5.x リリースノート

NVSHAS-6733:レスポンスルールをCRDとしてエクスポートします。

NVSHAS-9899:JavaサービスのNeuVectorプロセスプロファイルアラートには機密データが含まれています。

NVSHAS-9990:ユーザーパスワードの新しいハッシュアルゴリズムを採用します。

NVSHAS-9968:管理者アカウントのデフォルトパスワードの設定をサポートします。

NVSHAS-10062:最初のログイン時に管理者パスワードを作成できない場合、エラーが表示されません。

NVSHAS-10041:ConfigMapを通じてフェデレーションを構成する際に「無効なデータ」としてフェデレーション操作が失敗しました。

NVSHAS-10018:NeuvectorはGitLabレジストリ内のすべてのイメージをスキャンしていません。

NVSHAS-10017:許可されたプロセスに関連する誤検知のセキュリティアラート。

NVSHAS-10001:グループ削除後に保護/監視の強制が「残る」ことがあります。

NVSHAS-9985: NeuVector（Fed Master）は、外部からのすべてのリクエストに問題を引き起こします。

NVSHAS-9981: 新しい「プロセスプロファイルルール」がグループに追加または変更されるたびにセキュリティイベントがトリガーされます。

管理者アカウントには安全でないデフォルトパスワードがあります

安全でないパスワード管理はレインボー攻撃に脆弱です

機密性の高い引数を持つプロセスは漏洩を引き起こします

NVSHAS-9776:Helmチャートにetcdのトレランスを追加します。

NVSHAS-9507:OCIコンテナがスキャンされていません。

NVSHAS-9787:不要なマネージャーログを削除します。

NVSHAS-9788:証明書生成のアルゴリズムを洗練させます。

NVSHAS-9789:リモートレジストリ構成における不要なマネージャーログを削除します。

NVSHAS-9867:NeuVectorは`.NET Library System.Formats.Asn1 v8.013`に影響を与えるCVE 2024-38095を示しています。

NVSHAS-9883: [quay.io] ワイルドカードフィルターがDockerレジストリで機能していません。

NVSHAS-9911:REST APIを使用してリポジトリをスキャンすると、不正確な「メッセージ」が表示されます。

NVSHAS-9930:`glibc/libc-bin : 2.36-9+deb12u10`のCVE-2018-20796 – 偽陽性です。

NVSHAS-9933:レジストリアダプタ機能（Harbor）がスキャン中にターゲットレジストリでエラーを表示しています。

NVSHAS-9934:ゼロドリフト機能の故障が疑われます。

NVSHAS-9940:NVスキャンのJFrogサブドメインモードの問題。

NVSHAS-9942:顧客の画像のスキャンが失敗しています。

NVSHAS-9945:プロセス名が長すぎると、適切なプロセスプロファイルルールを作成する方法を判断するのが難しくなります。

NVSHAS-9946:資格情報タイプのための入場制御アラートに表示の問題があります。

NVSHAS-9947: [UI-ext] Rancher NeuVectorで「手動」ステータスが欠落しているコンプライアンスチャート。

NVSHAS-9948:`5.4.3`にアップグレードした後、NeuVectorの設定が失われました。

NVSHAS-9949: [Harbor][不正なユーザー/パスワード] 不正なユーザー/パスワード入力でも画像をスキャンし続けます。

NVSHAS-9952:NVがライセンスキーを発行/確認しなくなったため、使用報告から「署名」を削除する。

NVSHAS-9953:ポッドエンフォーサーが再起動し続けています。

NVSHAS-9954:NeuVector Prometheusエクスポーターが重複したメトリクスを生成しています。

NVSHAS-9958:ネットワークルールの適用には時間がかかります。

NVSHAS-9960:スキャナーが動作していません。

NVSHAS-9969:致命的なエラー：同時にマップを書き込むことが原因でEnforcerコンポーネントが再起動します。

NVSHAS-9971:NV UIについて`Get Bootstrap Password`。

NVSHAS-9975: [マネージャー] TypeError: `this.mousemoveListener`はNV GUIで観察された関数ではありません。

NVSHAS-9986:プロセスとファイルアクセスルールは、連邦ポリシーグループビューでは編集または削除できません。

NVSHAS-9988:UI：グループページは、2,000を超えるグループが存在する場合、すべてのグループを表示しません。

NVSHAS-9991:グループ`nv.gatekeeper-controller-manager.openshift-azure-guardrails`がUIから欠落しています。

NVSHAS-9993:MD5をSHA256に置き換えます。

NVSHAS-9994:Enforcerポッドが再起動し続けます。

NVSHAS-9996:Helmチャートは、Enforcerポッドの非特権モードを許可する必要があります。

NVSHAS-9998:NeuVectorのフェデレーテッドマスターからグループをエクスポートできません。

NVSHAS-10000:NVをBCI 15.7にアップグレードします。

NVSHAS-10003:Rancher UIが開いている間、スタンドアロンのNVページでページの再読み込みが機能しません。

NVSHAS-10008:レジストリスキャン - スキャンされたイメージの表示メニューが壊れています。

NVSHAS-10010:TCP SYNフラッドがインバウンドをブロックし、完全なインバウンドトラフィックのブロックを引き起こします。

NVSHAS-9915:NeuVector UIでHarborスキャナーモジュールからスキャン結果を表示します。

NVSHAS-9904:各コンポーネントに`imagePullPolicy`を`values.yaml`に公開します。

NVSHAS-9869:UI：DDoSコントロールをグループペインに移動します。

NVSHAS-9840: [GCP] GCP用のNeuVectorオートパイロットサポート。

NVSHAS-9248:カウンターと`Last Used`のタイムスタンプを持つ未使用のプロセス/ネットワークルールを表示します。

NVSHAS-8160: [コントローラー] セキュリティリスクスコア計算のためにいくつかの項目を調整します。

NVSHAS-4673:グループをエクスポートする前にメッセージを追加する提案です。

NVSHAS-9931:マルチクラスター内でNeuVector製品のバージョンが不一致の場合、警告を追加します。

NVSHAS-9925:`/v1/scan/asset/images` レジストリページのAPIが失敗します。

NVSHAS-9913:Workload:XYZグループに関連する複数のネットワークルールを削除する際の問題です。

NVSHAS-9912:コントローラーサービスアカウントに必要なK8s RBAC権限についてHelmを更新します。

NVSHAS-9909:"サインアウト - ローディングページに移動"というメッセージがNeuVector Rancher NavLinkを使用しているときに表示されます。

NVSHAS-9898:フェデレーション環境では、顧客が作成したfed.*グループ（例：fed.core-systems）の基準を変更しても機能しません。

NVSHAS-9894: [エンフォーサー] Nv.protect がコントローラーのレディネスプローブコマンド cat /tmp/ready を拒否します。

NVSHAS-9886:ネットワークアクティビティがカスタム外部グループ接続のドメイン名を解決しません。

NVSHAS-9884: [ノードスキャン][コンテナスキャン] スキャンが失敗します。

NVSHAS-9873:NeuVector 5.4.2におけるUI高度フィルター検索の問題。

NVSHAS-9865:エクスポートされたネットワークポリシーは、選択の順序によって異なります（同じグループが選択されています）。

NVSHAS-9828: [Enforcer: process] NeuVector Enforcerは、短命のポッド（5秒未満）を検出できません。

NVSHAS-9783:icmpパケットを拒否するネットワークポリシーを追加した後、NeuVectorは`Security Events`でアラートを表示しません。

NVSHAS-9176:ユーザーが名前空間`rt_scan:w`のロールでログインしている場合、Security Risks > Vulnerabilitiesページにスクリプトエラーを表示します。

NVSHAS-9793:ConfigMapおよびSecretを通じてNeuVectorを展開する際に、LDAP/userinitcfgでFed Globalロールを許可します。

NVSHAS-9764: [RFE] 「リモートリポジトリ設定」のためのAzureサポートを追加します。

NVSHAS-9759:Ingress-Exposureレポートに日付の詳細を追加します。

NVSHAS-9755:シークレットのアラートで値とともに環境変数名を表示するリクエスト。

NVSHAS-9748: [Helm] CRDにおける共通グループの名前参照をサポートするためのNeuVector Helm更新（NVSHAS0-4717）。

NVSHAS-9426:Scanner用のhostPathをHelmチャートに追加します。

NVSHAS-9326:NeuVector - Harbor プラグインスキャナーモジュール。

NVSHAS-9835:ノードの自動スキャンを無効にするための UI。

NVSHAS-7997:ghcr.io 用のスキャナコネクタ。

NVSHAS-7982:フェデレーションマスターから WAF センサーを割り当てます。

NVSHAS-9849:エンフォーサーがコントローラーに登録されていません。

NVSHAS-9847:Docker レジストリ用のワイルドカードフィルターが機能していません。

NVSHAS-9833:Rancher デプロイメントでの設定の復元に失敗しました。

NVSHAS-9832:ワークロードグループを使用してネットワークルールを作成する際の問題。

NVSHAS-9821:Process Profit Rule Alertのコマンドラインからプロセス名が一致しません。

NVSHAS-9817:NvClusterSecurityRule CRD の作成は成功したように見えますが、重複したプロセスルールエントリのために実際には作成されませんでした。

