4.x リリースノート

Enforcerの環境変数を追加して、いくつかの環境でリソースを消費する可能性のあるシークレットスキャンをオフにします。ENF_NO_SECRET_SCANS=1に設定します。

脆弱性エクスプローラー > CSVダウンロードで、影響を受けたコンテナを同じセルではなく複数の行に表示します。

Enforcerによるシークレットスキャンを減らし、メモリを消費する可能性のある長時間実行されるスキャンタスクを回避します。これは、大きなイメージレジストリまたはローカルのデータベーススキャンが原因である可能性があります。

脆弱性エクスプローラーのセキュリティリスク → 脆弱性で見つかったCVEのCSVをエクスポートしようとしたときにバグを修正します。フィルターを使用せずに、CSVファイルが空になります。

4.2.2からのアップグレード時にタイミングの問題を修正し、すべてのトラフィックに対して暗黙の拒否が発生する可能性があります。最近の修正は、ローリングアップデート中のXFF設定に関連しています。

ユーザーがタグの代わりに異なるイメージSHAハッシュを指定できるようにし、 https://github.com/neuvector/neuvector-helm/pull/140. はオペレーターに伝播されます。

2022年1月23日に期限切れとなるマネージャーの自己署名証明書を、2024年1月に期限切れとなる新しいものに置き換えます。

関連性のない管理されていないワークロードをネットワークアクティビティマップに表示する能力を向上させます。

gitlabレジストリをスキャンする際のコントローラーのクラッシュを修正します。

一部のイメージに対してアドミッションコントロールがブロックされていません。これは、複数のパッケージで見つかった脆弱性がコントローラーのアドミッションコントロールで1つの脆弱性として扱われ、修正されるためです。

4.2.2から4.3.2へのアップグレードは、ローリングアップグレード中にトラフィックが高い場合、すべてのトラフィックに対して暗黙の拒否をもたらします。

Helmチャートv1.8.9は5.0.0デプロイメント用に公開されています。

pom.xmlが存在しない場合、例えばlog4j-core-2.5.jarのような、埋め込みJava JARやpom.xmlファイルのないJARのスキャンをサポートします。

GitHubアドバイザリー（Maven用）のCVEデータベースソースを追加し、スキャナー/CVEデータベースバージョン2.531以降で利用可能です。

Rest API リファレンスドキュメントは4.4.1および4.4.2に更新されました。

Enforcerで検出されたメモリリークを修正しました。

SUSE Linux Enterprise Server 15 SP3などの一部の環境に必要なcgroup v2のサポートを追加します。

Enforcerが実行中のコンテナでCVE-2021-44228を検出できない問題を修正します。

一部の環境におけるEnforcerの高いメモリ使用量を削減/修正します。

nv.ipグループポリシーのインポート/エクスポートに関する問題を修正します。

コンテナメンバーがないグループを削除する際の問題を修正します。

neuvector-prometheus-exporterを使用してログインできない問題を修正します。

/v1/response/rule?scope=localのREST APIエンドポイントがすべてのレスポンスルールを削除しない問題を修正します。

コントローラー、スキャナー、マネージャーのためのアフィニティとトレランスのカスタマイズをサポートします。

コントローラー、マネージャー、スキャナー、アップデータポッドのためのnodeSelectorサポートを追加しました。

コントローラーコンテナのためのユーザー定義の環境変数をサポートします。

SUSE® Securityの新しいSplunkアプリが https://splunkbase.splunk.com/app/6205/で公開されました。

脆弱性（CVE）を「受け入れる」機能を追加し、レポート、ビュー、リスクスコアリングなどから除外できるようにします。脆弱性は、セキュリティリスク→脆弱性、資産→コンテナなどのいくつかの画面から選択され、受け入れボタンをクリックできます。一度受け入れられると、セキュリティリスク→脆弱性プロファイルリストに追加されます。ここで表示、エクスポート、編集できます。この受け入れ機能は、リストされたイメージおよび/またはネームスペースに制限される場合がありますのでご注意ください。この画面から手動で新しいエントリをこのリストに追加することもできます。

