いが出来ない会社様の場合は、請求書払いを検討致しますのでお問い合わせください。\n特に危険な脆弱性に対して注意喚起ができるように\n#\n脆弱性単位で情報共有が可能なトピック機能の投稿時に Danger を指定できるようになりました。\nDanger が指定された脆弱性は脆弱性のリストや詳細表示画面で目立つように表示されます。\n社内のセキュリティ部門の方が、対応が必須な脆弱性を組織内で注意喚起するときに役立ちます。\n重要フィルタのデフォルトを設定\n#\n脆弱性リストの「重要」タブで表示される脆弱性のデフォルトフィルタ条件を変更しました。\n従来の\nCVSSv3スコアが7以上\nという条件に加えて、\nNWから攻撃可能\n権限なしで攻撃可能\nの2つをデフォルトのフィルタ条件として追加しています。\n「重要」タブのフィルタ条件を変更したい場合は、\n「重要」フィルタを編集\nボタンからご自身の環境にあったフィルタへ変更できます。\n攻撃コードがあるときに現状評価基準のEにヒントが出るように\n#\n該当の脆弱性に対して、Exploit Database で攻撃コードが確認されたとき、CVSS スコアの再計算エリアの\nE（攻撃される可能性）\nにヒントが表示されるようになりました。\nExploit Database で攻撃コードが確認された際には、\nE（攻撃される可能性）\nを実証可能・攻撃可能・容易に攻撃可能のいずれかで再計算することをお勧めします。\n脆弱性ページのタブの整理\n#\n脆弱性ページに表示されるタブの種類と名前を以下の6つに変更しました。\n「重要（重要フィルタで絞り込まれた脆弱性）」\n「新規・更新（１ヶ月以内で新規検知または、CVSS スコア・ベクターが更新された脆弱性）」\n「1か月以内検知（１ヶ月以内に検知された脆弱性）」\n「未対策あり（対策されていない脆弱性）」\n「攻撃コードあり（Exploit Database で攻撃コードが確認された脆弱性）」\n「すべて（非表示設定も含めたすべての脆弱性）」\n用途に応じて各タブをお使いください。\nCVSSスコアがない脆弱性をフィルタの対象外としました\n#\nこれまでは脆弱性グリッドなどで、例えば CVSSv3スコア「7」以下でフィルタした場合に、CVSSv3スコアのない（「0」として表示されていた）ものも対象としていました。スコアでフィルタ後に一括で非表示する場合に、スコアがまだついていないものまで一括非表示になってしまう可能性がありました。今回の改修により、スコアのない他の指標で判断すべき脆弱性が、指定スコア以下のフィルタで表示されなくなるため、フィルタ結果を全選択し一括非表示できるようになり、より運用がしやすくなりました。",
      "date_published": "2019-03-20T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-03-20"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190221/",
      "url": "https://help.vuls.biz/releasenotes/20190221/",
      "title": "[FutureVuls] 2019-02-21",
      "content_text": "2019-02-21 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nGitHub Security Alertsと連携しライブラリの脆弱性をより賢く管理できるようになりました\n#\nGitHub にはライブラリの脆弱性検知機能が標準で提供されています（\nドキュメント\n）。\n今回、指定した GitHub リポジトリで検知された脆弱性を取り込み、FutureVuls 上で統合管理できるようになりました。\n手順は、\nGitHub トークンを発行する\nグループ管理者が、グループ設定 > 外部連携より、グループに対して GitHub トークンを登録する\nサーバ > 詳細より連携したい GitHub の\nオーナ/リポジトリ名\nと、トークンを登録する。（実サーバにも、擬似サーバにも紐づけは可能）\n具体的な手順は以下の通りです。\nEdit personal access token\nより GitHub のトークンを発行する（参考:\nGitHub「Personal access tokens」の設定方法\n）\nグループ管理者権限ユーザがグループ設定 > 外部連携より上記で登録したトークンをグループに対して登録する\nサーバ詳細より、連携したい GitHub リポジトリとトークンを選択する\n実サーバの場合は次回スキャン時に連携される。擬似サーバの場合は\n手動スキャン\nボタン押下により即時で反映される\nサーバ > ソフトウェアに該当のライブラリが表示される\nCVSSスコア再計算の項目を保存してグループ内で共有できるようになりました\n#\nCVSS\nは、\n基本評価基準\n,\n現状評価基準\n,\n環境評価基準\nの３つから構成され\n現状評価基準\nと\n環境評価基準\nを用いて適切なスコアに再計算できます。\n具体的には、\n現状評価基準\nで\nその時の攻撃コードの公開状況やパッチ提供状況\nに合わせたスコアを、また、\n環境評価基準\nで\nシステムの置かれている環境\nに合わせて再計算できます。\n現時点の状況、環境に即した値である、再計算後のスコアをもとにパッチ適用判断やワークアラウンドでの対応など、緊急度の目安にできます。\n今回のバージョンアップにより、再計算した結果を保存が可能になったことでグループ内のメンバ間で再計算後のスコアを保存、共有することが可能となりました。\n基本評価基準, 現状評価基準, 環境評価基準の詳細は\n共通脆弱性評価システムCVSS v3概説\nを参照ください。\n現時点では\n現状評価基準\nの項目はグループ内に閉じて保存されますが、近い将来グループ間で共有できるようになる予定です。",
