株式会社イーシーキューブは、9月28日に最新版「EC-CUBE4.2」のリリースを発表した。
EC-CUBE4.2では、リリースにあたりクオリティやセキュリティ向上を目的とした「バグバウンティ(バグや脆弱性報告・修正に対して報酬を与える仕組み)」を2022年7月より初開催。55人のバグハンターから266件のバグや機能改善、脆弱性の報告・修正を受け、リリース前に対応を行った。
同バージョンでは、セキュリティ強化機能としてEC-CUBE4.2β版以降から、さらにログインの試行回数制限機能やパスワード要件をPCI DSS ver4.0に準拠するなど2件の機能強化を追加。バグバウンティ実施により、16年間で培ってきたコミュニティの集合知を発揮しながらクオリティとセキュリティを高めている。
なお、9月21日にはEC-CUBE4.2リリースパーティ兼バグバウンティ表彰式を実施。2年半ぶりとなるオフラインでのコミュニティ同士のネットワーキングを行い、約100名が参加した。
EC-CUBE4.2の特徴
セキュリティ関連の機能強化
- ログインの試行回数制限機能
- パスワードの要件をPCI DSS ver4.0に準拠
- HTMLテキスト入力箇所のサニタイズ
- ファイルアップロード可能な機能を制限するオプションを追加
- JSライブラリをnpmで管理
- メンテナンストークンにSecure属性を設定
Symfony 5.4/PHP8へのアップデート
現行バージョンの「EC-CUBE4.1.2」で利用しているフレームワークをSymfony5.4/PHP8にアップデート
そのほかの主な追加機能
- インボイス制度対応:2023年10月から施行される消費税の仕入税額控除の方式に対応。税率の計算方法の変更や消費税額の表示変更にも対応
- 改正特定商取引法対応:2022年6月施行の改正商取引法への対応機能を追加
- サードバーティーCookie廃止への対応:2024年に予定されるChromeのサードバーティーCookie廃止へ対応
- そのほか多数の機能追加/修正および不具合修正を実施