Kubernetesデプロイメントのyamlファイルの構成評価を有効にします。ポリシー→アドミッションコントロールからyamlファイルをアップロードすると、すべてのアドミッションコントロールルールに対してレビューされ、ルールに引っかかるかどうかが確認されます。評価のレポートはこのウィンドウからダウンロードできます。

istioサイドカープロキシを持つポッドには固定パケットキャプチャは利用できません。

/dev/null.jsonへのAllinoneによる書き込みを削除する。

OpenShift CISベンチマーク1.0.0および1.1.0をサポートします。

アドミッションコントロールのドライランオプションをサポートします。

アドミッションコントロール基準のソースの説明を改善します。アドミッションコントロールのラベル基準を改善し、他の基準を追加します。

GitLabクラウド（SaaS）レジストリスキャンをサポートします。

マルチアーキテクチャのイメージスキャンをサポートします。

コントローラーが起動するたびに設定をリセットするためのConfigMapのオーバーライドオプション。'always_reload: true’は、コントローラーが起動するたびにそのConfigMap yamlファイルを強制的にリロードするために、任意のConfigMap yamlで使用できます。

事前構築されたPSPベストプラクティスのアドミッションコントロールルールを含めます。

SUSE® Securityを非特権コンテナとして実行するためのAppArmorプロファイルのサポートをテストします。

ユーザーがセキュリティイベントリストのグループ名をクリックして、ポリシー→グループの選択に移動できるようにします。

スキャン結果が必要かどうかを判断するためのアドミッションコントロール基準のインジケーターを追加します。

すべてのSUSE® Securityコンポーネントが同じバージョンで実行されていない場合は警告します。

ネットワークアクティビティ→ビュー→にDocker Swarm/Mirantisプラットフォームを表示します。これは、Enforcer NV_SYSTEM_GROUPSの環境変数を追加することで有効になります。

helmチャートのcronjobバージョンを更新します（v.1.8.3).

JenkinsプラグインでJenkinsマスター-スレーブ構成をサポートします。

資産 → ノードの下にノードラベルを表示します。

資産 → システムコンポーネントのコントローラーの統計を表示します。

REST APIを使用してイメージをスキャンする際に、脆弱性がベースイメージのレイヤーに存在するかどうかを報告します。ベースイメージは、以下の例のようにAPI呼び出しで特定する必要があります。

強制リストの高さを調整可能にします。

XSS攻撃を防ぐために、表示されるすべてのフィールドをサニタイズします。

コンソールの新しいネットワークアクティビティ表示は、パフォーマンスとオブジェクトアイコンのデザインを改善しました。新しいUIフレームワークは、表示される数千のオブジェクトの読み込み時間を劇的に改善します。セッションフィルターは、ネットワークアクティビティ、セキュリティリスク、その他のメニューでログアウトするまで維持されます。GPUアクセラレーションが有効になっており、表示の問題が発生する場合は無効にできます。注意:GPUが有効な特定のWindows PCに関する既知の問題。

コンソールからグループポリシー（CRDファイルyaml形式）をインポートする機能を追加し、非Kubernetes環境をサポートします。重要:コンソールからインポートされたCRDは、分類されず、CRDルールとして表示されません。Kubernetesを通じて適用されたCRDとは異なり、コンソールを通じて編集できます。

複数のウェブフックエンドポイントをサポートします。設定 → 構成では、複数のウェブフックエンドポイントを追加できます。レスポンスルールでは、ルールを作成することで、ユーザーがウェブフックで通知するエンドポイントを選択できるようになります。

連携ルールにおける（複数のウェブフック）構成をサポートします。

ウェブフックのJSON形式をサポートします。ウェブフックを作成する際に、JSON、キーと値のペア、またはSlackをウェブフック形式として構成できるようになりました。

ネームスペースユーザーにマッピングするためのカスタムユーザーロールをサポートします。ディレクトリ統合は、グループをロールにマッピングすることをサポートし、ロールはネームスペースに制限できるようになります。制限：ユーザーが複数のグループに所属している場合、ロールは「最初に一致した」グループのロールが割り当てられます。適切な動作のために構成の順序を確認してください。