      "date_published": "2019-02-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-02-21"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190124/",
      "url": "https://help.vuls.biz/releasenotes/20190124/",
      "title": "[FutureVuls] 2019-01-24",
      "content_text": "2019-01-24 リリース内容\n#\n今回のリリースでは以下を変更しました。\n機能追加\n#\nアップデート可能なパッケージを一覧から確認しやすくなりました\n#\nサーバ > ソフトウェア\nの一覧へ「アップデート可能」の列が追加できるようになりました。（列が見えない場合は、「表示項目の編集」のボタンを確認ください）\nパッケージがアップデート可能かを画面上で確認できます。\n1ヶ月以内に更新された脆弱性一覧を確認しやすくなりました\n#\n脆弱性のページのタブに「更新」が追加されました。\n「更新」タブでは、１ヶ月以内で新規検知された脆弱性と、CVSS スコア・ベクターが更新された脆弱性を表示します。\n脆弱性グリッドに「初回検知日時」「最新検知日時」「ベクター・スコア更新日時」列を追加\n#\n以下の列を脆弱性グリッドに追加しました。\n「初回検知日時」はその脆弱性が初めて検知された日時\n「最新検知日時」はその脆弱性が検知された最新の日付\n「ベクター・スコア更新日時」は CVSS ベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時\nスキャナをアップデートしました\n#\nスキャナを最新版に更新すると「スキャナ IP」と「スキャン方法」がスキャン履歴で確認できるようになります。\nスキャナの更新は\nスキャナプログラムの更新\nを参照ください。\nconfig.toml と sudo の設定、cron の設定は変更せず、スキャナプログラム本体だけ更新するように設定されています。\nトライアル終了したオーガニゼーションへ通知\n#\nトライアルを終了する場合はスキャナプログラムを\nアンインストール\nしてください。",
      "date_published": "2019-01-24T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-01-24"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20190116/",
      "url": "https://help.vuls.biz/releasenotes/20190116/",
      "title": "[FutureVuls] 2019-01-16",
      "content_text": "2019-01-16 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nログイン画面のスタイルを大幅に変更しました\n#\nFutureVulsランディングページ\nの雰囲気に画面イメージを合わせました。\n加えて、次回メンテナンス時間のお知らせなども表示されるようになりました。\nソフトウェアの詳細情報がより見やすくなりました\n#\nサーバにインストールされているパッケージについては、これまでに表示されていたパッケージ名やバージョンに加え、現在のバージョン・リリース、最新のバージョン・リリースなどが確認できるようになりました。\nアップデート候補のバージョン番号を取得するためには、\nfast-root\nモードでスキャンする必要がありますのでご注意ください。\n再起動が必要なプロセス、そしてソフトウェアに関連する脆弱性・タスクもソフトウェアの詳細画面から確認できます。ソフトウェアのアップデートに必要な情報がまとめて表示されるようになりました。ぜひご活用ください。\n追加したCPEを一括で削除できるようになりました\n#\nソフトウェアの一覧テーブル上部に「CPE 削除」のボタンが追加されました。\n以前のリリースで追加された、OWASP で登録や CPE 一括登録の機能と合わせてお使いください。",
      "date_published": "2019-01-16T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2019-01-16"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181207/",
      "url": "https://help.vuls.biz/releasenotes/20181207/",
      "title": "[FutureVuls] 2018-12-07",
