?Fortify軟件安全研究團(tuán)隊將前沿研究轉(zhuǎn)化為增強(qiáng)Fortify產(chǎn)品組合（包括Fortify靜態(tài)代碼分析器（SCA），F(xiàn)ortify WebInspect和Fortify Application Defender）的安全情報。如今，MicroFocus Fortify軟件安全性內(nèi)容支持26種編程語言中的1,019個漏洞類別，涵蓋了超過一百萬個單獨的API。

Fortify軟件安全研究（SSR）欣然宣布Fortify安全編碼規(guī)則包（英語，版本2020.1.0），F(xiàn)ortify WebInspect SecureBase（可通過SmartUpdate獲得）和Fortify Premium Content的更新立即可用。

Micro Focus Fortify安全編碼規(guī)則包[SCA]

在此版本中，F(xiàn)ortify安全編碼規(guī)則包檢測26種編程語言中的810個獨特類別的漏洞，并覆蓋了超過一百萬個單獨的API。

總而言之，此版本包括以下內(nèi)容：

?

GoLang標(biāo)準(zhǔn)庫支持[1]

擴(kuò)展了對Go標(biāo)準(zhǔn)庫的支持。Go是Google?設(shè)計的一種靜態(tài)類型的開源語言，旨在使構(gòu)建簡單，可靠和高效的軟件變得容易。Go在語法上類似于C，但是具有內(nèi)存安全機(jī)制，垃圾回收和結(jié)構(gòu)化類型。此更新涵蓋標(biāo)準(zhǔn)庫名稱空間，并支持53種弱點類型，包括以下19種其他類別：

Denial of Service: Regular Expression

Formula Injection

Insecure Randomness

JSON Injection

Key Management: Empty HMAC Key

Key Management: Hardcoded HMAC Key

Log Forging

Log Forging (debug)

Resource Injection

Weak Cryptographic Hash

Weak Cryptographic Hash: Hardcoded Salt

Weak Cryptographic Hash: User-Controlled Salt

Weak Cryptographic Signature: Insufficient Key Size

Weak Cryptographic Signature: User-Controlled Key ? ? Size

Weak Encryption: Inadequate RSA Padding

Weak Encryption: Insecure Initialization Vector

Weak Encryption: Stream Cipher

Weak Encryption: User-Controlled Key Size

XML Injection

各種勘誤

在此版本中，我們繼續(xù)投入資源以確保我們可以減少誤報問題的數(shù)量，并提高客戶審計問題的能力。客戶還可以期望看到與以下內(nèi)容相關(guān)的已報告問題的變化：

在JavaScript中，更精確地標(biāo)識為self-XSS的“ Cross-Site Scripting：DOM”實例已更改為新的子類別“ Cross-Site Scripting：Self”，并且現(xiàn)在以較低的優(yōu)先級進(jìn)行標(biāo)記。

在Java中，由于建模引擎的改進(jìn)，死代碼誤報的數(shù)量無意中增加了，尤其是在if條件周圍。規(guī)則得到了改進(jìn)，因此消除了許多無效問題。

解決了與JSP和Spring MVC應(yīng)用程序有關(guān)的罕見性能問題。

更新了外部元數(shù)據(jù)，以改進(jìn)與Micro Focus Fortify的通用弱點枚舉（CWE?）相關(guān)性：軟件安全錯誤分類法（也稱為7個有害王國）。改進(jìn)包括在軟件安全錯誤分類法中的935個類別中對齊了41個其他CWE-ID，從而更新了CWE和CWE Top 25 2019映射。必要時，CWE的任何相關(guān)報告功能或“分組依據(jù)”過濾都將受到影響。

其他CWE ID包括以下內(nèi)容：

CWE-88，CWE-97，CWE-119，CWE-147，CWE-192，CWE-203，CWE-212，CWE-266，CWE-267，CWE-276，CWE-279，CWE-280，CWE- 346，CWE-347，CWE-436，CWE-506，CWE-527，CWE-529，CWE-530，CWE-531，CWE-536，CWE-540，CWE-541，CWE-548，CWE-550，CWE-705，CWE-775，CWE-799，CWE-917，CWE-921，CWE-923，CWE-925，CWE-926，CWE-937，CWE-942，CWE-1004，CWE-1021，CWE- 1069，CWE-1173，CWE-1188，CWE-1236，