NVSHAS-9812:NeuVectorのPrometheusエクスポーターが誤ったメトリクスを表示しています。

NVSHAS-9811: [マネージャー] ルートCAおよび中間CAを使用したカスタム証明書でGUIにアクセスできません。

NVSHAS-9801:FIPSモード + manager.env.ssl=false により、マネージャーがエラーを出します。

NVSHAS-9792:フェデレーションポリシーのsyncが、ボディサイズがConsulの最大値を超えたために失敗しています。

NVSHAS-9784:NeuVectorがJfrogイメージリポジトリのスキャン中に404を返しています。

NVSHAS-9783:ネットワークポリシーを追加してicmpパケットを拒否した後、ユーザーは「セキュリティイベント」にアラートが表示されません。

NVSHAS-9780:NeuVectorのシングルサインオンがRancher NavLinkで機能していません。

NVSHAS-9777:Webhook JSONに重複した「level」キーがあります。

NVSHAS-9770:ゼロドリフトモード後の自動切り替えが誤ったポリシーに切り替わります。

NVSHAS-9765:ファイルアクセスがプロテクトモードで完全にブロックされません。

NVSHAS-9756:Enforcerが最大CPUに達し、いくつかのメモリプレッシャーアラートがあります。

NVSHAS-9668:RKE2でコンプライアンステストが失敗しています。

NVSHAS-9265:PRE PCI環境における不完全で不正確な脆弱性スキャン結果。

NVSHAS-9227:レジストリスキャンがスキャンプロセスの途中で停止し、「アイドル」状態になります。

NVSHAS-9729:プロジェクトに「同じ名前」の複数のステートフルセットがデプロイされると、脆弱性のカウントが不正確になります。

NVSHAS-9810:NeuVectorコントローラーが応答せず、UIにアクセスできません。

NVSHAS-9726:モニターがプロキシURLを渡すようになりました。

NVSHAS-9719:ビルトイン証明書の廃止を発表します。

NVSHAS-9715:コントローラーとマネージャーのノードポートを設定するためのHelm Chart値のサポート。

NVSHAS-9710:脆弱性タブにソート可能な`feed_rating`列を追加します。

NVSHAS-9669:REST APIを通じた全体的なセキュリティスコア。

NVSHAS-9590:すべての資産の脆弱性スコアを選択できる機能。

NVSHAS-7555:セキュリティイベントの下に「自動更新」オプションを含める。

NVSHAS-9662:Helmチャート2.8.2における不一致なロール/ロールバインディングのロジック。

NVSHAS-9652:Splunkにおけるsyslogフォーマットの違いが観察された。

NVSHAS-9649:コンテナリンクがセキュリティイベントで404レスポンスコードを返す。

NVSHAS-9613:NeuVector Manager Podエラー / NeuVector Web UIが利用できない。

NVSHAS-9507:OCIコンテナがスキャンされていません。

NVSHAS-9443:ArgoCDを通じたアップグレード/インストールが、leases.coordination.k8s.ioオブジェクトを作成できないため失敗する。

NVSHAS-9436:CVE-2024-7347に対する偽陰性の可能性。

NVSHAS-8386:プライベートキーと自己署名証明書が複数のイメージにまだ含まれている。

NVSHAS-9754: [UI] Rancher関連のSSOユーザーがOpenShiftまたはRancherのRBACの認証を無効にするのを防ぐ。

モニターモードとゼロドリフトが、子プロセス実行時にアラートを生成しません。

NVSHAS-9721:ユーザーが間違ったレジストリ名を入力したとき、適切なエラーメッセージが表示される必要があります。

NVSHAS-9696:脆弱性ページ上の資産の色の表示が一貫していません。

NVSHAS-9686：Neuvector Helmチャートにおけるレジストリアダプタ証明書のハードコーディングされたネームスペース。

NVSHAS-9678：リンターの変更後に過剰なエラートレースが発生しています。

NVSHAS-9670：マネージャー：プレーンテキストレスポンスのダブルクオート問題と、sbt runにおけるJavaの未命名ライブラリの問題。

NVSHAS-9667：コントローラーのデプロイメントで`CTRL_PATH_DEBUG`環境変数をエラーに設定することが機能していません。

NVSHAS-9665：ファイルアクセスルール：定義済みルールの削除は「setRowData」エラーを引き起こします。

NVSHAS-9664：ポリシーグループ:カスタムスクリプトの削除は「setRowData」TypeErrorを引き起こします。

NVSHAS-8583:ルールセットのための詳細なポリシーモードを設定し、グループレベルでネットワークポリシーモードとプロファイルモードを分けます。

NVSHAS-9440:CRDにおいて、別々のネットワークモードと処理およびファイルモードをサポートします。

NVSHAS-9369:コントローラーのために、ヘルムデプロイメントサポートを介してデバッグログカテゴリを追加します。

NVSHAS-9040:モニターモードでAdmission Controlルールが拒否された場合のsyslogメッセージを改善します。

NVSHAS-9416: [スキャナー] activemq-all-5.8.0.redhat-60024.jarは、いかなる脆弱性でも検出できません（ただし、以前のスキャナービルドは可能です）。

NVSHAS-9447:コントローラーおよびスキャナーポッドがクラッシュしています - 「Unsupported system Exit」。

NVSHAS-9278:CVE-2024-41110は、最新のスキャナーイメージに見つかりました。

NVSHAS-9467:ポッドラベルによって定義されたカスタムグループは、子コンテナにそのプロファイルデータを伝播しません。

NVSHAS-9442:ArgoCDでのデプロイメントの問題。

NVSHAS-9436:CVE-2024-7347に対する偽陰性の可能性。

NVSHAS-9468:CVE-2020-26160を修正し、jwt-goをjwt:v5に置き換えます。

NVSHAS-9517:Admission Controlが一貫しておらず、誤った結果が得られています。

NVSHAS-9532:イメージスキャンは完了しましたが、デプロイメントはまだ許可されていません。

NVSHAS-9558:JWTトークンの有効期限切れ時に、http.StatusRequestTimeout（408）が報告されます。

NVSHAS-9576:ユーザーがJenkinsを使用してコントローラーモードでスキャンする際に、レジストリデータのパスワードフィールドをクリアします。

NVSHAS-9425:コンテナにvxlanがある場合、nfqを作成します。

NVSHAS-9571: [レジストリ] スキャンされたすべてのイメージのフィルタがうまく機能しません。

NVSHAS-9589:管理されたクラスターが切断されました - プライマリクラスターとのバージョン不一致。

NVSHAS-8824:ユーザーは自分のグループを削除できず、ネームスペースにスコープされたグループを作成できません。

NVSHAS-9605:無効なポリシーモードおよび処理プロファイルモードの値を持つグループのエクスポートが誤って許可されています。

NVSHAS-9608:スキャナーは、コントローラーが巨大なスキャン結果（約23MB）に対してエラーを報告しても、エラーを報告しません。

NVSHAS-9534:アドミッションコントロールでエラーを表示します。

NVSHAS-9600:コントローラーのデバッグを無効化できません。

NVSHAS-9631:いくつかのエンフォーサーエラーを削減します。

NVSHAS-9645:既存のCRD処理が失敗します。

NVSHAS-9592:新しいDBバージョンにもかかわらず、新しいスキャンはありません。

NVSHAS-9212:neuvector-binding-secretロール（binding）が不正確な場合、GET(/v1/eula)で警告メッセージを表示します。

NVSHAS-9367:レジストリの接続に失敗した場合、エラーメッセージを強化します。

NVSHAS-9475:メニューが折りたたまれているとき、背景グリッドの描画が完全に行われません。

NVSHAS-9485:UIの「ネットワークセキュリティポリシーモード」に関する不正確なメッセージ。

NVSHAS-9480:RancherのダウンストリームクラスタにデプロイされたNV UIは、Rancherからログアウト後にHTTP/403を返します。

NVSHAS-9547:セキュリティリスク -→ 脆弱性テーブルのソートが壊れています。

NVSHAS-9570: [脆弱性] 資産の異なるステータスに対する凡例の説明を変更します。

NVSHAS-9561:ダッシュボード全体のセキュリティスコアは、実際のスコアと一致する必要があります。

NVSHAS-9572: [脆弱性] ユーザーがページを更新または再ログインしても、フィルタリングされたデータが保持されていました。

NVSHAS-9597:UIは、コントローラーがPOST(v1/group)に対して403を返した場合、エラーに応答しません。

NVSHAS-8682:CRDウェブフックサービスは、CRDヘルムチャートからアプリケーションヘルムチャートに移動する必要があります。

2.8.3チャートリリースでは、以前に誤って割り当てられたリソースをCRDからコアに移動しました。CRDとコアチャートの両方を使用する場合、コアを最初にデプロイするとアップグレード中に問題が発生する可能性があります。これを解決するには、最初にCRDをアップグレードし、その後コアチャートをアップグレードしてください。