出口接続のための外部IPのリストをダウンロードします。ダッシュボードページの「入口と出口の露出」セクションからレポート/CSVをダウンロードする機能が追加されました。

レスポンスルールにおけるcve-medium基準をサポートします。

Admission Controlルールに事前設定されたPSPベストプラクティスルールを追加します。例えば、以下のプリセット基準がデプロイメントを警告/ブロックすることができます。特権として実行、ルートとして実行、ホストのIPC名前空間を共有 = true、ホストのネットワークを共有 = true、ホストのPIC名前空間を共有 = true。

PDFの資産レポートにおけるセキュリティリスク脆弱性とコンプライアンスのための高度なフィルターでネームスペースを使用することをサポートします。

CVEスコアに基づくアドミッションコントロールルール基準をサポートします。

この機能をサポートするレジストリ（dockerやJFrogなど）のために、レジストリスキャンの構成時にテストレジストリボタンを追加します。

サポートログのダウンロードとコントローラーのデバッグ設定を改善します。cPathやどのコンポーネントのログがダウンロードされるかなどのダウンロード設定を有効にします。

Kubernetes 1.21のサポートを追加します。

containerd 1.4.4を使用してKubernetes 1.21をサポートします。containerdランタイムv1.4.4はcgroupの表現を変更します。

スキャナーはOSをol:7.9として識別し、誤検知のCVEがあります。

Azure DevOps拡張機能でのスタンドアロンのスキャナーデプロイメントをサポートします。

Helm Chart v1.8.0は、デフォルトのレジストリとしてregistry.neuvector.comを使用するように更新されました。NOTE:バージョンタグを手動で指定する必要があります。

HelmチャートにController APIの注釈などの設定可能なパラメータを追加します。バージョン1.7.6以上から利用可能です。

Community Operator 1.2.6、Certified Operator 1.2.7は、controller.apisvc.typeが有効な場合にOpenShiftルートを追加するなど、Helmチャートの更新を反映するように更新されました。Certified Operator 1.2.7はSUSE® Securityバージョン4.2.2をデプロイします。

Jenkinsパイプラインのスキャン結果に対して、スキャン結果のHTML出力形式を追加します。

Prometheusエクスポーターのアラートに影響を受けたワークロードのネームスペースを追加します。neuvector/prometheus-exporter:4.2.2以降でサポートされています。

パスワードポリシーの施行を有効にします。この機能が有効になっている場合、パスワードは設定された最小セキュリティ要件を満たす必要があります。設定 - ユーザー/ロールに移動して、最小文字数、大文字、数字、特殊文字を含むパスワードポリシーを設定します。推測とパスワードの再利用も防止されます。

CRDグループ定義でキー/値にスラッシュを許可します。

CAC認証をサポートするためにSAMLを強化します。SAML AFDS共通アクセスカード（CAC）認証方式。

OpenShift 4.7との互換性を確認します。

OpenShiftの更新時にEnforcerがノードの再起動を最大20分遅延させる条件を修正します。

管理されていないノードの用語を「ノード」に修正します。

CRDのインポートが予期しない結果を生じました。以前のリリースのCRD形式からの変換を支援する変換ツールがSUSE® Securityから利用可能です。

AKSのWebhook証明書がk8s v1.19+用にSANなしで作成される場合。

連携ポリシーが一貫性なく、期待通りに動作しません。不要な違反を減らすために、未管理ワークロードのIPロジックを改善します。

あらかじめ定義されたファイルアクセスルールがコンソールに表示されていません。

Assets→Registry→Module Scan Resultsなど、いくつかのコンソールビューで列ヘッダーが正しくありません。いくつかのPDFレポートも影響を受け、修正されました。Sonatypeビルドの他の領域も修正されました。

マルチクラスタ監視。マルチクラスタ管理ページで各クラスタのリスクスコアとクラスタ概要を表示することで、すべての管理クラスタのセキュリティ姿勢を一元的に可視化します。注意：マルチクラスタ連携には別途ライセンスが必要です。