Fortify SecureBase[Fortify WebInspect]

Fortify SecureBase將對數(shù)千個漏洞的檢查與策略結(jié)合在一起，這些策略可指導(dǎo)用戶立即通過SmartUpdate獲得以下更新：

漏洞支持

危險文件包含：本地

嚴(yán)重影響Tomcat的漏洞利用AJP協(xié)議功能來獲取對服務(wù)器端文件的訪問，并允許攻擊者讀取或包括Apache Tomcat webapp目錄中的任何文件。此漏洞稱為GhostCat，由CVE-2020-1938識別。此外，任意代碼執(zhí)行攻擊都是可能的。此問題影響ApacheTomcat 9.x（9.0.31之前的版本），8.x（8.5.51之前的版本），7.x（7.0.100之前的版本）以及所有早期版本。此Securebase更新包括檢查此漏洞的檢查。

常見弱點枚舉（CWE?）映射：

通用弱點枚舉（CWE?）是可能導(dǎo)致軟件漏洞的軟件錯誤的分類法。該分類法提供了一種方法，可以在SDLC的各個階段合并軟件風(fēng)險和漏洞評估中各種方法的輸出。在此版本中，Securebase包括支票到CWE中最新更新的更新映射。CWE是一種層次分類法。支票被映射到與支票意圖匹配的最近的葉子節(jié)點。

合規(guī)報告

常見弱點枚舉（CWE?）前25名：

常見弱點枚舉（CWE?）排名前25位的最危險軟件錯誤（CWE排名前25位）是由MITRE創(chuàng)建的列表。該列表展示了最常見的25個軟件弱點類別，這些類別可能導(dǎo)致軟件漏洞。此Securebase更新包括到這些CWE類別的映射。我們已經(jīng)包括了那些直接映射到CWE Top 25所標(biāo)識類別的檢查，或者通過“ ChildOf”關(guān)系映射到前25名與CWE-ID相關(guān)的CWE-ID。

政策更新

常見弱點枚舉（CWE?）前25名

常見弱點枚舉（CWE?）排名前25位的最危險軟件錯誤（CWE排名前25位）是由MITRE創(chuàng)建的列表。該列表展示了最常見的25個軟件弱點類別，這些類別可能導(dǎo)致軟件漏洞。此版本包含一個策略，其中包含檢查列表，以評估CWE Top 25中映射的漏洞。

其他勘誤表：

在此版本中，我們繼續(xù)投入資源以確保我們可以減少誤報問題的數(shù)量，并提高客戶審計問題的能力。客戶還可以期望看到與以下內(nèi)容相關(guān)的已報告問題的變化：

HTTP請求走私檢查中的錯誤修復(fù)減少了與使用檢查ID 11621進(jìn)行查找有關(guān)的誤報。檢查將不再將HTTP 405視為對該漏洞的有效驗證。

不安全的傳輸：弱的SSL密碼報告內(nèi)容現(xiàn)在包括一個示例，該示例通過在配置字符串中包含！SHA246和！SHA384來排除CBC模式密碼。但是，我們建議您咨詢服務(wù)器管理員以使用白名單的強(qiáng)密碼套件選擇創(chuàng)建配置。

不安全傳輸中的其他修復(fù)程序：如果服務(wù)器僅支持TLS1.2和強(qiáng)密碼，則檢查無法檢測到正確的密碼時，將進(jìn)行弱SSL密碼檢測以改進(jìn)配置檢測。

關(guān)于蘇州華克斯信息科技有限公司

聯(lián)系方式：400-028-4008

? ? ? ? ? ? ? ? 0512-62382981

專業(yè)的測試及安全產(chǎn)品服務(wù)提供商

Fortify | Webinspect | AppScan

SonarQube | WhiteSource

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）金牌合作伙伴

SonarQube中國總代理

WhiteSource中國合作伙伴

HCL中國合作伙伴