NVSHAS-9012:同じユーザー名を持つRancher SSOユーザーをNV UIに表示します。

NVSHAS-8939:Rancher SSOセッションユーザーが現在のJWTトークンを破棄できるオプションをNV UIに提供します（ログアウト）。

NVSHAS-7522:レジストリを通じた簡単なイメージナビゲーション。

NVSHAS-8148:コンテナイメージからレジストリイメージのスキャン結果へのリンクを作成します。

NVSHAS-9258:有効期限が近い証明書および内部証明書のための新しい通知を追加します。

NVSHAS-8915:新しいコンプライアンスフィルターとコンプライアンスレポートのサポート。

NVSHAS-9403:Filemonitor-UI:ユーザーが事前定義されたファイルモニタールールを削除できるようにします。

NVSHAS-8423:設定された閾値に基づいて、グループレベルの帯域幅、アクティブセッション数、およびセッションレート違反を検出します。

NVSHAS-9218:DDoS監視のための連邦およびCRDグループのサポート。

NVSHAS-8461:クラウドにおける管理されたk8sサービスのCISベンチマークをサポートします。

NVSHAS-7664:レジストリスキャン中のISPデータ料金を削減します。

NVSHAS-8868:スキャナーキャッシュ統計を公開します。

NVSHAS-8676:ベンチマークスクリプトのためのNV Protectの改善。

NVSHAS-9255:FQDNなしのイメージ名のために、Admissionコントロールの検索レジストリをカスタマイズします。

NVSHAS-9144:脆弱性プロファイルを容易に識別できるようにIDを追加しました。

NVSHAS-7687:CLIからエンフォーサーとコントローラーのログレベル（デバッグ／エラー／インフォ／ワーニング）を設定できるようにします。

NVSHAS-7518:SUSE® Securityコンポーネントの内部証明書を変更します。

NVSHAS-9287:内部証明書のローテーションを有効にします。

NVSHAS-8562:内部証明書の有効期限通知を追加します。

NVSHAS-8486:Multusネットワークインタフェースをサポートします。

NVSHAS-7447:SUSE® SecurityとのRancher RBAC統合。

NVSHAS-7822:スクリプトによるAPI呼び出しなしでのフェデレーション自動化。

NVSHAS-8799:コンプライアンステンプレートをインポートするためのコンプライアンスフレームワークを作成します。

NVSHAS-8773:初期デプロイメント中の起動パスワードサポート。

NVSHAS-6740:保護モードで学習したリストを強制することにより、ゼロドリフトベースラインプロファイルを改善します。

NVSHAS-8325:ネットワークルールのためにコンテナのネームスペース境界を強制します。

NVSHAS-8723:クラウド請求データをアーカイブします。

NVSHAS-9086:vulTraitデータ構造を排除することにより、コントローラーの処理のメモリ使用量を削減します。

NVSHAS-6979:アラートコンテンツに応答ルールのコメントを含める機能。

NVSHAS-8845:FedReaderおよびFedAdminの役割を持つAPIKEYを作成します。

NVSHAS-9306:入場制御の設定評価は、許可または拒否されたデプロイメントに責任を持つルールIDを示します。

NVSHAS-9078:OCIイメージのためのイメージ署名のサポート。

NVSHAS-7945:KubernetesのためのDISA STIGベンチマークのサポート。

NVSHAS-8234:拒否されるべきイメージを許可する入場制御ロジック。

NVSHAS-9005:レジストリでのTypeError:未定義のプロパティを読み取ることができません（'total_records’を読み取っています）。

NVSHAS-9085:資産ビューのPDFレポートは、存在する脆弱性があっても0%の脆弱性を示します。

NVSHAS-9084:資産ビューのPDFレポートは、イメージリストが空のときにNaNを示します。

NVSHAS-9128:セキュリティイベント:ワークロードのネームスペースの値がない場合、コンテナは表示できません。

NVSHAS-9025:コンテナのためのNeuvector脆弱性受け入れ範囲。

NVSHAS-9155:レジストリスキャンイメージの不正な列名とファイル名が欠落しています。

NVSHAS-9122:Rancher SSOログインを使用して「複数クラスター」を利用する際に、Neuvectorマスターログがいつでもログアウトします。

NVSHAS-9266:レジストリスキャン:脆弱性がない場合、レイヤーごとのスキャンレポートボタンは非表示または無効にする必要があります。

NVSHAS-9219:ユーザーが認証サーバーのためにサーバー証明書の検証を有効にできるようにします。

NVSHAS-9246:CSV/PDFエクスポートのフィルタリングが機能しません。

NVSHAS-8947:Rancher SSOを通じて認証された場合、NV設定をインポートできません。

NVSHAS-9282:UI：OpenShiftレジストリエントリの編集がトークンの欠落により失敗します。

NVSHAS-9098:リスクページの読み込みユーザーエクスペリエンスを向上させます。

NVSHAS-9267:REST APIの変更により、5.4マスタークラスターのUIがプレ5.4管理クラスターに切り替わることを許可しないでください。

NVSHAS-9285:UI：ドロップダウンリストボタンが他の要素と重なっています。

NVSHAS-9302:FedReaderおよびFedAdminの役割でAPIキーを作成できません。

NVSHAS-8539:プロキシ設定の再構成により、パスワードが失われます。

NVSHAS-9293:脆弱性レポートから無関係な画像の詳細を削除します。

NVSHAS-9238:UIは、変更後に表示されるクラスター名を更新しません。

NVSHAS-9363:通知設定 > Webhooksグリッドが正しく整列していません。

NVSHAS-9362:セキュリティリスク脆弱性フィルターが0件の結果を返します。

NVSHAS-8699:Rancher ADユーザーが同じ場合、ユーザーを区別できません。

NVSHAS-9062:同じユーザー名を持つRancher SSOユーザーをNV UIに表示します（コントローラーでの変換）。

NVSHAS-9071:一部のモジュールは、コンテナスキャンのみに報告されていません。

NVSHAS-8242: コントローラーが重大度を処理できるかどうかをテストするためのgRPC呼び出しです。

NVSHAS-8908:カンマ区切りを考慮してX-Forwarded-Portを正しく解析します。

NVSHAS-9024:AdmissionControlのリスキーなロールのパフォーマンス。

NVSHAS-9091:ol:9.1、photon:5.0、rhel:9.1、およびamzn:2023のソースにおいて、リポジトリ、レジストリ、スタンドアロンスキャンの下で全モジュールを報告できません。

NVSHAS-8997:パフォーマンスを向上させるために、ノードごとのポリシースロット数を大幅に削減します。

NVSHAS-9059:K8sから削除された後でも、NVに表示されるCRDグループ。

NVSHAS-9107:rest.handlerConfigLocalClusterでのGoroutineクラッシュ。

NVSHAS-9108:ポート18500は開いていてはいけません。

NVSHAS-9119:probe.(*FileNotificationCtr).AddContainer()でのGoroutineクラッシュ。

NVSHAS-9125:無効な設定のCRDエントリは作成を許可してはなりません。

NVSHAS-9124:Docker: 多くの予期しないヘルスチェックプロセスのインシデントが報告されています。

NVSHAS-9111:NVは`--event-qps > 0`を確認する必要があります。

NVSHAS-9130:特定のコンテナが起動した後に、予期しないContainer.パッケージ.Updatedのインシデントが見つかります。

NVSHAS-9080:Fedリーダーユーザーは、一部のREST APIにアクセスできません。

NVSHAS-9092:名前空間ユーザーは、グローバルアセットを表示してはいけません。

NVSHAS-9116:ワーカークラスターは、接続が切断された場合に離れることができます。

NVSHAS-8980:oc 4.15でノードのホストおよびトンネルインターフェースを正常に取得しました。

NVSHAS-9188:ハーベスターノードのホストインターフェースとしてmgmt-brインターフェースを設定します。

NVSHAS-4858:ポリシーデプロイメントのパフォーマンスを向上させ、CPUおよびメモリ使用量を削減するために、コントローラー内のコンテナグループを開かないでください。

