このリリースでは、セキュリティ標準へのコンプライアンス推進支援および既存機能の拡張に重点を置きました。
セキュリティ コンプライアンス パック
このリリースでは、セキュリティ標準やプラクティスへのコンプライアンス推進に役立つテスト コンフィギュレーションにすぐにアクセスできるセキュリティ パックが導入されました。セキュリティ パックには、以下のテスト コンフィギュレーションが含まれています。
- CWE 3.1
- CWE SANS Top 25 2011
- Microsoft Secure Coding Guidelines
- OWASP Top 10 2017
- PCI Data Security Standard
- PCI v3.1 Data Security Standard (Server Configuration)
- Security Assessment
- UL 2900
詳細は「ビルトイン テスト コンフィギュレーション」を参照してください。
コンプライアンス パックを使用するには、専用のライセンス機能を有効化する必要があります。コンプライアンス パック ライセンスの詳細については、Parasoft 製品サポートにご連絡ください。
スタンドアロンの License Server
別の DTP インスタンスまたはスタンド アロンの License Server から Parasoft ライセンスを取得できます。「Parasoft ライセンスの設定」(デスクトップの場合) または「ライセンスの設定」 (オートメーションの場合) を参照してください。
.NET Core Web アプリケーションのカバレッジ収集
dotTEST は IIS サーバーにデプロイされた .NET Core Web アプリケーションのカバレッジを収集できます。「Web アプリケーションのアプリケーション カバレッジ」を参照してください。
追加または更新されたテスト コンフィギュレーション
以下のビルトイン テスト コンフィギュレーションが追加されました。
CWE 3.1
CWE SANS Top 25 2011
OWASP Top 10 2017 (「非推奨のテスト コンフィギュレーション」を参照)
以下のセーフティ標準を推進するテスト コンフィギュレーションは、静的解析カテゴリからセキュリティ パックに移動されました (「セキュリティ コンプライアンス パック」を参照)。
Microsoft Secure Coding Guidelines
OWASP Top 10 2017
PCI Data Security Standard
PCI v3.1 Data Security Standard (Server Configuration)
Security Assessment
UL 2900
解析結果の向上のため、以下のテスト コンフィギュレーションが更新されました。
Critical Rules
Demo
Find Memory Issues
PCI Data Security Standard
PCI v3.1 Data Security Standard (Server Configuration)
Recommended .NET Core Rules
Recommended Rules
UL 2900
dotTEST に付属するテスト コンフィギュレーションの一覧は「ビルトイン テスト コンフィギュレーション」を参照してください。
非推奨のテスト コンフィギュレーション
CWE-SANS Top 25 Most Dangerous Programming Errors – 非推奨になり、CWE SANS Top 25 2011 テスト コンフィギュレーションに置き換えられました。
OWASP Top 10 2017 – 非推奨になり、 OWASP Top 10 2017 テスト コンフィギュレーションに置き換えられました。
非推奨のテスト コンフィギュレーションは、デフォルトでは利用できません。ユーザー定義コンフィギュレーションとして適用することはできます。これらのテスト コンフィギュレーションは、次の場所にあります: [INSTALL_DIR]\configs\builtin\Deprecated.
その他の変更
VSTest のバージョンが 15.9.0 にアップデートされました - 詳細は「VSTest Release Notes」を参照してください。
IDE でのフロー解析結果の表示が改善されました。
プロジェクトをビルドする前に NuGet パッケージが自動的に復元されるようになりました (「ビルド前のパッケージの復元」を参照)。
Microsoft Team Foundation Server 2008 はサポートされなくなりました。
新規静的解析ルール
以下のルールが追加されました。
ルール ID | ヘッダー |
|---|---|
BD.SECURITY.TDINPUT | フォーマット文字列からサニタイズされていないユーザー入力を除外する |
CS.SEC.AUK | 'unsafe' キーワードを避ける |
EXCEPT.NTSAE | 'Exception'、'SystemException'、'AppicationException' をスローしてはならない |
SEC.ACCA | カスタム暗号化アルゴリズムの使用を避ける |
SEC.AIWIL | ループでのインデクサーのラップアラウンドを避ける |
SEC.APDM | 潜在的に危険なメソッドの使用を避ける |
SEC.AUEP | 昇格された権限の使用を避ける |
SEC.UOWR | RSA アルゴリズム暗号化を使用して OAEP を使用する |
SEC.WEB.UAA | ページおよびコントローラーで authorization 属性を使用する |
SEC.XXE.PDTDP | DTD 処理を防ぐ |
更新された静的解析ルール
解析結果の向上のため、以下の静的解析ルールおよびメトリクスが更新されました。
BD.SECURITY.TDFNAMES
BD.SECURITY.TDSQL
BD.SECURITY.TDXSS
BRM.HBCM
BRM.HBCP
CS.BRM.IDOU
CS.BRM.IEB
CS.BRM.UCB
IFD.DDFODB
NG.FN.PNCFN
OPU.CPTEQ
OPU.REVT
PB.DNCF
PB.INOE
SEC.ACWNS
METRIC.CLLOCRIF
METRIC.CLLOCRIT
METRIC.CLLOCRIM
以下のルールが非推奨になり、BD.RES.LEAKS ルールに置き換えられました。
GC.UFID
PB.CFSRLV
SEC.CDBC
SEC.CDBCLV
SEC.CDR
SEC.CDRLV
以下のルールの出力メッセージが更新されました。そのため、以前に DTP で関連付けられたこれらのルールの抑制はもう利用できない場合があります。
BD.PB.ARRAY
BD.PB.ZERO
BD カテゴリ ルールの以前のメッセージおよび抑制を復元できます。「dotTEST を新しいバージョンにアップグレードした後、一部のルールの抑制が DTP で使用できない場合」を参照してください。
解決済みのバグおよび FR
バグ/FR ID | 説明 |
|---|---|
DT-11992 | CS.BRM.IDOU の誤検出 |
DT-12827 | Roslyn ランナーの前提条件は .NET Framework 4.6.2 ではなく 4.6 でなければならない |
DT-12826 | SEC.AIWIL、SEC.APDM および SEC.LGE のローカライズ リソースが不足している |
DT-12744 | DTP テスト コンフィギュレーション ビューでルール ラベルがローカライズされていない |
DT-12816 | テスト コンフィギュレーションの日本語リソースがない |
DT-12523 | dotTEST pdf ルール ドキュメントにルールが不足している |
DT-12732 | TUG.NTU.AUPNT ルールの説明が翻訳されていない |
DT-12510 | Parasoft.Dottest.CodingStandards.Runner のクラッシュが Windows イベントしてレポートされる |
DT-12609 | CS.BRM.IEB ルールの再実装 |
DT-12904 | PB.INOE の違反の組み合わせの問題 |
DT-8990 | IFD.DDFODB の誤検出 |
DT-11744 | CS.BRM.UCB は埋め込みの単一行の using 文に対してタスクを検出するべきではない |
DT-12411 | NG.FN.PNCFN カスタム パラメータライズ |
FA-6649 | BD-PB-CC の bit-AND に対する違反誤検出 |
FA-6552 | 添付のソリューションでフロー解析の違反が検出されない |
