Fortify软件平安内容 2023 更新

Fortify 软件平安研究团队将前沿研究转化为平安谍报，为 Fortify 产物组合供给撑持，包罗 Fortify 静态代码阐发器 （SCA） 和 Fortify WebInspect。现在，Fortify 软件平安内容撑持 30 种语言的 1，399 个破绽类别，涵盖超越 100 万个零丁的 API。

Fortify Software Security Research （SSR） 很兴奋地公布立即推出 Fortify Secure Coding Rulepacks（英语，版本 2023.1.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify Premium Content 的更新。

Fortify平安编码规则包 [Fortify静态代码阐发器]

在此版本中，Fortify 平安编码规则包可检测 30 种编程语言中的 1，177 个特殊类此外破绽，并逾越超越 100 万个零丁的 API。总之，此版本包罗以下内容：

GoLang 更新（撑持的版本：1.17）

更新了对 Go 原则库的撑持，以撑持更高版本 1.17。Go是由Google设想的静态类型开源语言，其目标是使构建简单、可靠和高效的软件变得随便。Go 在语法上类似于 C，但具有内存平安机造、垃圾收受接管和构造类型。此更新改进了原则库定名空间的笼盖范畴，以包罗以下附加类别：

Header Manipulation: SMTPMail Command Injection: SMTP

撑持改进了对现有定名空间笼盖率下的弱点检测，并扩展到包罗以下新定名空间：

io/fsmath/bigmath/randomnet/smtpnet/textprototext/template

Python 更新（撑持版本：3.10）

Python 是一种通用的、功用强大的编程语言，具有动态类型和高效的高级数据构造。它撑持多种编程规范，包罗构造化、面向对象和函数式编程。此版本通过扩展对 Python 原则库 API 更改的撑持，增加了我们对 Python 3.10 的笼盖范畴。更新的类别包罗：

途径操做进犯隐私系统信息泄露

ECMAScript 更新（撑持的版本：2022）[1]

ECMAScript 2022，也称为 ES2022 或 ES12，是 JavaScript 语言的 ECMAScript 原则的最新版本。ES2022的次要功用是私有办法和拜候器，扩展的数字文字，逻辑赋值运算符以及改进的错误处置。对 ES2022 的撑持将所有相关 JavaScript 破绽类此外笼盖范畴扩展到最新版本的 ECMAScript 原则。

Vue 2（撑持的版本：2.7）

对 Vue 2 的初始撑持。Vue 是一个开源的响应式框架，用于为所有 ECMAScript 5 兼容阅读器构建用户界面和单页利用法式。Vue 专注于 Web 利用法式的视图层，是做为 Angular 和 React 等常见框架的极简主义替代品而创建的。

iOS SDK 更新（撑持的版本：16）[2]

Apple的iOS SDK供给了一系列框架，使开发人员可以为Apple iPhone和iPad设备构建挪动利用法式。此版本包罗对 iOS SDK 对 Swift 和 Objective-C 的撑持的增量更新。新的和更新的规则扩展了 iOS SDK 15 和 16 中 Swift iOS 和 iPadOS 利用法式的 DataDetection、Foundation、Security、SwiftUI 和 UIKit 框架的 API 笼盖范畴。那些更新改进了许多现有弱点类此外问题检测，包罗：

展开全文

Biometric Authentication: Insufficient Touch ID ProtectionFormat StringInsecure Transport: Weak SSL ProtocolLog ForgingPrivacy ViolationSystem Information Leak: ExternalSystem Information Leak: InternalWeak Encryption: Inadequate RSA Padding

此外，此版本中还针对 iOS 和 iPadOS 利用法式引进了两个新的弱点类别：

Insecure Storage: Persistent Named PasteboardInsecure Storage: Universal Clipboard

Salesforce Apex 和 Visualforce Updates（撑持的版本：v57）[3]

Salesforce Apex是用于创建Salesforce利用法式（如营业事务，数据库治理，Web办事和Visualforce页面）的编程语言。此更新改进了我们对 Apex v57 API 和 Visualforce API 的撑持。除了改进对现有弱点类此外撑持外，我们的 Apex 撑持还增加了以下内容：

Cross-Site Request ForgeryPoor Error Handling: Empty Catch BlockUnsafe Reflection