NVSHAS-8700:Rancher ADユーザーは、時々SUSE® Securityにログインできません。

NVSHAS-9121:グループのネットワーク監視閾値設定は編集できません。

NVSHAS-9189:コントローラーがシャットダウンして再起動した後、スキャンがスケジューリングで停止します。

NVSHAS-9019:ホストインターフェースのリンク状態の同期不良を修正します。

NVSHAS-8305:ビルトイン証明書を削除します。

NVSHAS-9013:プロセスモニターからBPFフィルターを削除します。

NVSHAS-7853:TLSハンドシェイクEOF。

NVSHAS-9290:ユーザーが追加したプロセスプロファイルルールは、ZDが有効な場合に効果を発揮しません。

NVSHAS-9301:Rancher PrimeにデプロイされたNVは、それがRancherフレーバーであることを認識できません。

NVSHAS-9289:RBACが欠落している場合にアップグレードを許可します。

NVSHAS-7601:シナリオ中のPV設定バックアップからの復元を改善します。

NVSHAS-7687:エンフォーサーのためのsyslogレベル設定を追加します。

NVSHAS-9292:Ingress Egressの露出において、脆弱性が0件と表示される問題を修正します。

NVSHAS-9270:CISベンチマークパイプラインのためにk3sをサポートします。

NVSHAS-9338:アラート「管理されたクラスター[id]がプライマリから切断されています」。

NVSHAS-9358:プロキシを使用したイメージスキャンが失敗します。

NVSHAS-9337:SYNフラッドが検出されたときにログメッセージを送信します。

NVSHAS-9209:k8sからネームスペースが削除されるときにドメインキャッシュを削除します。

NVSHAS-8985:コントローラーの再起動後にフェデレーテッドレジストリが消えます。

NVSHAS-9443:ArgoCDを通じてのアップグレード/インストールが失敗します。leases.coordination.k8s.ioオブジェクトを作成できません。

解決策:ARGO CDを使用して5.4.0にアップグレードする前に、指定されたリースオブジェクトを作成します。neuvectorと異なる場合はネームスペースを変更します。

cat <<EOF | kubectl apply -f -
apiVersion: coordination.k8s.io/v1
kind: Lease
metadata:
  name: neuvector-controller
  namespace: neuvector
spec:
  leaseTransitions: 0
---
apiVersion: coordination.k8s.io/v1
kind: Lease
metadata:
  name: neuvector-cert-upgrader
  namespace: neuvector
spec:
  leaseTransitions: 0
EOF

`host`と`tunnel`インターフェースはOpenShift CLI v4.15で正常に取得されました。

IP範囲169.254.x.xはホストインターフェースIPから除外されています。

エンフォーサーの起動後1分でホストインターフェースを再確認してください。

OpenID発行者URLの正規表現が失敗する問題を修正しました。

以下のCVEを修正します：

ユーザーが`Admission Controls`ページから特定のストレージクラスの使用をブロックできるようにします。

`LDAP Authentication`には`baseDN`と`groupDN`の設定が分離されたフィールドがあります。

`Egress and Ingress chart`には各サービスの`High`および`Medium`の脆弱性の数を含む新しい脆弱性列が追加されました。

複数エントリの`regex`でカンマ（,）を使用する際の`Admission Control user criteria`に関連するバグを修正。

`jar`パッケージのCVEスキャンで、同じCVEの影響を受けるすべてのパッケージが表示されないバグを修正しました。すべての発生が報告されます。

以下のCVEを修正します：

Helmチャートを使用して`updater-cron-job`をインストールする際に、ユーザーがSUSE® Securityのリソースを設定できるようにします。

Prometheusエクスポータコンテナのバージョン管理が見直され、`controller`のバージョン管理と切り離されました。

（スキャナー）UbuntuおよびRed Hat Enterprise Linuxで`R`パッケージ/モジュールを検出します。

（スキャナー）PHP Composerスキャンのサポートが追加されました。

以前のSUSE® Securityリリースからv5.3.1にアップグレード後、既存のNvClusterSecurityRuleカスタムリソースが誤って削除される可能性があります。NOTE:バージョン5.3.1は、アップグレードの問題を防ぐためにDocker Hubから削除されました。

Githubアクションを使用する際に、ユーザーが'`accepted’の脆弱性を定義できるようにし、ワークフローに影響を与えないようにします。

資産 > レジストリ > 画像の脆弱性ビューに、重大度、スコアレベル、フィード評価フィルターを追加します。

レジストリを構成する際に、レジストリ画像スキャンに定義されたプロキシを使用するかどうかを許可します。

セキュリティリスク > 脆弱性 > 高度なフィルターは「修正なしのCVE」をフィルタリングしません。

コンテナからホストモードコンテナへの予期しない違反

OCIイメージ形式をdocker API 1.24に切り替える際に受け入れる

レジストリスキャンは非イメージアーティファクトをスキャンせず、エラーをログに記録しないべきです

インターネットやsigstoreへの依存なしに、ルートレスのキーペアイメージ署名検証を許可する

特定のノードでネットワークルールによってセキュリティイベントが許可されない（「コンテナタスクチャネルフル」エラーメッセージに関連）

コンテナがワークロードに正常に追加できない（頻繁に発生）チャネルメッセージからのデッドロックによる結果

Jenkins、GitHubアクション、Bambooのスキャナープラグインを更新する

（スキャナー）OCIイメージ形式をdocker API 1.24に切り替える際に受け入れる

（スキャナー）レジストリスキャンは非イメージアーティファクトをスキャンせず、エラーをログに記録しないべきです

（スキャナー）PHP Composerスキャンのサポートを追加する

SUSE® Securityをインストールした後、有効化/インストールすると、RancherからのSUSE® Security UI拡張機能がクラスターのダッシュボードを表示し、フルSUSE® SecurityクラスターへのSSOリンクを含みます。NOTE:拡張機能はサードパーティとして表示される場合がありますが、これは将来のリリースで修正されます。また、インストール後、Rancher 2.7.xユーザーはリストに2つのSUSE® Security UI拡張機能アイコンが表示される場合があります（バグ）。1つのアイコンはアンインストールと表示され（インストールされていることを意味します）、もう1つはインストールと表示されるべきです。これはそのままにしておくことができ、すなわち、拡張機能がすでにインストールされている場合は再度インストールしないでください。

ダッシュボード（出口）、PDFおよびCSVレポート、ネットワークアクティビティ画面およびセキュリティイベント（違反）リストに外部宛先URL（FQDN）を表示します。

ディスカバーモードでは、外部FQDNアドレスグループへの出口を自動的に学習します。外部接続が既存のルールと一致しない限り、新しい外部FQDNカスタムグループが作成されます。

新しいコントローラー環境変数CTRL_EN_ICMP_POLICY = 1を介してICMP学習（ディスカバーモード）とブロック（プロテクトモード）を有効にします。

コンソールまたはREST APIを使用して、デフォルトのリポジトリにgitopsをサポートするためにCRDをGitHubにエクスポートします。

ADFS iDPとのSAML SSOシングルログアウトをサポートします。

ARM64プラットフォームのサポートを追加します。ARMベースのプラットフォームからのプルは、自動的に適切なARM64 SUSE® Securityイメージをプルします。

プロキシを介してwebhookをサポートします。

すべてのルールの結果を含むように、アドミッションコントロールの監査機能を改善します。各ルールの結果をリストし、ライブアドミッションコントロールデプロイメントで評価されたときに発生する最終アクションのための別のエントリを追加します。

CRDまたはyaml（kubectl）を介して無効化されたアドミッションコントロールルールを適用します。

コンソール、CRD、またはREST APIを介して脆弱性プロファイルのエクスポート／インポートを行います。インポートすると、既存のプロファイルが置き換えられます。CRDを削除すると、空のプロファイルになります。

コンソール、CRD、またはREST APIを介してコンプライアンスプロファイルテンプレートのエクスポート／インポートを行います。インポートすると、既存のテンプレートが置き換えられます。

CISベンチマークのコンプライアンスレポートに、ユーザーが手動で実行しなければならない「手動」ステータスを追加します（SUSE® Securityによって実行されるのではありません）。

脆弱性ページのUIの読み込み/パフォーマンスを改善します。

ブラウザのセッションログインを統一します。これにより、ブラウザ内のすべてのタブが同じログインセッションを共有し、既存のセッションから新しいタブを開くときに認証情報を要求せず、1つのタブがログアウトするとすべてのタブがログアウトします。

コンソール（UI）のセキュリティの強化：1) 必須のセキュリティヘッダーを追加します（X-Content-Type-Options nosniff; X-XSS-Protection 1; mode=block; X-Frame-Options SAMEORIGIN; Cache-Control private, no-cache, no-store, must-revalidate HTTP Strict Transport Security max-age=15724800）、2) CSPヘッダーを追加します（例：'`default-src’ディレクティブを設定）、3) サーバー名の開示を削除します。

新しいバージョンのCISベンチマークをサポートします。Kubernetes (1.8.0)、Kubernetes V1.24 (1.0.0)、Kubernetes V1.23 (1.0.1)、RedHat OpenShiftコンテナプラットフォーム (1.4.0)

資産の→コンテナ→コンテナ詳細に、レジストリでスキャンされたコンテナとランタイムのコンテナを表示します。

グループへのリンクを追加して、セキュリティリスク→脆弱性→影響ポップアップからグループモードを簡単に編集できるようにします。

画像および/またはコンテナ脆弱性ページへのURLのディープリンク機能をサポートします。

管理者がコンソール設定→ユーザーでユーザーパスワードをリセットするためのパスワードリセットオプションを追加します。

設定→設定→通知で、イベントログをコントローラーポッドログに送信できるようにします。送信されるイベントは「notification=」で始まり、リーダーコントローラーポッドにのみ保存されます。このバージョンにはバグがあり、イベントレベルを変更するにはSYSLOGを有効にする必要があります（レベルを変更した後は無効にすることもできます）。