IBM Cloudの統合使用量ベースの請求のサポートを追加します。

資産ビューを表示し、サービスごとに脆弱性をリストするPCIコンプライアンスレポートを強化します。

脆弱性をリストする前にスキャン結果の要約を追加します。

Red Hat Vulnerability Scanner認証に必要なRed Hat OVAL2データベースをサポートします。

CISベンチマークのRed Hat OpenShiftベータ版をサポートします（「CISに触発された」）。これはCIS.orgが公式版を公開したときに最終決定されます。この機能はOpenShiftバージョン4.3以上のデプロイメントでサポートされています。

API呼び出しを使用して、許可または拒否された画像などの条件を確認するためのAPIクエリフィルタリングを許可します。

CIS Kubernetesベンチマーク1.6.0のサポートを追加します。

スキャン中に検出されたイメージモジュールをスキャン結果に報告および表示します。これはイメージスキャン結果のタブに表示され、REST APIからのスキャン結果に含まれます。

コンソールを通じてレジストリ、グループ、および応答ルールの設定でフィルタの編集を許可します。

oidcinitcfg.yamlおよびsamlinitcfg.yamlにgroup_claimを追加し、sysinitcfg.yamlにXff_Enabledを追加するためにConfigMapを更新します。

APIのyamlは自動化セクションの4.2用に更新されました。

Enforcerは既存のクラスターに参加できず、登録されたEnforcerが多すぎる場合には、時々10分かかることがあります。これはEnforcerが不適切に終了され、なおかつライセンスチェックのために登録されたままである場合に発生し、ライセンス制限に達すると他のEnforcerが参加できなくなる状況を招きます。

修正: ワイルドカードDNSトラフィックがブロックされました。ワイルドカードDNSアドレスグループに一致するDNS結果のキャッシュを改善しました。

Webhookおよびコントローラー間でCRD証明書の同期が取れなくなる稀な状況を修正します。

「管理されていない」のネットワークアクティビティ表示の凡例を「ノード」に修正します。

ワークロードとして検出されたノードが暗黙の違反を引き起こしています。

Jenkinsプラグインの強化：

Helmチャートを1.7.1に更新します。

XFFフォワーディングの切り替えを有効にして、デフォルトで有効になっているSUSE® Securityポリシーの使用を無効にします。これは、x-forwarded-*ヘッダーのサポートを追加するために4.1.1で追加された機能に関連しています。無効にするには、設定→構成に移動します。重要:以下にXFF-FORWARDED-FORの動作の詳細な説明を示します。

CVE-2020-1938が検出されない問題を修正しました。

マネージャーからの「セクション{policy, user, config}の構成をエクスポートできませんでした」というエラーを修正しました。

ネットワークアクティビティグラフフィルターが機能しない問題を修正しました。

コントローラーのCPUとメモリの消費を改善しました。

Jenkinsプラグインがスタンドアロンスキャナーをサポートするように更新されました。 詳細についてはリリースノートセクション統合とその他のコンポーネントをご覧ください。

ulimitの問題を修正するために、AWS EKS AMIリリースv20210112のサポートを追加しました。

CRDをエクスポートする際にユーザーがポリシーモードを変更できるようにします。

OIDCサポートは/oauth/userinfoエンドポイントからのクレームを持っています。

クラスターのノードリフレッシュサポートにより、ノードの成長とポッドのノード間移動の一時的なサポートが可能になります。

設定→設定ページからダウンロード用の使用レポートを生成します。

ユーザーロールをネームスペースに割り当てる際のワイルドカードサポート。

グループ/ポリシーを削除するロジックを改善します。未使用のグループが最後に使用されてからの時間に基づいて削除される際の設定可能な設定です。

ユーザーがパケットキャプチャの期間を設定できるようにします。

マルチクラスター管理リーダーロールのサポートを追加します。

スタンドアロンスキャナーは、REST APIを使用してスキャン結果を送信します。スキャナーの詳細については、以下をご覧ください。

CVE-2020-8554で報告された中間者攻撃を検出し、ブロックします。

メーター制（使用量ベース）のライセンスモデルのサポートを追加します。

KubernetesおよびOpenShiftのサンプルデプロイメントYAMLからCRD（例：NvSecurityRule）の作成ステップを削除します。これは必要ありません（コントローラーがこれらを自動的に作成します）。Helmデプロイメントもこれらを処理します。