此外，还为 Apex 利用法式引进了以下新的弱点类别：

拜候掌握：未强逼施行的共享规则

利用 Java Apache Beam 对 Google Dataflow 的初始撑持（撑持的版本：2.46.0）

Apache Beam 是一种开源的同一编程模子，用于构建可以在各类数据处置后端上运行的数据处置管道。对Apache Beam的初始撑持撑持数据处置管道，例如Google Dataflow，而且仅限于Java编程语言，通过识别Apache Beam管道中的数据源。撑持撑持在 Apache Beam 转换中陈述相关的 Java 破绽类别，例如号令注进、隐私进犯和日记伪造。

.NET 7（撑持的版本：7.0）

.NET 是一个通用编程平台，使法式员可以利用一组原则化的 API 利用 C# 和 笼盖范畴：

回绝办事：正则表达式途径操做途径操做：Zip 条目笼盖权限操做进犯隐私设置操做系统信息泄露

云根底构造即代码 （IaC）

IaC 是通过代码而不是各类手动过程来治理和设置装备摆设计算机资本的过程。改进的撑持包罗用于摆设到 AWS 和 Azure 的 Terraform 设置装备摆设，以及改进的 Azure 资本治理器 （ARM） 笼盖范畴。与那些办事的设置装备摆设相关的常见问题如今陈述给开发人员。

Amazon AWS 和 Microsoft Azure Terraform 设置装备摆设

Terraform 是一个开源根底架构即代码东西，用于构建、更改和版本掌握云根底架构。它利用本身的声明性语言，称为HashiCorp设置装备摆设语言（HCL）。云根底架构在设置装备摆设文件中编码，以描述所需形态。Terraform 供给商撑持 Microsoft Azure 根底设备和 Amazon Web Services （AWS） 的设置装备摆设和治理。在此版本中，我们陈述了 Terraform 设置装备摆设的以下类别：

AWS Terraform 设置装备摆设错误：AMI 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：Aurora 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：Aurora 可公开拜候

AWS Terraform 设置装备摆设错误：CloudTrail 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：可公开拜候的数据库迁徙办事

AWS Terraform 设置装备摆设错误：DocumentDB 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：DocumentDB 可公开拜候

AWS Terraform 设置装备摆设错误：EBS 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：EC2 映像生成器贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：EFS 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：Elasticache 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：文件缓存贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：FSx Lustre 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：FSx 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：FSx ONTAP 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：FSx OpenZFS 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：FSx Windows 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：不平安的 AMI 存储

AWS Terraform 设置装备摆设错误：不平安的 Aurora 存储

AWS Terraform 设置装备摆设错误：不平安的文档数据库存储

AWS Terraform 设置装备摆设错误：不平安的 EC2 映像生成器存储

AWS Terraform 设置装备摆设错误：不平安的 EFS 存储

AWS Terraform 设置装备摆设错误：不平安的 Neptune 存储

AWS Terraform 设置装备摆设错误：不平安的红移存储

AWS Terraform 设置装备摆设错误：Aurora 监控不敷

AWS Terraform 设置装备摆设错误：文档数据库监控不敷

AWS Terraform 设置装备摆设错误：RDS 监控不敷

AWS Terraform 设置装备摆设错误：Kinesis 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：Lightsail 可公开拜候

AWS Terraform 设置装备摆设错误：位置办事贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：Neptune 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：RDS 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：RDS 可公开拜候

AWS Terraform 设置装备摆设错误：Redshift 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：SageMaker 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：密钥治理器贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：S3 贫乏客户治理的加密密钥

