0.7.0 (18.07.2025)

BREAKING

• Das Existenzcheck Kommando für BOMs , Nutzer , etc. lautet “exist” statt “exists”, und gibt im raw Modus die Anzahl der existierenden Einträge statt nur “true”/“false” aus.
• Vollständiges Ersetzen der Option “email” mit “user”, wie mit Version 0.6.0 angekündigt.
• Die Konfigurationen “ skip_user_verification ”, “ tmp_admin ” and “ user_expiration_period ” befinden sich nun unter “[user]”. Zwei davon sind weiterhin zu “skip_verification” beziehungsweise “expiration_period” umbenannt.

Hinzugefügt

• Abgelaufene Nutzer werden nach einer Weile ganz aus der Datenbank gelöscht. Die Zeit ist über den Parameter “ removal_period ” konfigurierbar.
• Der “whoami” (“Wer bin ich”) Befehl gibt Ihren aktuellen Nutzernamen zurück, falls sie auf dem Server authentifiziert werden können.

Changed

• Das globale Limit für Anfragen von neuen Nutzern ist über die Paramter “ user.new_user_dos_prevention ” konfigurierbar.
• Das Format zum Spezifizieren von Datetimes ist sehr viel gnädiger als vorher.
• Ein Nutzer, dessen vorherige Anfrage für einen Nutzeraccount abgelehnt wurde, kann keine weiteren Nutzeraccounts anfragen.

Behoben

• Die Zuordnung von CSAF Dokumenten zu BOMs war fehlerhaft.
• Das Überschreiben von BOM Name oder Version während der Modifizierung hat nicht richtig funktioniert.

0.6.1 (14.06.2025)

Geändert

• BOMnipotent Client benutzt die lokalen SSL Zertifikate der Plattform anstatt hardgecodeter webpki Roots.

Behoben

• HTTP Statuscodes 3xx werden nicht weiter als Fehler behandelt.

0.6.0 (10.6.2025)

BREAKING

• Einführung vieler Filteroptionen für die “list” und “download” Befehle für bom , component , vulnerabiliy , csaf , product , user , user-role und role-permission . Manche davon ersetzen vorherige Optionen, und die Kommunikation zwischen Server und Client wurde mancherorts angepasst. Deswegen ist diese Änderung inkompatibel mit vorherigen Versionen. Allerdings nicht sehr inkompatibel.

Hinzugefügt

• Erneutes Stellen einer Anfrage auf einen neuen Benutzer mit demselben Schlüssel verschickt erneut die Verifizierungsmail.
• BOM und CSAF Upload akzeptieren die Option “on-existing” mit den Varianten “error”, “skip” und “replace”, welche kontrollieren, wie mit Konflikten wöhrend des Uploads umgegangen wird.
• Die Befehle bom, vulnerability, csaf, product, user, user-role und role-permission unterstützen den “exists” Sub-Befehl, welcher prüft ob mindestens ein Objekt auf dem Server existiert, welches den gegebenen Filtern entspricht.

Verändert

• Anfänge der Migration von der Option “email” zu “user”, indem erstere als nicht empfohlen markiert und letztere freigeschaltet wird.
• Roboter können die Admin Rolle nicht zugewiesen bekommen.

Behoben

• Entfernen von Rücklaufzeichen und anderen unsichtbaren Buchstaben in Kommandozeilenargumenten.

0.5.0 (17.05.2025)

BREAKING

• Der Server verifiziert Benutzerkonten, indem er einen kryptografisch signierten Link an die angegebene E-Mail-Adresse sendet. Dies erfordert einen SMTP-Abschnitt in der Konfigurationsdatei. Dieses Verhalten und damit die Notwendigkeit des SMTP-Abschnitts können durch eine andere Konfiguration umgangen werden. Da BOMnipotent jedoch das secure-by-default Prinzip verfolgt, startet der Server nicht, wenn keiner dieser Abschnitte konfiguriert ist.
• Der Client verbietet die Genehmigung nicht-verifizierter Benutzer. Diese Sicherheitsmaßnahme kann mit dem Flag “–allow-unverified” umgangen werden.

Hinzugefügt

• Mit dem Flag “–robot” kann der Client ein Roboterkonto für die Automatisierung erstellen. Dieses Konto wird nicht per E-Mail verifiziert und muss erneut mit dem Flag “–robot” genehmigt werden.

0.4.2 (26.04.2025)

Hinzugefügt

• Die Ports, an die sich der HTTP und HTTPS Server binden, sind frei konfigurierbar .
• Das Logging kann dazu konfiguriert werden, die Nachrichten entweder in die Standardausgabe oder in eine Logdatei auszugeben.

Behoben

• Der Server prüft vor Entfernen eines Nutzers ob dieser existiert.
• Sonderzeichen in URLs werden während der Kommunikation über das Internet gründlicher enkodiert.

0.4.1 (07.04.2025)

Geändert

• Eine BOM zu löschen, löscht nun auch alle zugehörigen Sicherheitslücken.
• Relative Dateipfade werden beim Speichern in einer Sitzung in absolute umgewandelt.
• Wechsel zum “xitca” Server Framework.

0.4.0 (24.03.2025)

BREAKING

• Nutzerkonten müssen nun existieren, bevor ihnen Rollen zugewiesen werden können.
• Beim modifizieren eines CSAF Dokumentes ist das Angeben einer ID nun optional.
• Logging überarbeitet:
  • Die Option “–output-mode” / “-o” nimmt nun nur die Argumente “normal”, “code” und “raw”.
  • Die neue Option “–log-level” / “-l” nimmt “error”, “warn”, etc.
  • Die Logdatei wird nun über “–log-file” / “-f” angegeben.
  • Das Verhalten welche Kombination wie viel wohin logt wurde geradegezogen.
  • Der “raw” Ausgabemodus verarbeitet die Daten nun wie jeder andere auch.

Behoben

• Der Server kommt nun damit zurecht, wenn eine hochgeladene BOM mehrere Sicherheitslücken mit derselben ID enthält.

Geändert

• Die neue Flag “–overwrite” erlaubt während des Downloads das lokale Überschreiben von BOM und CSAF Dokumente, welche sich auf dem Server geändert haben.

0.3.1 (17.03.2025)

Hinzugefügt

• Die neuen Befehle “bom get” und “csaf get” geben den Inhalt eines Dokumentes direkt in die Standardausgabe. Dies erleichtert die Skript-Integration von BOMnipotent.
• Die neuen Optionen “–name” und “–version” für den “vulnerability update” Befehl ermöglichen das Angeben bzw. Überschreiben von Name oder Version des korrespondierenden Produkts.

Geändert

• Die Ausgabe von “subscription status” enthält nun den tatsächlichen Produktnamen anstatt der (internen) Produkt ID.