コントローラー/強制者が「/host/cgroup」をマウントする必要を削除します。

Slack、ドキュメント、その他のリソースへのリンクを含む「サポートを取得」メニューを追加します。

メッセージフィールドを/v1/log/activityログに記入します。

多数のCVEがある場合のセキュリティリスク→脆弱性で内部サーバーエラーが発生します。

SIGSEGV: コントローラーでのセグメンテーション違反

脆弱なファイル（例：jar）を削除しても、脆弱性リストから削除されません。

無効なSyslog証明書がSHA256withECDSA署名アルゴリズムを使用しています。

SUSE® Securityは、ネットワークルールによって許可されるべきセキュリティイベントを示しています。

"ゾンビ"エンフォーサーが実行されている管理されていないノード。

高度なフィルターは、修正および影響フィールドが空白のままです。

予期しないエンフォーサーの再起動を防ぐために文字列処理を修正してください。

ビルトイングループに関連する予期しない違反。

サポートバンドル用エンフォーサーのデバッグRPC呼び出しでデータ取得時にエラーが発生します。

グループがセキュリティイベントで一致していません。

プロキシを使用している場合、Slackへのイベント送信が機能していません。

許可されたネットワークルールのセキュリティイベントを表示しています。

Helmチャートにランタイムコンテナエンジン（ソケット）の自動検出を追加してください。

Helmチャートで特権モードでコントローラーを実行する設定を削除し、コントローラー/エンフォーサーが「/host/cgroup」をマウントする必要も削除します。

サンプルのKubernetesデプロイメントファイルは、SUSE® Securityのドキュメントから削除されました。例についてはリンクを参照してください。

コンテナランタイム（ソケット）の自動検出により、コンテナランタイムとソケットパスを指定する必要がなくなります。

コントローラーを特権モードで実行する必要があるという要件が削除されたことで、ランタイムソケットや/host/cgroupをマウントする必要がなくなります。

yamlにneuvector-binding-secretおよびneuvector-secretのロール/ロールバインディングを追加しました。

5.3に必要な新しいサービスアカウントとロールバインディングが必要です。

すべての参照されたデプロイメントyamlファイルは、現在そのパスに/5.3.0/を持っています。

opensslのCVE-2023-6129、およびcurlのCVE-2023-46219、CVE-2023-46218を修正します。

Azure AKS ValidatingWebhookConfigurationの変更とエラーロギング。

ScannerでNVD API 2.0のサポートを追加します。

スキャナーのスタンドアロンモードでコンテナホストをスキャンします。

ノードでのスキャンは、デッドロックしたdocker cp / grpcの問題により失敗します。

高リスクのCVE-2023-38545およびCVE-2023-43804を含むCVEを修正するためにパッケージを更新します。

デプロイメントおよびアップグレード時にJWTトークンの署名に使用される証明書を自動生成し、Helmベースのデプロイメント中にManager/RESTful API証明書を自動生成することでCVE-2023-32188"`JWT token compromise can allow malicious actions including Remote Code Execution (RCE)`"に対応します。

カスタムコンプライアンススクリプトに追加の制御を設けてください。デフォルトでは、環境変数 CUSTOM_CHECK_CONTROL が Controller および Enforcer に追加されない限り、カスタムスクリプトの追加は許可されません。値は「disable」（デフォルト、許可されていない）、「strict」（管理者ロールのみ）、または「loose」（管理者、コンプライアンス、ランタイムポリシーロール）です。

LDAP インジェクションを防止します - ユーザー名フィールドはエスケープされています。

レイヤードスキャンのために、SYSLOG に送信される CVE 結果に追加のスキャンデータを追加してください。

スキャン CVE データベースのために NVD API 2.0 をサポートします。

資産 → コンテナの詳細にコンテナイメージのビルド日を提供します。

ネットワークルールのソートを調整します：ネットワークルールビューでのソートを無効にしますが、グループビューでのネットワークルールのソートを有効にします。

Enforcer に環境変数 THRT_SSL_TLS_1DOT0、THRT_SSL_TLS_1DOT1 を設定することで、TLS 1.0 および TLS 1.1 の検出/アラートを有効または無効にできます。デフォルトでは無効になっています。

メモリ圧力イベントを調査する際にメモリ使用量をキャプチャするのを支援するために、Controller および Enforcer に環境変数 AUTO_PROFILE_COLLECT を追加してください。値を 1 に設定して有効にします。

Admission Control に対する設定評価は、1 回のスキャンで全ての違反を表示する必要があります。

応答ルールにおける CVE レポート基準のためのオプションを追加してください。例 1 - "cve-high-with-fix:X" は次のことを意味します：（修正された重大な脆弱性の数）が X 以上の場合、応答ルールをトリガーします。例 2 - "cve-high-with-fix:X/Y" は次のことを意味します：（Y日前に報告され、修正された重大な脆弱性の数）が X 以上の場合、応答ルールをトリガーします。

グループポリシーのエクスポートは、実際の YAML コンテンツを返しません。

専用機能を持つネームスペースのプルーニングを改善します。

SUSE® Security ネームスペースユーザーはアセットを見ることができません—​ネームスペース

CRのネームスペースがすでに削除されている場合、CRDのCREATE/UPDATEリクエストの処理をスキップします。

ネームスペースが削除された後に正常にプルーニングできないCRDグループの一部に対する回避策を提供します。

SYSLOGメッセージにレイヤードスキャン結果と追加のCVEデータを報告します。これは設定 → 設定 → SYSLOG のチェックボックスを通じて有効になります。

エクスポートされた csv コンプライアンスレポートに NIST 800-53 マッピング（docker CIS ベンチマークへの）をエクスポートします。

イメージ署名検証におけるプロキシ設定をサポートします。

ダウンロードされた CVE レポートにイメージ署名スキャン結果を含めます。

Admission Control Policiesのポッド注釈のサポートを追加し、カスタム基準を通じて利用可能です。

脆弱性レポート印刷用のフィルターに最終更新日フィールドを追加し、また脆弱性ビューに高度なフィルターを追加します。

AWS請求（CSPアダプター）オファリングの初期SUSE® Securityデプロイメントでは、デフォルトパスワードを持つデフォルト管理者を作成せず、ユーザーが管理者のユーザー名とパスワードを作成するためにシークレットを使用する必要があります。

.jsonファイルのサイズが増加し、Kubernetesノードがクラッシュする問題を修正しました。

SQLインジェクション検出ロジックを改善します。

最初にSUSE® Securityコアチャートをインストールする前にhelm crdチャートをインストールすると、サービスアカウントが欠落します。

イメージスキャンI.4.1のコンプライアンス結果が不正確です。

脆弱性の高度なフィルターレポートが他のすべてのネームスペースからのイメージを表示しています。

SUSE® Security APIアクセスのためのトークンをサポートします。新しいAPIキーを作成するには、設定→ユーザー、APIキー…​を参照してください。キーはデフォルトまたはカスタムロールに設定できます。

SUSE® Securityの月額サポートサブスクリプションのために、AWS Marketplace PAYG請求をサポートします。ユーザーは、前月の平均ノード数の使用量に基づいて、月額請求されるSUSEサポートのSUSE® Securityに加入することができます。詳細については、AWS Marketplaceを参照してください。

アドミッションコントロールのためのイメージ署名をサポートします。ユーザーは、Sigstore/Cosignとの統合を通じて、イメージが特定の当事者によって署名されていることを確認するためにSUSE® Securityを要求できます。新しい署名資産を作成するには、資産→ Sigstore Verifiersを参照してください。その後、イメージ署名および/またはイメージSigstore Verifiersの基準でルールを作成できます。

各アドミッションコントロールルールに、モニターまたは保護の独自のモードを持たせることを可能にします。モニターモードでの拒否アクションは警告を発し、保護モードでの拒否アクションはブロックします。許可アクションには影響がありません。

ポリシー > アドミッションコントロール > ルール追加（ユーザーおよびユーザーグループ用）で、正規表現をサポートする新しい正規表現オペレーターを追加します。「任意の正規表現に一致」と「正規表現に一致しない」をサポートします。

リソース制限などのアドミッションコントロール基準をサポートします。リソース制限のための新しい基準が追加され、カスタム基準設定を通じて追加の基準がサポートされます。

SUSE® Securityスキャナーをハーバーレジストリから プラグインスキャナーインターフェースを介して呼び出すことをサポートします。これには、コントローラーへの接続の設定が必要です（公開API）。ハーバーアダプターは、プッシュ時に自動的にスキャンできるスキャンをトリガーするためにコントローラーエンドポイントを呼び出します。定期的なスキャンには、インタロゲーションサービスを使用できます。連邦プライマリコントローラーからのスキャン結果は、リモートクラスターに伝播されます。 NOTE:HTTPSベースのアダプターエンドポイントエラーに問題があります：テスト接続エラーは無視してください、エラーが表示されていても動作します（証明書の検証をスキップ）。