AWS Terraform 设置装备摆设错误：时间流贫乏客户治理的加密密钥Azure Terraform 设置装备摆设错误：

不准确的利用办事 CORS 战略Azure Terraform 设置装备摆设错误：

认知办事收集拜候掌握不妥Azure Terraform 设置装备摆设错误：

不准确的 CosmosDB CORS 战略Azure Terraform 设置装备摆设错误：

不准确的函数 CORS 战略Azure Terraform 设置装备摆设错误：

不准确的医疗保健 CORS 战略Azure Terraform 设置装备摆设错误：

不准确的 IoT 中心收集拜候掌握Azure Terraform 设置装备摆设错误：

不准确的 IoT 中心收集拜候掌握Azure Terraform 设置装备摆设错误：

密钥保司库收集拜候掌握不准确Azure Terraform 设置装备摆设错误：

不准确的逻辑利用 CORS 战略Azure Terraform 设置装备摆设错误：

不准确的媒体办事收集拜候掌握Azure Terraform 设置装备摆设错误：

办事总线收集拜候掌握不准确Azure Terraform 设置装备摆设错误：

不准确的 SignalR CORS 战略Azure Terraform 设置装备摆设错误：

不准确的 SignalR 收集拜候掌握Azure Terraform 设置装备摆设错误：

不准确的 Spring Apps CORS 战略Azure Terraform 设置装备摆设错误：

不准确的存储 CORS 战略Azure Terraform 设置装备摆设错误：

存储收集拜候掌握不妥Azure Terraform 设置装备摆设错误：

不准确的 Web PubSub Network 拜候掌握Azure Terraform 设置装备摆设错误：

不平安的事务中心传输Azure Terraform 设置装备摆设错误：

不平安的前门传输Azure Terraform 设置装备摆设错误：

不平安的函数传输Azure Terraform 设置装备摆设错误：

不平安的 Redis 传输Azure Terraform 设置装备摆设错误：

不平安的办事总线传输Azure Terraform 设置装备摆设错误：

不平安的 SQL 数据库传输Azure Terraform 设置装备摆设错误：

不平安的 SQL 托管实例传输

Microsoft Azure Resource Manager （ARM） 设置装备摆设

ARM 是 Azure 的摆设和治理办事。ARM 供给了一个治理层，可用于创建、更新和删除 Azure 帐户中的资本。在此版本中，我们陈述了 ARM 设置装备摆设的以下弱点类别：

Azure ARM 设置装备摆设错误：主动化贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：批量贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：认知办事贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：数据砖贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：事务中心贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：不平安的 CDN 传输Azure ARM 设置装备摆设错误：MySQL 存储的不平安数据库Azure ARM 设置装备摆设错误：PostgreSQL 存储的不平安数据库Azure ARM 设置装备摆设错误：不平安的 DataBricks 存储Azure ARM 设置装备摆设错误：不平安的事务中心存储Azure ARM 设置装备摆设错误：不平安的事务中心传输Azure ARM 设置装备摆设错误：不平安的 IoT 集线器传输Azure ARM 设置装备摆设错误：不平安的恢复办事备份存储Azure ARM 设置装备摆设错误：不平安的恢复办事保司库存储Azure ARM 设置装备摆设错误：不平安的 Redis 企业传输Azure ARM 设置装备摆设错误：不平安的 Redis 传输Azure ARM 设置装备摆设错误：不平安的办事总线存储Azure ARM 设置装备摆设错误：不平安的办事总线传输Azure ARM 设置装备摆设错误：不平安的存储帐户存储Azure ARM 设置装备摆设错误：IoT 中心贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：NetApp 贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：办事总线贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：存储帐户贫乏客户治理的加密密钥Azure ARM 设置装备摆设错误：弱利用办事身份验证Azure ARM 设置装备摆设错误：弱信号R 身份验证

可定造的密码治理和密钥治理正则表达式[4]

有时，在源代码中婚配密码和加密密钥的独一办法是利用正则表达式停止有根据的揣测。那些如今能够通过属性停止自定义，而且跨语言愈加一致，而且默认正则表达式已遭到限造以更大程度地削减误报。

能够利用以部属性之一设置装备摆设全局正则表达式：

com.fortify.sca.rules.key_regex.global 或 com.fortify.sca.rules.password_regex.global

您能够利用以部属性为每种语言设置更详细的变体：

com.fortify.sca.rules.key_regex.abap

com.fortify.sca.rules.key_regex.actionscript com.fortify.sca.rules.key_regex.cfml com.fortify.sca.rules.key_regex.cpp com.fortify.sca.rules.key_regex.golang com.fortify.sca.rules.key_regex.java

com.fortify.sca.rules.key_regex.javascript

com.fortify.sca.rules.key_regex.jsp

com.fortify.sca.rules.key_regex.objc

com.fortify.sca.rules.key_regex.php com.fortify.sca.rules.key_regex.python com.fortify.sca.rules.key_regex.ruby com.fortify.sca.rules.key_regex.sql com.fortify.sca.rules.key_regex.swift

com.fortify.sca.rules.key_regex.vb

com.fortify.sca.rules.password_regex.abap

com.fortify.sca.rules.password_regex.actionscript

com.fortify.sca.rules.password_regex.cfml

com.fortify.sca.rules.password_regex.cobol

com.fortify.sca.rules.password_regex.config

com.fortify.sca.rules.password_regex.cpp

com.fortify.sca.rules.password_regex.docker

com.fortify.sca.rules.password_regex.dotnet

com.fortify.sca.rules.password_regex.golang

com.fortify.sca.rules.password_regex.java

com.fortify.sca.rules.password_regex.javascript

com.fortify.sca.rules.password_regex.json

com.fortify.sca.rules.password_regex.jsp

com.fortify.sca.rules.password_regex.objc

com.fortify.sca.rules.password_regex.phpcom.fortify.sca.rules.password_regex.properties