      "content_text": "2018-12-07 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nCPEを一括登録可能に\n#\nこれまでは、CPE を登録する方法は\n検索して1つずつ追加する\nURIまたはFormatString形式で1つずつ追加する\nという2つの登録方法がありましたが、プログラミング言語のライブラリなどたくさんの CPE を登録する場合に手間でした。\n今回、CPE を一括登録する方法を2つ追加しました。\n1. OWASP Dependency Checkのxmlを貼り付けて一括登録する\n#\nCPE 追加画面を開き、\nOWASPで登録\nをクリックすると、テキストエリアが現れます。\nそこに xml をコピーして貼り付ければ、記載されている cpe を抽出し、下に表示してくれます。\nOWASP Dependency Check に記載されている cpe にはそれぞれ自動推測の信頼度が含まれており、そのレベルも一緒に表示されます。\n抽出された CPE を確認し、大丈夫そうであれば、\n送信\nをクリックし、CPE を登録します。\n2. フリーテキストで一括登録する\n#\nCPE 追加画面を開き、\nCPE一括登録\nをクリックすると、テキストエリアが現れます。\nそこに、フリーテキストで、cpe の名前が複数入っているテキストを貼り付けると、抽出が始まります。\n抽出された CPE を確認し、大丈夫であれば、\n送信\nをクリックし、CPE を登録します。\nJPCERT,USCERT警戒情報表示\n#\nJPCERT や、US-CERT などの組織では、特に注意すべき深刻且つ影響範囲の広い脆弱性を定期的に公開しています。これらの脆弱性には、速やかに対応する必要があります。\n今回のアップデートで、検知した脆弱性が、\nJPCERTの注意喚起\nと\nUS-CERTのAlerts\nに含まれているかを確認できるようになりました。\nこれは脆弱性のリストと、詳細どちらからも確認できます。\nリストページでは、JPCERT あるいは US-CERT の情報が1件でも該当すれば、「○」が表示されます。\n脆弱性詳細ページでは、どの記事に含まれているかのリンクも表示されます。\nJPCERT の警戒情報はこちらのページの情報を利用しています。\nhttps://www.jpcert.or.jp/at/2018.html\n「権限なしで攻撃可能」かどうかで脆弱性をフィルタ可能に\n#\n認証や権限なしで攻撃できる脆弱性を簡単に検知できるようになりました。\nCVSS v2なら、Au:N のもの、CVSS v3なら PV:N のものが対象になります。\n重要フィルタにも設定できるようになっているので、ご利用ください。\nFutureVuls APIの機能追加\n#\nFutureVuls API で以下の変更がありました。\n/v1/pkgCpe/cpe\nに CPE 追加用 POST メソッド追加\n/v1/pkgCpe/cpe\nに CPE 削除用 DELETE メソッド追加\n/v1/server/uuid/{serverUuid}\nに server 詳細取得用 GET メソッド追加\n/v1/cve/{cveID}\nhasExploit を追加\nhasMitigation を追加\nhasWorkaround を追加\nadvisories を追加\nserverOsFamilies 追加\n/v1/cves\nhasExploit を追加\nhasMitigation を追加\nhasWorkaround を追加\nadivisoryIDs を追加\n/v1/pkgCpe/pkg/{pkgID}\nnewVersion を追加\nnewRelease を追加\nrepository を追加\n/v1/pkgCpes\nnewVersion を追加\nnewRelease を追加\nrepository を追加\n/v1/server/{serverID}\nserverIpv4を追加\nplatformName を追加\nplatformInstanceId を追加\n/v1/servers\nserverIpv4を追加\nplatformName を追加\nplatformInstanceId を追加\nsuccessScanCount を追加\n/v1/task/{taskID}\nhasExploit を追加\nhasMitigation を追加\nhasWorkaround を追加\nadvisoryIDs を追加\n/v1/tasks\nhasExploit を追加\nhasMitigation を追加\nhasWorkaround を追加\nadvisoryIDs を追加\n詳細は\nSwaggerドキュメント\nをご確認ください。\nAdvisoryIDの表示\n#\nAmazon の ALAS や Windows の KBID をアドバイザリ ID として画面に表示しました。\n脆弱性の一覧、タスクの詳細で確認できます。\nWindowsアップデートコマンド\n#\nWindows でも Linux 同様にアップデートコマンドを表示できるようになりました。\nWindows の場合は、KBID が表示されます。\nパッケージのタスク一括更新\n#\n脆弱性 → ソフトウェアと遷移したのちに、パッケージのタスクを一括更新すると、今までは選択した脆弱性のタスクしか更新されませんでした。\nしかし今回の変更で、選択した脆弱性のみ更新するのか、それとも選択したパッケージのすべての脆弱性のタスクを更新するのか選択できるようになりました。\nソフトウェア詳細の画面リニューアル\n#\nソフトウェアの詳細画面を変更しました。\n再起動が必要なプロセスや、影響を受けるプロセスなどがわかりやすく表示されるようになりました。\nソフトェアタブにアップデート候補のバージョン番号を追加\n#\nアップデート候補のバージョン番号を取得するためには、\nfast-root\nモードでスキャンする必要があります。\nランディングページ\nよりチャット\nお問い合わせ\nください。",