コントローラーとエンフォーサーの高いメモリ使用量を改善します。

レジストリフィルターを設定しようとしたときにエラーが返されます。ワイルドカードをリポジトリ/タグフィルターの任意の場所で使用できるようにします。

ブロックポリシーが期待通りに機能していません。x-forwarded-*ヘッダーのサポートを追加します。重要:4.1.2リリースノートの一部として、上記のXFF-FORWARDED-FORの動作の詳細な説明をご覧ください。

コントローラーのイングレスをtrueに設定したときのHelmチャートエラー。

ゲートウェイタイムアウトのため、ネットワークルールを追加して保存できません。

Configmapの例にGroup_Claimフィールドが欠けています。configmapのドキュメントに追加されました。

コントローラーポッドを終了する際のプロセスプロファイル違反。

コントローラーポッドを終了する際に発生する処理するプロファイル違反。

ホスト名にワイルドカードを使用するユーザー作成アドレスグループに対する暗黙の違反。

ユーザーがマネージャー/コントローラー/エンフォーサー/スキャナーのデプロイメントのPriorityClassをカスタマイズできるようにします。ノードリソースが圧迫されているときやクラスターのアップグレードプロセス中にセキュリティポリシーが適用されることを確実にするために、SUSE® Securityコンテナに高い優先度を与えることをお勧めします。

CRD用の別のチャートを作成します。これにより、SUSE® Securityコアサービスがデプロイされる前にCRDポリシーを作成できます。新しいチャートが使用される場合、後方互換性のために保持されているコアチャートのCRDリソースは、crdwebhook.enabled=falseで無効にする必要があります。

ユーザーがSUSE® Securityデプロイメントのサービスアカウントを指定できるようにします。以前は、名前空間の「デフォルト」サービスアカウントが使用されていました。SUSE® Securityが他のアプリケーションと一緒に名前空間にデプロイされる場合、一部のユーザーにとっては名前空間のデフォルトサービスアカウントを使用することは推奨されません。

コンソール - コンテナリストページのAssets → コンテナは、ウィンドウのセパレーターをドラッグしてサイズ変更できるようにする必要があります。

ホストのネームスペースを共有するポッド向けの入場制御チェックを追加します。ユーザーがポッドがホストのネットワーク、IPC、PIDネームスペースを共有しないように選択できるようにします。詳細については、以下をご覧ください。

特権または「runasroot」で実行されているコンテナのリストをエクスポートする機能。

通知 → セキュリティイベントでは、画面を切り替えずにイベント属性に関する情報を簡単に表示できるようにします。

ジャンボフレームに関する問題（いくつかのパブリッククラウドで有効）。症状：prometheusグループが保護モードに置かれると、主要なprometheusアプリケーションURI /graphにアクセスできなくなります。

脆弱性フィルターにネームスペースオプションが欠けています。ユーザーがSUSE® Securityがインストールされているネームスペースをフィルターエントリとして選択/入力できるようにします。

CVE-2020-1967の影響を受けたOpenSSLバージョン1.1.1c-1の偽陽性。

ワイルドカードホスト名を使用して作成されたユーザー作成アドレスグループに対する予期しない暗黙の拒否違反。ファイアウォールトラフィックにワイルドカードを使用したDNS名の問題。

