2019-07-05 リリース内容

今回のリリースでは以下の変更を行いました。

機能追加

RHEL8サポート

Red Hat Enterprise Linux 8に対応しました。
本日からRHEL8のスキャンが可能です。

RHEL8のスキャンにはスキャナの更新が必要です

検知された脆弱性の対応判断支援を強化

脆弱性タブのメニューを変更

タブメニューを一新しました。
スキャンして検知された脆弱性は、まずは一番左の未対応なタブに表示されます。
それぞれの脆弱性ごとに対応要否を判断し、非表示にするか、対応する場合はタスクを更新すると「未対応」なままの脆弱性が減っていきます。
左側「未対応」な放置されている脆弱性をどんどん減らして、右側の対応中、対応済みに振り分けていくイメージです。

以下にそれぞれのタブの意味を説明します。

重要な未対応

  • 「重要フィルタ」に該当する脆弱性に関連するタスクのうち、一つでも未対応ステータスがある脆弱性が表示されます
  • 未対応ステータスとは、「非表示ではない」かつタスクステータスが「new」のもの、つまり、放置されている脆弱性のことです。

その他の未対応

  • 「重要フィルタ」に該当「しない」脆弱性に関連するタスクのうち、一つでも未対応ステータスなままの脆弱性が表示されます。

対応済み

  • その脆弱性に関連するタスクすべてが対応済みステータスのものが表示されます。
  • 対応済みとは、タスクのステータスが「PATCH_APPLIED」「WORKAROUND」または、非表示のものです。

対応中

  • 現在対応中の脆弱性が表示されます。
  • 正確には、未対応ではない、かつ、対応済みではない脆弱性が表示されます。

脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示

検知した脆弱性に該当するパッケージのうち、プロセスが起動しているものや、ネットワークポートを開いてListenしているものがあるかをアイコンで表示します。
インターネットやLANからネットワーク経由で攻撃される脆弱性の対応判断に役に立つ情報です。
プロセス起動状況やポートの情報は、脆弱リスト、タスクリスト、ソフトウェアリストから確認することができます。

本機能はスキャナの更新が必要です

Will not fixな脆弱性を検知しないように

RHELとCentOSにて、Red Hat社がリスクが低いのでパッチを提供しないと判断した脆弱性(パッチ提供ステータスがWill not fix)を検知しないようにしました。
これによりRed Hatが低リスクと判断した脆弱性を除外した状態で判断が可能となります。
また、過去に検知されていたWill not fixの脆弱性を画面に表示されないように変更しました。
脆弱性の数、タスクの数が減少していることがありますが、今回の対応によるものです。

なお、パッチ提供予定のある「Affected」な脆弱性と、将来的に修正される「Fix deferred」「Not Fixed Yet」な脆弱性は引き続き、検知されます。

RHELのパッチ提供ステータスは下記ページが参考になります。 https://access.redhat.com/blogs/product-security/posts/2066793

画面に用いる色を変更しました

色調の統一や可読性向上のため画面に用いられている色の変更を画面全体に行いました。
脆弱性一覧の「深刻度」やタスク一覧の「タスクの優先度」は以下のようになりました。
文字の可読性が向上したとともに、モノクロ印刷をした場合に危険なもの・優先度が高いものほど背景の色が濃くなるように調整されています。

他にもSSMコマンド履歴やスキャン履歴のステータス、リンクのテキスト、ペインの区切り線などの色調整も調整も行っています。
ヘルプページへの反映は今後順次行われる予定です。

重要フィルタの設定をグループ全体で共有できるように

これまではグループのメンバ各々が重要フィルタのルールを設定していましたが、今回の変更でグループ内でルールを共有するようになりました。
統一したルールで脆弱性管理ができるようになりました。
今まで使用していた重要フィルタの設定は使用できなくなります。
グループ内で相談の上、重要な脆弱性のフィルタを設定してください。(設定はグループ管理者のみ可能です)