      "date_published": "2018-12-07T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-12-07"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181119/",
      "url": "https://help.vuls.biz/releasenotes/20181119/",
      "title": "[FutureVuls] 2018-11-19",
      "content_text": "2018-11-19 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\n検知した脆弱性の攻撃コードの情報を表示可能に\n#\n攻撃コードが公開されると誰でも簡単に攻撃可能となるためリスクが格段に高まります。\nこのため攻撃コードが公開されているかどうかは、検知した脆弱性に対応するかどうかの判断基準として重要です。\n攻撃コードの公開有無をフィルタ可能になり、詳細情報が表示可能となりました。\nさらに、タスク非表示の条件として、\n攻撃コードが見つかるまで\nを選択できるようになりました。\nタスク非表示の条件として、\n脆弱性情報に対して何らかの変更があるまで\nを追加\n#\n脆弱性情報に対して何らかの変更があるまでを選択すると、以下のどれかに合致した場合にタスクの非表示が解除されます。\nアップデートパッチ、緩和策、または、回避策がでるまで\nベクター、スコアが変わるまで\n攻撃コードが見つかるまで\nこれにより、判断済みの脆弱性に変化があった場合に再度表示されるため、その時点での判断だけでなく時間軸での状況変化を考慮した運用が可能となります。\n脆弱性検知の対象外のパッケージを指定可能に\n#\n管理対象外のパッケージを画面上で指定可能になりました。\nサーバ > ソフトウェア > 管理対象を設定\nロール > ソフトウェア > 管理対象を設定\nから登録可能です。\n次回以降のスキャン時に指定されたパッケージの脆弱性が検知された場合に、該当タスクが自動で\n非表示\nとなります。\n例えば、「Firefox」の脆弱性を管理しない場合は対象外として設定してください。\nグリッド列のフィルタをわかりやすく\n#\n現在設定中のフィルタ条件がわかりやすくなり、フィルタのクリアが簡単にできるようになりました。\nタスクの読み込み速度の爆速化\n#\nチューニングによりタスクのロード時間が5倍ほど短縮されました。\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nランディングページ\nよりチャット\nお問い合わせ\nください。",
      "date_published": "2018-11-19T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-11-19"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181109/",
      "url": "https://help.vuls.biz/releasenotes/20181109/",
      "title": "[FutureVuls] 2018-11-09",
      "content_text": "2018-11-09 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nタスク一括更新、非表示時にコメントを登録できるように\n#\nタスク一括更新・非表示時に、コメント入力できるようになりました。\nたとえば、「PoC が出るまで様子見します」「ネットワークからの攻撃ではないので受容する」などのコメントを登録可能です。\nそのほか機能追加\n#\nサーバリストに、サーバ UUID を表示可能に\n仕様変更\n#\n仕様によりスキャナインストール用ワンライナ表示部分で-fast-root -offline を選択できないようにしました\nREST API の limit を100 -> 1000に変更しました\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nランディングページ\nよりチャット\nお問い合わせ\nください。",
      "date_published": "2018-11-09T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-11-09"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181026/",
      "url": "https://help.vuls.biz/releasenotes/20181026/",
      "title": "[FutureVuls] 2018-10-26",