com.fortify.sca.rules.password_regex.python

com.fortify.sca.rules.password_regex.ruby

com.fortify.sca.rules.password_regex.sql

com.fortify.sca.rules.password_regex.swift

com.fortify.sca.rules.password_regex.vbcom.fortify.sca.rules.password_regex.yaml

有关默认正则表达式的更多详尽信息，请参阅 Fortify 静态代码阐发器用户指南。

DISA STIG 5.2

为了在合规性范畴为我们的联邦客户供给撑持，添加了 Fortify 分类法与国防信息系统局 （DISA） 利用法式平安和开发 STIG 版本 5.2 的联系关系。

PCI DSS 4.0 为了在合规性方面撑持我们的电子商务和金融办事客户，此版本撑持我们的Fortify分类类别与最新版本的付出卡行业数据平安原则 4.0 版中指定的要求之间的联系关系。

PCI SSF 1.2

为了在合规性范畴撑持我们的电子商务和金融办事客户，此版本撑持我们的Fortify分类类别与付出卡行业 （PCI） 平安软件原则 （SSS） 中定义的新的“平安软件要乞降评估法式”中指定的掌握目标之间的联系关系，做为新软件平安框架 （SSF） 的一部门， 版本 1.2。

其他订正表

在此版本中，已投进资本以确保我们能够削减误报问题的数量，重构一致性，并进步客户审核问题的才能。客户还能够期看看到与以下内容相关的陈述问题的改变：

删除“回绝办事：解析双重”

已删除回绝办事：解析双倍类别，因为该破绽仅存在于 Java 版本 6 更新 23 和更早版本中。利用那些易受进攻的 Java 版本的客户仍然能够从 Fortify 客户撑持门户的“高级内容”下下载零丁的规则包中的已删除规则。

误报改进

工做仍在陆续，勤奋消弭此版本中的误报。除了其他改进之外，客户还能够期看在以下方面进一步消弭误报：

拜候掌握：数据库 – 当数据来自数据库时，误报削减Android 不良做法：

没必要要的组件表露 – 当 Android 领受器标识表记标帜为 android：exported=“false” 时，误报削减NET MVC 不良做法：

掌握器操做不限于 POST – 当掌握器操做将其输进间接传递到视图而不更改形态时，误报削减根据治理：

硬编码的 API 根据 – 在定见时不再在 google-services.json 中找到根据治理：

硬编码的 API 根据 – 削减了 Facebook 修订密钥上的误报跨站点脚本 – 删除了在 VB6 Windows 窗体利用法式中触发的误报死代码：

未利用的字段 – Java lambda 中的误报削减Dockerfile 设置装备摆设错误：

依靠关系稠浊 – 利用当地库定义时误报削减在布尔变量上陈述数据流问题时，在所有受撑持的语言中跨多个类别删除误报通过 WinAPI 函数检索文件信息时，C/C++ 利用法式中的多个类别中消弭了误报 编码值的误报不平安随机：

硬编码种子和不平安随机性：用户掌握的种子 – 在 Java 利用法式中利用 Random 和 SplittableRandom 类时削减了误报不平安存储：

未指定的钥匙串拜候战略、不平安存储：外部可用钥匙串和 不平安存储：

密码战略 未强逼施行 – 利用定见的弥补办法时，Swift iOS 利用法式中的误报削减内存泄露 – 添加指向提拔法式选项阐明的指针时削减了误报内存泄露 – 利用 std：

unique_ptr 时误报削减空取缔引用 – 在 .NET 利用法式中将 0 强逼转换为字节时删除了误报密码治理：

硬编码密码 - 削减评论中密码的误报进犯隐私：

Android 内部存储 – 在 Android 利用法式中利用 EncryptedSharedPreferences 对象时误报削减SOQL 注进和拜候掌握：

数据库 – 在 Salesforce Apex 利用法式中利用 getQueryLocator（） 时削减了误报类别更改 当弱点类别号称发作更改时，将以前的扫描与新扫描合并时的阐发成果将招致添加/删除类别。