CVEルックアップのための検索可能なSaaS。最新のSUSE® Security CVEデータベースを検索して、特定のCVEがデータベースに存在するかどうかを確認します。このサービスはSUSE® Security Prime（有料サポートサブスクリプション）顧客向けに提供されています。アクセスのためにSCCポータルを通じてサポートに連絡してください。

ユーザーがネットワーク保護を無効にできるようにしますが、WAF/DLPは機能し続けます。設定→構成でネットワークポリシーの有効化を行います。

各SUSE® Securityコンポーネントに必要な権限の少ないサービスアカウントを使用します。変数"`leastPrivilege`"が導入されました。デフォルトは偽です。NOTE:この変数を使用して現在のヘルムチャートを5.2.0以前のリリースで使用すると、正しく機能しません。

CIS 1.5 5.1.5の推奨事項を満たすために、デフォルト以外のサービスアカウントにバインドします。

管理者が設定→ユーザー、APIキーおよび役割内で、ユーザーのデフォルトセッションタイムアウトを構成できるようにします。

規制および政府の展開のためのカスタマイズ可能なログインバナーとカスタマイズ可能なUIヘッダーテキスト。設定の要件はこちらにあります。

TLS暗号化トランスポートのSYSLOGサポート。SYSLOG用の設定→構成でTCP/TLSを選択します。

Rancher ManagerからSUSE® Securityモニターヘルムチャートの展開を有効にします。

レジストリスキャンのURLバリデーターにおけるトップレベルドメインの上限を削除します。

ランタイムスキャンを含むgolang依存関係をスキャンします。

Debian 12（Bookworm）の脆弱性スキャンをサポートします。

選択したレジストリのAssets→Registriesにおいて、構成済みのすべてのイメージのCVEをエクスポートするCSVエクスポート機能を追加します。

SUSE® Securityがx.509証明書フィールドに複数のADFS証明書を並行して設定できるようにします。

レスポンスルールのコメントフィールドを追加し、表示します。

環境変数を通じてSUSE® Securityがシステムコンテナと見なすものを指定します。例えば、Rancherとデフォルトのネームスペースの場合：NV_SYSTEM_GROUPS=*cattle-system;default

Kubernetes 1.27およびOpenShift 4.12のサポートを追加します。

エンフォーサー/コントローラーのログにおける繰り返しログを削減します。

複数のクラスターのページがレンダリングされません。

空のグループの自動削除が、スケジュールに従って1時間ではなく2時間かかります。

手動で許可されたネットワークルールが適用されず、ポーズイメージに対して違反が発生しています。

特定の初期条件下でトラフィックを許可するネットワークルールがあってもSSL接続をブロックします。

ポリシー更新の同期の問題により、許可されたネットワークルールがあってもセキュリティイベントの警告が発生します。

ネットワーク活動がカスタムグループのトラフィックを外部に誤って関連付けています。

各ポッドにマウントされたネームスペースのデフォルトサービスアカウントトークンは、特権が高すぎます。

ネットワークルールを定義しているにもかかわらず、コンテナがメモリ不足（OOM）エラーで停止した場合、セキュリティイベントに違反が記録されています（誤検知）。

ユーザーがクラスター内の管理されていないコンテナに対する検出と保護を無効化/有効化できるようにします。これはマネージャーCLIを通じて設定できます：

Helmチャートに「leastPrivilege」設定を追加します。New_Service_Profile_BaselineのためのHelmオプションを追加します。5.2用の新しいHelmチャート（コア）バージョンが公開されました。

HelmチャートでAWS Marketplace（請求アダプター）統合設定を有効にします。

新機能（複数のADFS証明書、ゼロドリフト、New_Service_Profile_Baseline、SYSLOG TLS、ユーザータイムアウト）をサポートするためにconfigmapを更新します。

サポートされているKubernetesバージョンを1.19+、OpenShift 4.6+（1.19+はCRI-O付き）に更新します。

Microsoft .NETフレームワークをスキャンするための新しい脆弱性フィードを追加します。

スケーラビリティを向上させるために、PrometheusエクスポーターではデフォルトでEnforcerの統計が無効になっています。

使いやすさの向上：スキャナーを使用して単一のイメージをスキャンし、結果を印刷します（以下の例を参照）。

アドミッションコントロールルールの基準にimagePullPolicyチェックを追加します。

CRDスキーマが古くなっている場合に警告メッセージを表示します。

ネットワークアクティビティ画面がレンダリングされないか、正しくレンダリングされません。

空のグループの自動削除が、スケジュールに従って1時間ではなく2時間かかります。

コンプライアンスプロファイルがUIコンソールに表示されません。

セキュリティイベントの高度なフィルターに「エラー」レベルが欠落しています。

特殊文字を含む保存されたパスワードは、将来の認証試行で失敗します。

リクエストが多いときに、複数のクラスターのページが正しく表示されません。

レジストリの詳細（下部）ペインが更新されません。

仮想ホストベースのアドレスグループとポリシーによるネットワーク保護のサポート。これにより、2つの異なるFQDNアドレスが同じIPアドレスに解決されますが、各FQDNに対して異なるルールが適用されるユースケースが可能になります。この保護を有効にするために、'`vh:’インジケーターを使用して、'`address=vh:xxx.yyy’を含む新しいカスタムグループを作成できます。ネットワークルールは、仮想ホスト名（解決されたIPアドレスの代わりに）に基づいてカスタムグループを'`From’ソースとして使用し、仮想ホストに対して異なるルールを適用できます。

終了したコンテナを除外するコンプライアンスコンテナのリスト。

DLPルールを強化し、パターンで単純なワイルドカードをサポートできるようにします。

cri-o 1.26+およびOpenShift 4.11+のサポートを追加します。

Gravatarをオプションにします。

コンソール/UIにクラスターのネームスペースリソースを表示します。

コンソールにNVDの重大度スコアとともに、ソースの重大度/分類（例：Red Hat、Ubuntu…​）を表示します。

ユーザーがSSOを通じて認証されている場合、RancherおよびOpenShiftのSSO/RBACの無効化を許可しないでください。

自動スキャンの有効化と未使用グループの削除をconfigMapに追加します。

暗黙の拒否違反のために、csv/pdfに外部ソース/宛先のIPアドレスを含めます。

コントローラーとEnforcerのCPUおよびメモリ使用量に関するさまざまなパフォーマンスとスケーラビリティの最適化。

保護モードのときにGKEコンテナ最適化OS（COS）ノードでアプリケーションの遅延を修正します。

スキャナーでSUSE Linux（SLES）15.4のCVEが一致しません。この修正により、フィードに重大度が提供されている場合、NVDレコードが欠落していても脆弱性がデータベースに追加されます。レポートにはCVEスコアのない脆弱性が含まれている可能性があります。

Helm https://github.com/neuvector/neuvector-helm/pull/237.のAdmission Control CRDオプションを強化します。

Helmチャートに新しいEnforcer環境変数を追加します。

検出された脆弱性のsyslog-eventに"`package`"を情報として追加します。

Enforcer環境変数ENF_NETPOLICY_PULL_INTERVALを追加します - 値は秒単位（推奨値60）で、ポリシーの更新/再計算によるネットワークトラフィックとリソース消費を削減します。（注：これは2023年8月まで文書化されていない追加でした）。

空のグループ削除エラー "オブジェクトが見つかりません"

同じコンテナ内のトラフィックのアラート/ブロック

許可ルールがあるistioの出口トラフィックに対する予期しない暗黙の違反

SUSE® Security 4.xリリースからのアップグレード時に、誤ったポッドグループメンバーシップが予期しないポリシー違反を引き起こします。

リクエストに追加のエンコーディング文字が現れた場合、ADFSでOIDC認証が失敗しました。

ポッドを作成および削除するdpによる高いメモリ使用量

複数のCVEを修正するためにalpineを更新します。マネージャー：CVE-2022-37454、CVE-2022-42919、CVE-2022-45061、CVE-2021-46848; Enforcer：CVE-2022-43551、CVE-2022-43552

さまざまなUIバグ修正が行われました。

内部通信のための証明書の置き換えを可能にするためにHelmチャートが更新されました。

集中管理されたマルチクラスターのスキャン（CVE）データベース。プライマリ（マスター）クラスターは、連携レジストリとして指定されたレジストリ/リポジトリをスキャンできます。これらのレジストリからのスキャン結果は、すべての管理（リモート）クラスターに同期されます。これにより、管理クラスターコンソールでスキャン結果を表示できるようになり、Admission Controlのルールで結果を使用できるようになります。レジストリは各クラスターによってスキャンされるのではなく、一度だけスキャンされる必要があり、CPU/メモリおよびネットワーク帯域幅の使用を削減します。