      "content_text": "2018-10-26 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\n一覧画面の表示パフォーマンスの劇的な改善\n#\nこれまで大量の脆弱性を検知した場合で、「初回の画面表示時」や「リロード時」に10秒以上時間がかかるケースがありましたが、表示ロジックを改善し待ち時間を短くしました。\n「アップデートパッチ、緩和策、または、回避策がでるまで」タスク非表示が可能に\n#\n脆弱性を検知した時点では、アップデートパッチ、緩和策、回避策がベンダから提供されてないケースが多々ありますが、タスク非表示の条件として指定できるようになりました。\n再起動が必要なソフトウェア、サービス再起動コマンドをわかりやすく検索、表示\n#\nそのほか機能追加\n#\n緩和策または回避策のある脆弱性をフィルタ可能に\nグリッドのカラムの幅を保存可能に\nタスクグリッドにソフトウェア列を追加\nタスク詳細画面でリポジトリ情報を表示\n脆弱性詳細 > ディストリビューションサポートページに、AmazonLinux の一次情報のリンク(ALAS)を表示するように\n脆弱性詳細 > ディストリビューションサポートページに、KBID のリンクを表示するように\n仕様変更\n#\nパッチ未提供な脆弱性を初期状態で表示するように\nその他、利用体験改善のため、軽微な変更とバグを修正しました\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nランディングページ\nよりチャット\nお問い合わせ\nください。",
      "date_published": "2018-10-26T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-10-26"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181011/",
      "url": "https://help.vuls.biz/releasenotes/20181011/",
      "title": "[FutureVuls] 2018-10-11",
      "content_text": "2018-10-11 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nパッケージアップデートのための Ansible Playbook 機能を追加\n#\nタスク一覧画面にて、アップデート用の Ansible Playbook を画面上で表示し、ダウンロードできるようになりました。\n複数のタスクを選択できるので、パッケージのアップデート作業を自動化できます。\n例えば、/etc/ansible/hosts が以下のように書かれていて、\n[db]\n10.138.0.2\nCVE-2018-8777をアップデートしたい場合は、タスク詳細のページにある「ANSIBLE PLAYBOOK」のボタンを押して、\nip-10-138-0-2_CVE-2018-8777.yml\nをダウンロードしたあと\n- hosts: {enter target host}\nを\n- hosts: 10.138.0.2\nまたは\n- hosts: db\nと変更し\nansible-playbook ip-192-168-0-188_CVE-2017-15298.yml\nと実行することで、Ansible による更新が実行されます\n一覧から複数のタスクを選択して「ANSIBLE PLAYBOOK」を押すと、複数タスクに対する playbook を一括でダウンロードできます\nその場合はダウンロードした zip を解凍した後、解凍したフォルダ内の\nplaybook.yml\nにある\n- hosts: {enter target host}\nを\n- hosts: 10.138.0.2\nまたは\n- hosts: db\nと変更し\nansible-playbook playbook.yml\nと実行することで、Ansible による更新が実行されます。\nこのように FutureVuls から playbook 用の YML ファイルをダウンロードして、ターゲットホストを指定、\nansible-playbook\nを実行することでパッケージをアップデートできるようになりました。\nAnsible をお使いであればぜひお試しください。\nMicrosoft の脆弱性スコアを「脆弱性リスト」に追加\n#\n前回、脆弱性ページの詳細画面に追加された「Microsoft の脆弱性情報」を、リストのカラムへ追加できるようになりました。\nデフォルトでは隠れていますが、表示項目の編集を利用すると確認できます。\n脆弱性リストの「重要フィルタ」に Microsoft のスコアを追加\n#\n脆弱性リストの重要フィルタに、今回追加された Microsoft の脆弱性スコアを設定できます。\nこの機会に、あなただけの重要フィルタを設定し、日々の運用を効率化してみてください。\n仕様変更\n#\n脆弱性のリストに「パッチ提供済み」列を追加\nカラムの並び替えダイアログのデザインを修正\n脆弱性リストの「未対策サーバ数」を「未対策サーバ数」と「全サーバ数」に分割\n「タスク x サーバ」タブ内の「カーネル再起動」列を削除\nその他、利用体験改善のため、軽微な変更とバグを修正しました\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nお問い合わせ\nください。",
      "date_published": "2018-10-11T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-10-11"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20181002/",