为了进步一致性，重定名了以下类别：

NET 错误做法：剩余调试代码如今陈述为在常规 .NET 代码中触发时的 .NET 错误做法：剩余调试代码。

此外，为了进步跨类别 IaC 缺陷陈述的一致性，此版本中又重定名了 121 个类别（请参阅附录 A）。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个破绽的查抄与战略相连系，那些战略可批示用户通过 SmartUpdate 立即供给以下更新：

破绽撑持

不平安的摆设：未修补的利用法式[5]

Cacti 是一个框架，为用户供给日记笔录和绘图功用来监视收集上的设备。remote_agent.php文件随便遭到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 识此外长途代码施行 （RCE） 破绽的影响。利用用户输进轮询数据挪用办法proc_open时传递 poller_id 参数。因为此值未清理，因而进攻者可以在目标计算机上施行号令。将此号令注进问题与利用 X-Forwarded-For 标头的身份验证绕过相连系，会招致未经身份验证的进攻者危害整个利用法式。此版本包罗一项查抄，用于在运行受影响的 Cacti 版本的目标办事器上检测此破绽。

SAML 不良做法：不平安转换

SAML动静颠末加密签名，以包管断言的有效性和完全性。办事供给商必需施行的签名验证步调之一是转换 Reference 元素指向的数据。凡是，转换操做旨在仅抉择引用数据的子集。但是，进攻者能够利用某些类型的转换形成回绝办事，在某些情况中以至施行肆意代码。此版本包罗一项查抄，假设办事供给商容许在 XML 引用中利用不平安类型的转换，则会触发该查抄。

合规陈述

DISA STIG 5.2 为了撑持我们的联邦客户的合规性需求，此版本包罗 WebInspect 查抄与最新版本的国防信息系统局利用法式平安和开发 STIG 5.2

版的联系关系。

PCI DSS 4.0 为了撑持我们的电子商务和金融办事客户的合规性需求，此版本包罗 WebInspect 查抄与最新版本的付出卡行业数据平安原则 4.0 版中指定的要求的联系关系。

PCI SSF 1.2

为了撑持我们的电子商务和金融办事客户的合规性需求，此版本包罗 WebInspect 查抄与付出卡行业 （PCI） 平安软件原则 （SSS） 中定义的新“平安软件要乞降评估法式”中指定的掌握目标的联系关系，做为新软件平安框架 （SSF） 的一部门， 版本 1.2。

政策更新

DISA STIG 5.2 为包罗与 DISA STIG 5.2

相关的查抄而定造的战略已添加到 WebInspect SecureBase 受撑持战略列表中。

PCI DSS 4.0 自定义战略以包罗与 PCI DSS 4.0 相关的查抄，已添加到 WebInspect SecureBase 撑持的战略列表中。

PCI SSF 1.2 自定义战略以包罗与 PCI SSF 1.2 相关的查抄，已添加到 WebInspect SecureBase 撑持的战略列表中。

其他订正表

在此版本中，我们投进了资本来进一步削减误报的数量，并进步客户审核问题的才能。客户还能够期看看到与以下内容相关的陈述成果的改变：

密码治理：弱密码战略[6]

此版本包罗对密码熵查抄的细微改进，此中密码/用户名字段改进了对自定义用户名和密码字段的检测。此修复有助于削减与查抄 ID 11496、11498 和 11661 相关的成果中的误报。

Fortify优良内容

研究团队在我们的核心平安智能产物之外构建、扩展和庇护各类资本。

DISA STIG 5.2、PCI SSF 1.2 和 PCI DSS 4.0 为了共同新的相关性，此版本还包罗 Fortify 软件平安中心的新陈述包，撑持 DISA STIG 5.2、PCI DSS 4.0 和 PCI SSF 1.2，可从 Fortify 客户撑持门户的“高级内容”下下载。

Fortify分类：软件平安错误

Fortify分类网站（包罗新添加的类别撑持的阐明）可在 撑持门户获取它。

附录 A：IaC 弱点类别重定名

[1] Requires Fortify Static Code Analyzer 23.1.

[2] New rules for iOS SDK 16 require Fortify Static Code Analyzer 22.2 or later.

[3] Requires Fortify Static Code Analyzer 23.1 or later for some new rules that target the Apex v57 APIs.

[4] Requires Fortify Static Code Analyzer 23.1.

[5] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.

[6] Requires WebInspect 23.1 or later.

关于苏州华克斯信息科技有限公司

专业的测试及平安产物办事供给商

Fortify | Webinspect | AppScan | SonarQube | 极狐GitLab

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus 铂金协做伙伴 | SonarQube中国代办署理

极狐GitLab铂金级合伙伴 | HCL中国协做伙伴