SQLインジェクションの偽陽性を除去するための検出を改善します。

ディストロレスイメージスキャンのサポートを追加しました。

レジストリから単一のイメージスキャンをトリガーする機能を追加し、結果を入場制御に利用できるようにしました。

JFrog Xray統合を新しいJFrogプラットフォームAPI/認証要件に更新しました。

マネージャー内のスキャナーに関する情報（バージョンやスキャナーステータスなど）を追加しました。

セキュリティイベントを除外するためのクイックフィルターを追加しました（grep -vに似ています）。

CVEの深刻度をNVDの脆弱性深刻度評価に合わせて更新しました。CVSS v2およびv3スコアの大きい方を使用し、評価は>=7で高、>=4で中程度です。

ローカルイメージスキャンのためのスタンドアロンスキャナーデプロイメントをサポートします（コントローラーは必要ありません）。新しい環境変数SCANNER_LICENSE、SCANNER_REGISTRY、SCANNER_REPOSITORY、SCANNER_TAG、SCANNER_REGISTRY_USERNAME、SCANNER_REGISTRY_PASSWORD、SCANNER_SCAN_LAYERS、CLUSTER_JOIN_ADDR、CLUSTER_JOIN_PORTを追加します。

設定→ユーザーの作成における名前空間自動補完をサポートします。

Jenkinsスキャナープラグインに免除されたCVEを入力する機能を追加しました。

OSを検出できなかったイメージをブロックできるようにするための入場制御基準を追加しました（例：archlinuxイメージの場合、脆弱性が見つからないためです）。新しい基準「OS情報なしのイメージ」が追加され、trueに設定されると、イメージのベースOSが利用できないことを意味します。

コントローラーのメモリ使用量を改善（減少）します。

Kubernetes 1.19での admission control や CRD などの webhook 機能のサポートを有効にします。

Kubernetes 1.19 に必要な apiextensions.k8s.io/v1 デプロイメントのサポートを追加します（k8s 1.18 でサポートされています）。

許可リストにあるプロセスの親シェルスクリプトに起因する、予期しないプロセスプロファイル違反。

Harbor レジストリでのワイルドカードフィルターのサポートを追加します（Docker レジストリ設定を使用して構成）。

管理者パスワードがデフォルトに戻された場合に、configmap の処理を改善して再読み込みします。これは、システムがクラスターレベルのストレージ障害から回復した際の不正アクセスを防ぐためのものです。

このセキュリティリリースは、ベースの Alpine レイヤーのパッケージ libx11 に見つかった高リスクの CVE-2020-14363 に対処するための SUSE® Security マネージャーおよび Allinone コンテナ用です。 更新の一環として、中程度の CVE-2020-8927 も対処されています。この問題は、悪用される可能性は低いものの、SUSE® Security のマネージャーコンソールに影響し、コントローラーやエンフォーサーコンテナの操作には影響しません。

カスタマイズ可能なコンプライアンステンプレート。PCI、GDPR、HIPAA、NIST 用のプリセットテンプレート。各 CIS ベンチマークおよびカスタムチェックには、1つ以上のコンプライアンス規制をタグ付けできます。その後、それぞれに対してレポートを生成できます。セキュリティリスク → コンプライアンスプロファイル。

脆弱性管理ワークフローのサポート。脆弱性のステータスを追跡し、脆弱性発見日やその他の基準に基づいてポリシーを作成します。セキュリティリスク → 脆弱性（高度なフィルター）および入場制御ルール。

秘密の監査。20以上の秘密チェックが含まれ、イメージスキャンおよびリソースYAMLで自動的に実行されます。結果は、資産 → レジストリおよびセキュリティリスク → コンプライアンスにおけるイメージ脆弱性のコンプライアンスレポートで合格/警告を表示します。

ユーザー SUSE® Security のための詳細なRBAC。詳細な読み取り/書き込み権限を持つカスタムロールを SUSE® Security 機能のために作成します。ユーザーをロールに割り当てます。設定 → ユーザー/ロール。

スケーラブルで分離されたスキャナーポッド。スキャナーポッドは、数千のイメージをスキャンするためにスケールアップまたはスケールダウンできます。コントローラーは、各利用可能なスキャナーポッドにスキャンタスクを割り当てます。重要：コントローラーにはもはやスキャナー機能が含まれていないため、最低1つのスキャナーポッドをデプロイする必要があります。また、4.xスキャナーは3.xコントローラーと後方互換性がないため、3.xの外部スキャナーのデプロイメントはneuvector/scanner:3に更新する必要があります。