      "url": "https://help.vuls.biz/releasenotes/20181002/",
      "title": "[FutureVuls] 2018-10-02",
      "content_text": "2018-10-02 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nゴールデンロゴ\n#\n右上のロゴがゴールデン仕様になりました。\nWindowsの脆弱性情報がリッチに\n#\nこれまでは Widows の脆弱性情報は NVD のものを表示していましたが、Microsoft の脆弱性情報も表示するようにしました。\nこれにより、これまで公開されてから日が浅く NVD に情報が掲載されない脆弱性でも詳細を表示できるようになりました。\nグリッド列の表示、非表示、並び順を保存できるように\n#\nこれまではグリッド列の並び替えは可能でしたが、列の表示、非表示やその順番を保存できませんでした。\n今回のアップデートで保存できるようになりました。\nこれによりたとえば、CVSS v3のスコアで判断しているので CVSS v2のスコアは非表示にする、のように組織のルールに合わせたカスタマイズが可能です。\nこの設定は保存されますのでブラウザを閉じても大丈夫です。\n仕様変更\n#\nグリッドのソート順を保存するように\nタスクタブの「非表示を解除」ボタンを、「すべて」タブでのみ表示するように\nサーバタブにサーバ UUID を表示\nグループ設定 > スキャナのデフォルトインストールモードを「fast」ではなく「fast-root」モードに\nバグフィックス\n#\nサーバ > 脆弱性×タスク > タスククリックでページが真っ白になる\nユーザプロフィールで所属情報を押して、オーガニゼーション押すとエラー\nログイン時に表示されるダイアログのログインに戻るボタンが押せない\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nお問い合わせ\nください。",
      "date_published": "2018-10-02T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-10-02"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20180921/",
      "url": "https://help.vuls.biz/releasenotes/20180921/",
      "title": "[FutureVuls] 2018-09-21",
      "content_text": "2018-09-21 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\n脆弱性情報(CVSS)が変更になった場合に、タスクチケットを自動で再オープンできるように\n#\n脆弱性の深刻度や特徴は\nCVSS(Common Vulnerability Scoring System)\nで表現されますが、CVSS は後日変更されることがあります。\n日々の脆弱性管理では、その脆弱性の対応をするかしないかを判断する場合に CVSS の情報は重要な判断基準ですが、その時点で対応しないと判断しても後日 CVSS が変わった場合は再度対応を評価をしなくてはなりません。\nたとえば、攻撃元区分がローカルだったのもが後日ネットワークから攻撃可能となった場合はその脆弱性のリスクが増大するからです。\n今回のアップデートで、CVSS が変更された場合にチケットを再オープンする機能を実装しました。\nこれにより、CVSS が変更されたことに気づくことができ、最新情報を元にした再評価が可能となります。\nタスクを非表示設定する際に、「ベクター、スコアが変わるまで」を選択してください。\nグリッドのフィルタ条件が保持されるように\n#\nこれまでは一括更新時やブラウザの戻るボタンで戻った場合にグリッドのフィルタ条件がクリアされていましたが、このフィルタ条件を保持するように変更しました。\nRedHatのCVSSスコアの列を追加\n#\nRedHat の CVSS スコア列を追加しました。RedHat のスコアでフィルタ、ソートできるようになりました。\n「重要フィルタ」にも RedHat 列のスコアを指定できるようになりました。\n再起動が必要なプロセスの、サービス再起動コマンドを表示可能に\n#\n「アップデートしたが再起動していないプロセス」の、サービス再起動用のコマンドを表示できるようになりました。systemd, Upstart, SysVinit を判別して対応するコマンドを表示します。\n仕様変更\n#\n「アップデートコマンド」ボタンで表示対象となるパッケージの変更\n#\nパッチ適用済みなパッケージ情報は必要ない\nパッチ未提供なパッケージはアップデートできない\nという理由で「パッチ未適応」かつ、「ベンダーパッチ提供済み」のパッケージのみに変更しました。\n数値系のフィルタ条件を」「以下」「以上に変更しました\n#\nこれまでは「未満」「より大きい」だったのを「以下」「以上」に変更しました。\nバグフィックス\n#\nMac 上で選択中のセルを「Cmd + c」でクリップボードにコピーできるように\nサーバタブ、ロールタブの一部フィルタが機能していなかったのを修正\n他細かなバグフィックスをしました\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nお問い合わせ\nください。",