アドミッションコントロールルールを強化します：

新しい環境変数NO_DEFAULT_ADMINを追加します。これを有効にすると、'admin’ユーザーが作成されません。これはデフォルトとしてRancher SSO統合に使用されます。有効でない場合、ユーザーに持続的に警告し、デフォルトの管理者パスワードがデフォルトから変更されていない場合はイベントを記録します。

ログイン試行に失敗した後のログインブロックがデフォルトになります。デフォルト値は5回の試行で、設定→ユーザーとロール→パスワードプロファイルで構成可能です。

パフォーマンスチューニングのための新しい環境変数ENF_NO_SYSTEM_PROFILESを追加します。値："1".これを有効にすると、プロセスとファイルモニターが無効になります。学習プロセスはなく、プロファイルモードはなく、プロセス/ファイル（パッケージ）インシデントやファイルアクティビティモニターは実行されません。これにより、CPU/メモリリソースの使用量とファイル操作が削減されます。

スキャナーポッドのためのカスタムオートスケーリング設定を追加します。値は遅延、即時、および無効です。重要:スキャナーがOpenShiftオペレーターによってデプロイされている場合、スキャナーの自動スケーリングはサポートされません。理由は、オペレーターが常にポッドの数を設定された値に変更するためです。

カスタムグループは、Rancherのネームスペースラベルを含むネームスペースラベルを使用できるようになりました。一般的に、ポッドとネームスペースのラベルは、カスタムグループに追加できるようになりました。

選択したネームスペースやグループをネットワークアクティビティビューで非表示にする機能を追加しました。

Cilium CNIの完全なサポートを提供します。

OpenShift 4.9および4.10の完全なサポートを提供します。

ビルドツールは、SUSE® Security/Open Zero Trust (OZT)プロジェクトのために https://github.com/openzerotrust/openzerotrust.io.で利用可能になりました。

SUSE® Securityは、 https://github.com/neuvector/manifests/tree/main/versions.でコントローラー、マネージャー、Enforcerの各バージョンのバージョンIDとSHA256ダイジェストを一覧表示します。

匿名のテレメトリデータ（ノード数、グループ、ルール）は、プロジェクトチームが使用状況を理解するのを支援するために、デプロイ時にRancherクラウドサービスに報告されます。これは、UIまたはconfigMap（No_Telemetry_Report）やREST APIで無効にすることができます。

（2023年1月の補遺）。Istioを使用したServiceEntryベースのネットワークポリシーをサポートします。Egressネットワークポリシーの適用機能は、Istioで宣言されたServiceEntry宛先へのポッドのためにバージョン5.1.0で追加されました。通常、ServiceEntryはDNS名で参照される外部サービスが宛先IPに解決される方法を定義します。v5.1以前は、SUSE® SecurityはServiceEntryへの接続のルールを検出して適用することができなかったため、すべての接続は外部として分類されていました。5.1では、特定のServiceEntry宛先に対してルールを適用できるようになりました。重要:Istioベースのデプロイメントにv5.1にアップグレードする場合、これらの接続を許可し、違反アラートを回避するために新しいルールを作成する必要があります。アップグレード後、許可ルールが存在しない場合、新たに可視化されたトラフィックに対して暗黙の違反が報告されます。新しいトラフィックルールは、発見モードで学習され、自動的に作成されることがあります。このトラフィックを許可するには、グループを発見モードにするか、アドレス（またはDNS名）を持つカスタムグループを作成し、この宛先に新しいネットワークルールを追加してトラフィックを許可します。NOTE:拒否違反によって報告された宛先に、正しい宛先を表さないバグがあります（5.1.0）。 バグは、server_nameとclient_nameが同じであることを報告します。 この問題は、今後のパッチリリースで対処される予定です。

ローリングアップデート中に作成された不要なCISベンチマークデータからコントローラーのメモリ消費を削減します。この問題は、新しいデプロイメントでは発生しません。

設定画面からライセンスを削除しました（もはや必要ありません）。

curlのCVE（CVE-2023-23914、CVE-2023-23915、CVE-2023-23916）を修正するためにalpineパッケージを更新します。

dpMsgConnectionでの高いメモリ使用量

管理されていないワークロードを持つ多くの学習ポリシールールがある場合、Enforcerのdpプロセスでの高いメモリ使用量（メモリリーク）

コンテナ上でトラフィックをスニファリングする際にtcpdumpが正常に起動できません。

複数のCVEを修正するためにalpineパッケージを更新します。マネージャー：CVE-2022-37454、CVE-2022-42919、CVE-2022-45061、CVE-2021-46848; Enforcer：CVE-2022-43551、CVE-2022-43552

5.0.xにアップグレードすると、Manager、Controller、Enforcerが異なるバージョンで実行されているというエラーメッセージが表示されます。

エンフォーサーがゴルーチンのパニックを起こし、dpが強制終了されます。 WebUIはエンフォーサーをオンラインとして反映しません。

CoreOS上で実行されたコマンドにより、NV.Protectグループで予期しないProcess.Profile.Violationインシデントが発生しました。

alpineを更新して、マネージャーのexpatライブラリにおける重大なCVE-2022-40674を削除し、他の軽微なCVEも削除します。

Antrea CNIのサポートを追加します。

NV.Protectグループにおける予期しないprocess.profile.violationインシデントを修正します。

マネージャーUIアクセスでSSLが無効になっている場合、ユーザーパスワードがマネージャーログに出力されます。

永続ボリュームからの正常な再起動後にEULAを表示しないでください。

脆弱性プロファイル設定でイメージフィルターを使用して、コンテナスキャン結果をスキップします。

https://github.com/neuvector/neuvector-image-scan-action.でGitHubアクションのスキャナーをサポートします。

秘密のスキャンを無効にし、CISベンチマークを実行するためのエンフォーサー環境変数を追加します。

エンフォーサーが時々起動できない。

マルチクラスター連携環境での接続漏れ。

セキュリティリスク → コンプライアンスでコンプライアンスページが時々読み込まれない。

RancherのハードニングおよびSELinuxクラスターがサポートされています。

k3sシステムでエージェントプロセスのCPU使用率が高い。

5.0へのアップグレード後、AD LDAPグループが正しく機能しない。

エンフォーサーがエラー＝オープンファイルが多すぎる（rke2/cilium）ため、再起動を繰り返す。

サポートログが正常にダウンロードできない。

openSUSE Leap OSの脆弱性スキャンをサポート（スキャナーイメージ内）。

スキャナー：イメージリポジトリ再構築中にワイプアウト属性を実装。

SUSE® Security デプロイメントを確認し、SELinuxが有効なホストをサポート。helmチャートが更新されるまでの一時的なパッチについての詳細は以下を参照。

Rancher HelmチャートのTraefik用に最適化されたIngressアノテーション。バックエンド通信が正しくHTTPSスキームを利用するように設定を更新（例：`traefik.ingress.kubernetes.io/service.serversscheme: https`経由）。

現在のOpenShift Operatorは、APIおよび連携サービスのパススルールートをサポートしています。エッジおよび再暗号化ルート終了タイプをサポートするために追加のHelm Valueパラメータが追加されました。

AKSクラスターがアドミッションコントロールwebhookに予期しないキーを追加する可能性があります。

エンフォーサーがk8s 1.24クラスターで1.64のcontainerdコンテナランタイム上で稼働状態になりません。さらに、エンフォーサーが起動に失敗することがあります。

クラスターをfed masterに昇格させる任意のadminロールのユーザー（ローカルユーザーまたはSSO）は、自動的にfedAdminロールに昇格する必要があります。

マスタークラスターでRancherのデフォルト管理者を使用してSUSE® Securityにログインすると、SUSE® Securityのログインロールはadminであり、fedAdminではありません。

いくつかのゴルーチンのクラッシュを修正しました。

ノードに関連付けられていないホストIPからの暗黙の違反。

ComplianceProfileはPCIタグを表示しません。

LDAPグループマッピングが表示されないことがあります。

リスクレビューと改善ツールは、エラーメッセージ「システム構成の更新に失敗しました：リクエスト形式が間違っています。」を引き起こします。

OKD 3.11 - クラスター役割エラーは、存在していても表示されます。

すべてのイメージのncursesパッケージに重大なCVE-2022-29458が見つかりました。

Updaterイメージのcurlパッケージに重大なCVE-2022-27778およびCVE-2022-27782が見つかりました。

グループモードの自動昇格。経過時間と基準に基づいてグループのプロテクトモードを昇格させます。CRDで作成されたグループには適用されません。この機能により、新しいアプリケーションがしばらくの間ディスカバーモードで実行され、その動作を学習し、ネットワークとプロセスのための許可リストルールをSUSE® Security作成し、自動的にモニターモード、次にプロテクトモードに移行します。監視基準の発見：グループ内の少なくとも1つのライブポッドのすべてのネットワークおよびプロセス活動を学習するための経過時間。保護基準の監視：グループの設定された時間枠内にセキュリティイベント（ネットワーク、プロセスなど）がありません。

