このリリースでは、セキュリティ標準へのコンプライアンス推進支援および既存機能の拡張に重点を置きました。

セキュリティ コンプライアンス パック

このリリースでは、セキュリティ標準やプラクティスへのコンプライアンス推進に役立つテスト コンフィギュレーションにすぐにアクセスできるセキュリティ パックが導入されました。セキュリティ パックには、以下のテスト コンフィギュレーションが含まれています。

  • CWE 3.1
  • CWE SANS Top 25 2011
  • Microsoft Secure Coding Guidelines
  • OWASP Top 10 2017
  • PCI Data Security Standard
  • PCI v3.1 Data Security Standard (Server Configuration)
  • Security Assessment
  • UL 2900

詳細は「ビルトイン テスト コンフィギュレーション」を参照してください。

(info) コンプライアンス パックを使用するには、専用のライセンス機能を有効化する必要があります。コンプライアンス パック ライセンスの詳細については、Parasoft 製品サポートにご連絡ください。

スタンドアロンの License Server

別の DTP インスタンスまたはスタンド アロンの License Server から Parasoft ライセンスを取得できます。「Parasoft ライセンスの設定」(デスクトップの場合) または「ライセンスの設定」 (オートメーションの場合) を参照してください。

.NET Core Web アプリケーションのカバレッジ収集

dotTEST は IIS サーバーにデプロイされた .NET Core Web アプリケーションのカバレッジを収集できます。「Web アプリケーションのアプリケーション カバレッジ」を参照してください。

追加または更新されたテスト コンフィギュレーション

以下のビルトイン テスト コンフィギュレーションが追加されました。

以下のセーフティ標準を推進するテスト コンフィギュレーションは、静的解析カテゴリからセキュリティ パックに移動されました (「セキュリティ コンプライアンス パック」を参照)。

  • Microsoft Secure Coding Guidelines

  • OWASP Top 10 2017

  • PCI Data Security Standard

  • PCI v3.1 Data Security Standard (Server Configuration)

  • Security Assessment

  • UL 2900

解析結果の向上のため、以下のテスト コンフィギュレーションが更新されました。

  • Critical Rules

  • Demo

  • Find Memory Issues

  • PCI Data Security Standard

  • PCI v3.1 Data Security Standard (Server Configuration)

  • Recommended .NET Core Rules

  • Recommended Rules

  • UL 2900

dotTEST に付属するテスト コンフィギュレーションの一覧は「ビルトイン テスト コンフィギュレーション」を参照してください。

非推奨のテスト コンフィギュレーション

  • CWE-SANS Top 25 Most Dangerous Programming Errors – 非推奨になり、CWE SANS Top 25 2011 テスト コンフィギュレーションに置き換えられました。

  • OWASP Top 10 2017 – 非推奨になり、 OWASP Top 10 2017 テスト コンフィギュレーションに置き換えられました。

非推奨のテスト コンフィギュレーションは、デフォルトでは利用できません。ユーザー定義コンフィギュレーションとして適用することはできます。これらのテスト コンフィギュレーションは、次の場所にあります: [INSTALL_DIR]\configs\builtin\Deprecated.

その他の変更

  • VSTest のバージョンが 15.9.0 にアップデートされました - 詳細は「VSTest Release Notes」を参照してください。

  • IDE でのフロー解析結果の表示が改善されました。

  • プロジェクトをビルドする前に NuGet パッケージが自動的に復元されるようになりました (「ビルド前のパッケージの復元」を参照)。

  • Microsoft Team Foundation Server 2008 はサポートされなくなりました。

新規静的解析ルール

以下のルールが追加されました。

ルール ID

ヘッダー

BD.SECURITY.TDINPUT

フォーマット文字列からサニタイズされていないユーザー入力を除外する

CS.SEC.AUK

'unsafe' キーワードを避ける

EXCEPT.NTSAE

'Exception'、'SystemException'、'AppicationException' をスローしてはならない

SEC.ACCA

カスタム暗号化アルゴリズムの使用を避ける

SEC.AIWIL

ループでのインデクサーのラップアラウンドを避ける

SEC.APDM

潜在的に危険なメソッドの使用を避ける

SEC.AUEP

昇格された権限の使用を避ける

SEC.UOWR

RSA アルゴリズム暗号化を使用して OAEP を使用する

SEC.WEB.UAA

ページおよびコントローラーで authorization 属性を使用する

SEC.XXE.PDTDP

DTD 処理を防ぐ

更新された静的解析ルール

解析結果の向上のため、以下の静的解析ルールおよびメトリクスが更新されました。

  • BD.SECURITY.TDFNAMES

  • BD.SECURITY.TDSQL

  • BD.SECURITY.TDXSS

  • BRM.HBCM

  • BRM.HBCP

  • CS.BRM.IDOU

  • CS.BRM.IEB

  • CS.BRM.UCB

  • IFD.DDFODB

  • NG.FN.PNCFN

  • OPU.CPTEQ

  • OPU.REVT

  • PB.DNCF

  • PB.INOE

  • SEC.ACWNS

  • METRIC.CLLOCRIF

  • METRIC.CLLOCRIT

  • METRIC.CLLOCRIM

 以下のルールが非推奨になり、BD.RES.LEAKS ルールに置き換えられました。

  • GC.UFID

  • PB.CFSRLV

  • SEC.CDBC

  • SEC.CDBCLV

  • SEC.CDR

  • SEC.CDRLV

以下のルールの出力メッセージが更新されました。そのため、以前に DTP で関連付けられたこれらのルールの抑制はもう利用できない場合があります。

  • BD.PB.ARRAY

  • BD.PB.ZERO

BD カテゴリ ルールの以前のメッセージおよび抑制を復元できます。「dotTEST を新しいバージョンにアップグレードした後、一部のルールの抑制が DTP で使用できない場合」を参照してください。

解決済みのバグおよび FR

バグ/FR ID

説明

DT-11992

CS.BRM.IDOU の誤検出

DT-12827

Roslyn ランナーの前提条件は .NET Framework 4.6.2 ではなく 4.6 でなければならない

DT-12826

SEC.AIWIL、SEC.APDM および SEC.LGE のローカライズ リソースが不足している

DT-12744

DTP テスト コンフィギュレーション ビューでルール ラベルがローカライズされていない

DT-12816

テスト コンフィギュレーションの日本語リソースがない

DT-12523

dotTEST pdf ルール ドキュメントにルールが不足している

DT-12732

TUG.NTU.AUPNT ルールの説明が翻訳されていない

DT-12510

Parasoft.Dottest.CodingStandards.Runner のクラッシュが Windows イベントしてレポートされる

DT-12609

CS.BRM.IEB ルールの再実装

DT-12904

PB.INOE の違反の組み合わせの問題

DT-8990

IFD.DDFODB の誤検出

DT-11744

CS.BRM.UCB は埋め込みの単一行の using 文に対してタスクを検出するべきではない

DT-12411

NG.FN.PNCFN カスタム パラメータライズ

FA-6649

BD-PB-CC の bit-AND に対する違反誤検出

FA-6552

添付のソリューションでフロー解析の違反が検出されない




  • No labels