      "date_published": "2018-09-21T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-09-21"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20180913/",
      "url": "https://help.vuls.biz/releasenotes/20180913/",
      "title": "[FutureVuls] 2018-09-13",
      "content_text": "2018-09-13 リリース内容\n#\n今回のリリースでは以下の変更が入りました。\n機能追加\n#\nネットワーク機器の脆弱性管理が可能になりました\n#\nスキャナプログラムを使わずに脆弱性を検知、管理可能にする、擬似サーバ機能を追加しました。\nサーバの一覧から「擬似サーバ作成」のボタンから作成し、対象となるネットワーク機器の OS などを\nCPE\nとして登録することで Linux サーバなどと同じように脆弱性を検知、管理できます。\nCVSSスコア・ベクターが変更されたときに、過去非表示にしたタスクチケットを再表示する機能を追加しました\n#\nこれまでの「常に非表示」・「指定した期日まで」に加えて、「ベクター、スコアが変わるまで」を加えました。\nこちらに設定しておくと、脆弱性データベース側で CVSS ベクター情報やスコアが更新され、危険度が変化したときに該当するタスクの非表示が解除され、表示されるようになります。\n仕様変更\n#\nグリッド「未対策」列の削除\nトピックタグのスタイルを変更しました\nヘルプのツアーを改善しました。より分かりやすくなりました。\nパッチを当てた後のメール通知をまとめて送信するように変更しました 。\nタスク詳細のパッケージ名からパッケージ詳細画面へ遷移できるようになりました。\nバグフィックス\n#\nメニュータブが遷移していないように表示されるバグを修正。\nCPE のバージョンの . が \\. となっているのを修正。\nオーガニゼーションオーナーがグループ作成後、リロードしないと左上のグループ選択プルダウンに表示されない問題を修正。\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nお問い合わせ\nください。",
      "date_published": "2018-09-13T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-09-13"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20180904/",
      "url": "https://help.vuls.biz/releasenotes/20180904/",
      "title": "[FutureVuls] 2018-09-04",
      "content_text": "2018-09-04 リリース内容\n#\n今回のリリースでは以下の変更しました。\n機能追加\n#\n「パッチ提供済み」列の追加\n#\nタスク情報を含むグリッドに「パッチ未提済み」列を追加しました。\n初期表示ではパッチ提供済みのものしか表示しません。\nパッチ未提供なタスクを表示したい場合は、「パッチ提供済み」列を「ALL」または「☓」でフィルタしてください。\n脆弱性トピックに含まれるURLをリンクとして表示するように\n#\nリンクとして表示するようにしました。\n仕様変更\n#\nグリッド「未対策」列の削除\n#\nグリッドに存在していた、「未対策」という列を削除しました。\nタスクステータス[new]と同じ意味であり重複するためです。\nバグフィックス\n#\n脆弱性詳細ページの CWE が重複して表示されたのを修正。\nロール > サーバ > サーバ編集にて所属ロール変更時にグリッドへ反映されないバグの修正。\nロール > サーバ > サーバ編集にて変更時にグリッドへ反映されないバグを修正。\nタスク詳細ページでサーバ名が長い場合に、隣の検知日時に重なって表示されるバグを修正。\nFutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、\nお問い合わせ\nください。",
      "date_published": "2018-09-04T00:00:00Z",
      "tags": [
        "security"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-09-04"
    },
    {
      "id": "https://help.vuls.biz/releasenotes/20180827/",
      "url": "https://help.vuls.biz/releasenotes/20180827/",
      "title": "[FutureVuls] 2018-08-27",
      "content_text": "2018-08-27 リリース内容\n#\nWeb 画面をゼロから書き直しました。",
      "date_published": "2018-08-27T00:00:00Z",
      "tags": [
        "feature"
      ],
      "_tool_id": "futurevuls",
      "_version": "2018-08-27"
    }
  ]
}