AWS Lambdaのためのサーバーレススキャンおよびリスク評価。サーバーレスIDEプラグインまたはAWSアカウントで脆弱性のためにAWS Lambda関数をスキャンします。サポートされている言語には、Java、Python、Ruby、node.jsが含まれます。Lambda関数のIAMロール権限を評価することによってリスク評価を実施し、不必要な権限が有効になっている場合は警告します。注意:サーバーレスセキュリティには、別の SUSE® Security ライセンスが必要です。

イメージスキャン中にコンプライアンスチェックを実施します。また、デプロイメント用のYAMLファイルも含まれます。これにはsetuid、setgid、CIS（ルートとして実行など）、20以上の秘密チェックが含まれます。

ダッシュボードのセキュリティリスクスコアにおいて、どのグループがリスクスコアに寄与するかを有効化／無効化できる機能を強化しました。ポリシー → グループ → 「スコア可能」チェックボックス。これには、システムコンテナをリスクスコアの対象外にする機能が含まれます。

ネームスペース制限ユーザーが割り当てられたレジストリにアクセスできるようにサポートを追加しました。

スキャンのsyslog通知を個別のCVE syslogイベントに分割します。

ネームスペース制限ユーザーが、そのネームスペースにアクセスできるユーザー（グローバルユーザーを含む）のみが表示できるレジストリを作成できるようにします。

ダッシュボードからネームスペースごとにpdfレポートをダウンロードします。ダッシュボードのpdfレポートをフィルタリングするためにネームスペースを選択します。

CRDインポートの動作が変更され、リンクされたグループのポリシーモードを無視するようになり、リンクされたグループが既に存在する場合はポリシーモードは変更されません。リンクされたグループが存在しない場合、自動的に作成され、設定 → 設定のデフォルトの新しいサービスモードに設定されます。「リンクされた」グループとは、エクスポートのために選択されていないが、ネットワークルールによって参照されているグループであり、選択されたグループと共にエクスポートされています。

レジストリURLの検証は、プロトコルスキームプレフィックスなしのURLを許可します。プロトコルスキーマの検証を追加しました。

コンテナスキャンに失敗しました - 一部の状況でファイルを読み取れませんでした。エラー「ファイルの読み取りに失敗しました - error=<nil>」を修正します。

特別なグループ「ノード」のグループメンバー列が不正確です。

Docker EEプラットフォームの全体的なリスクスコアリングから、適用されないため、Admission Control（4ポイント）を減算します。

スキャナー専用コントローラーは、準備が整うまでに15〜20分かかることがあります。

セキュリティリスク > 脆弱性「重大度」分布のタイトルが緊急度として誤ってラベル付けされています。

セキュリティイベントソースのWorkload:ingressルールが一致しません。OpenShift 3.11プラットフォームでのWorkload:Ingressからの予期しない暗黙の違反。内部サブネットロジックが大規模なIP範囲を処理できるように改善されました。

/var/run/docker.sockへの接続を試みる際にエンフォーサーがエラーを報告します。接続が失われた場合の回復を追加します。

4.xスキャナーは3.2.0、3.2.1、3.2.2コントローラーと互換性がありません。3.x外部スキャナーを展開しており、引き続き実行させたい場合は、スキャナーのデプロイメントをバージョン3のタグで更新してください。例：neuvector/scanner:3。または、3.2.3以上に更新することもできます。

サーバーレスセキュリティを有効にするためのライセンスが必要です。

KubernetesおよびOpenShift用の新しいclusterolebindingとclusterroleが追加されました。

コントローラーにはもはやビルトインのスキャナーがありません。少なくとも1つのスキャナーポッドをデプロイする必要があります。

メインデプロイメントサンプルのYamlファイルの変更：

設定 → 構成からバックアップを取ります。

2つの新しいバインディングを作成します

Controller、Manager、Enforcerのyamlのバージョンタグを4.0.0に設定し、更新を適用します

スキャナーポッドを作成します

スキャナークロンジョブを作成または更新します

コントローラーのローリングアップデートが完了するまで数分待ち、ログイン後にすべての設定を確認します…​