Rancher 2.6.5アプリおよびマーケットプレイスチャートのサポート。cattle-neuvector-systemネームスペースにデプロイし、RancherからSUSE® SecurityへのSSOを有効にします。注意:Rancherからの以前のデプロイ（例：パートナーカタログチャート、バージョン1.9.xおよびそれ以前）は、新しいチャートに更新するために完全に削除する必要があります。

SUSE Linux（SLE、SLES）およびMicrosoft Marinerのスキャンをサポート。

ゼロドリフトプロセスおよびファイル保護。これはプロセスおよびファイル保護の新しいデフォルトモードです。ゼロドリフトは、元のコンテナイメージにある親プロセスから発生するプロセスのみを自動的に許可し、ファイルの更新や新しいファイルのインストールを許可しません。ディスカバーまたはモニターモードのとき、ゼロドリフトは疑わしいプロセスまたはファイル活動に警告を出します。保護モードでは、そのような活動をブロックします。ゼロドリフトは、プロセスを学習させたり、許可リストに追加したりする必要はありません。グループのゼロドリフトを無効にすると、そのグループに対してリストされたプロセスとファイルのルールが代わりに適用されます。

ネットワーク、プロセス/ファイルのための分割ポリシーモード保護。設定→Configurationでは、ネットワークルール施行のためにネットワーク保護モードを個別に設定できるグローバル設定が利用可能になりました。これを有効にすると（デフォルトは無効）、すべてのネットワークルールが選択された保護モード（ディスカバーモード、モニターモード、プロテクトモード）になりますが、プロセス/ファイルルールはそのグループの保護モードのままとなります。これはポリシー→グループ画面に表示されます。このようにして、ネットワークルールをプロテクト（ブロック）に設定し、プロセス/ファイルポリシーをモニターモードに設定することができます。

WAFルール検出、強化されたDLPルール（ヘッダー、URL、フルパケット）。ウェブアプリケーションポッドへのインバウンド接続およびapiサービスへのアウトバウンド接続に使用され、apiセキュリティを施行します。

WAF、DLP、およびアドミッションコントロールのためのCRD。注意：追加のクラスター役割バインディング/権限が必要です。KubernetesおよびOpenShiftのデプロイメントセクションを参照してください。CRDによるアドミッションコントロールのためのインポート/エクスポートおよびバージョン管理がCRDを通じてサポートされています。

Rancher Managerを通じてSUSE® Securityコンソールを起動するためのRancher SSO統合。この機能は、SUSE® SecurityコンテナがRancherを通じてデプロイされている場合にのみ利用可能です。このデプロイメントは、ミラーリングされたRancherリポジトリ（例：rancher/mirrored-neuvector-controller:5.0.0）からプルし、cattle-neuvector-systemネームスペースにデプロイします。NOTE:2022年5月以降の更新されたRancherリリース2.6.5が必要であり、現時点では管理者およびクラスターオーナーの役割のみがサポートされています。

RKE2でのデプロイメントをサポートします。

プロキシを通じたクラスターのフェデレーション（マルチクラスター管理）をサポートします。設定→の構成でプロキシを設定し、フェデレーション接続を構成する際にプロキシを有効にします。

必要なrbacのclusterrole/bindingsを監視し、欠落している場合はイベントおよびUIで警告します。

アドミッションコントロールルールにおけるリソース制限のサポート基準。

Webhook用のMicrosoft Teamsフォーマットをサポートします。

マッピングされた役割グループの下でAD/LDAPのネストされたグループをサポートします。

OpenShiftのためにIDP内のグループ情報を持つclusterrolebindingsまたはrolebindingsをサポートします。

ネットワークルールと入場制御ルールをフェデレーテッドルールに昇格させることを許可します。

ワーカーフェデレーション役割のバックアップが非フェデレーテッドクラスターに復元されるべきという問題を修正します。

セキュリティリスク→の脆弱性における多数のCVEのページ読み込み時間を改善します。

ポリシー→グループメニューで全グループを選択した際に、ユーザーがモードを切り替えることを許可します。ノードグループも選択されている場合は警告します。

同じ名前のコンプライアンスチェック項目を折りたたみ可能にし、開くことができるようにします。

gRPC通信のセキュリティを強化します。

修正: rke2セットアップで正しいワークロード特権情報を取得できない問題を解決しました。

openSUSE Leap 15.3（k8s/crio）のサポートに関する問題を修正しました。

HelmチャートのappVersionを5.0.0に、チャートバージョンを2.2.0に更新しました。

サーバーレススキャン機能/メニューを削除しました。

Jfrog Xrayスキャン結果統合のサポートを削除しました（Artifactoryレジストリスキャンは引き続きサポートされています）。

ECSへのデプロイメントのサポートはもはや提供されていません。allinoneは引き続きECSにデプロイ可能ですが、手順と設定のドキュメントはもはやサポートされていません。

すべての機能が実装されており、グループモードの自動昇格を含みます。経過時間と基準に基づいてグループのプロテクトモードを昇格させます。CRDで作成されたグループには適用されません。この機能により、新しいアプリケーションがしばらくの間ディスカバーモードで実行され、その動作を学習し、ネットワークとプロセスのための許可リストルールをSUSE® Security作成し、自動的にモニターモード、次にプロテクトモードに移行します。ディスカバーからモニターへの基準:グループ内の少なくとも1つのライブポッドのすべてのネットワークおよびプロセス活動を学習するための経過時間。モニターから保護への基準:グループの設定された時間枠内にセキュリティイベント（ネットワーク、プロセスなど）がありません。

Rancher 2.6.5アプリおよびマーケットプレイスチャートのサポート。cattle-neuvector-systemネームスペースにデプロイし、RancherからSUSE® SecurityへのSSOを有効にします。注意:Rancherからの以前のデプロイメント（例：パートナーカタログチャート、バージョン1.9.xおよびそれ以前）は、新しいチャートに更新するために完全に削除する必要があります。

Enforcer、Manager、Controllerのタグ:5.0.0-b1（例: neuvector/controller:5.0.0-b1）

SUSE Linux（SLE、SLES）およびMicrosoft Marinerのスキャンをサポート。

ゼロドリフトのプロセスおよびファイル保護。これはプロセスとファイル保護の新しいデフォルトモードです。ゼロドリフトは、元のコンテナイメージにある親プロセスから発生するプロセスのみを自動的に許可し、ファイルの更新や新しいファイルのインストールを許可しません。ディスカバーまたはモニターモードのとき、ゼロドリフトは疑わしいプロセスまたはファイル活動に警告を出します。保護モードでは、そのような活動をブロックします。ゼロドリフトは、プロセスを学習させたり、許可リストに追加したりする必要はありません。グループのゼロドリフトを無効にすると、そのグループに対してリストされたプロセスとファイルのルールが代わりに適用されます。

ネットワーク、プロセス/ファイルのための分割ポリシーモード保護。設定の→コンフィギュレーション内に、ネットワークルール施行用のネットワーク保護モードを個別に設定できるグローバル設定が追加されました。これを有効にすると（デフォルトは無効）、すべてのネットワークルールが選択された保護モード（ディスカバーモード、モニターモード、プロテクトモード）になりますが、プロセス/ファイルルールはそのグループの保護モードのままとなります。これはポリシー→グループ画面に表示されます。このようにして、ネットワークルールをプロテクト（ブロック）に設定し、プロセス/ファイルポリシーをモニターモードに設定することができます。

WAFルール検出、強化されたDLPルール（ヘッダー、URL、全パケット）

WAF、DLP、および入場制御のためのCRD。注意：追加のクラスター役割バインディング/権限が必要です。KubernetesおよびOpenShiftのデプロイメントセクションを参照してください。CRDによる入場制御のためのインポート/エクスポートおよびバージョン管理がCRDを通じてサポートされています。

Rancher Managerを通じてSUSE® Securityコンソールを起動するためのRancher SSO統合。この機能は、SUSE® SecurityコンテナがRancherを通じてデプロイされている場合にのみ利用可能です。NOTE:更新されたRancherリリースが必要です（日時/バージョンは未定）。

RKE2でのデプロイメントをサポートします。

プロキシを通じたクラスターのフェデレーション（マルチクラスター管理）をサポートします。

必要なrbacのclusterrole/bindingsを監視し、欠落している場合はイベントおよびUIで警告します。

入場制御ルールにおけるリソース制限のサポート基準。

ワーカーフェデレーション役割のバックアップが非フェデレーションクラスターに復元されるべきであるという問題を修正します。

ソースにおける軽微なファイルおよびライセンスの変更があり、機能は追加されていません。

サポートされていない、'テクニカルプレビュー’バージョンのSUSE® Security 5.0オープンソースバージョンの最初のリリースです。

ヘッダーまたは本文内のネットワーク攻撃を検出するためのOWASPトップ10、WAFのようなルールのサポートを追加します。署名のCRD定義と適切なグループへの適用のサポートが含まれています。

サーバーレススキャン機能を削除します。

TBD

Helmチャートv1.8.9は5.0.0デプロイメント用に公開されています。5.0.0のプレビュー版を使用する場合、values.ymlに以下の変更を加える必要があります：