Fortify软件安全研究（SSR）高兴地宣布Fortify安全编码规则包（英语，版本2020.4.0），Fortify WebInspect SecureBase（可通过SmartUpdate获得）和Fortify Premium Content的更新立即可用。

关于Micro Focus Fortify软件安全研究

Fortify软件安全研究团队将前沿研究转化为增强Fortify产品组合（包括Fortify静态代码分析器（SCA），Fortify WebInspect和Fortify Application Defender）的安全智能。如今，Micro Focus Fortify软件安全性内容支持27种编程语言中的1,039个漏洞类别，涵盖了超过一百万个单独的API。

Micro Focus Fortify安全编码规则包[SCA]

在此版本中，Fortify安全编码规则包检测了27种编程语言中的817个独特类别的漏洞，并覆盖了超过一百万个单独的API。总而言之，此版本包括以下内容：

Dapper支持（2.0.78版）

支持Dapper对象关系映射（ORM）。Dapper用于通过扩展.NET IDdbConnection接口将本机查询输出映射到强类型C＃对象。新的支持将Dapper视为用户控制数据的来源，并且还可以触发以下类别：

- Access Control: Database
- SQL Injection

Kotlin Standard Library Updates (Version 1.3)

对Kotlin标准库的扩展支持，涵盖了以下软件包：

-kotlin.concurrent
-kotlin.jvm
-kotlin.reflect
-kotlin.system

XML Pull (Version 1)

支持Android的XML Pull包实现。XML Pull是一个简单的流API，用于解析和序列化XML文件，由应用控制解析（可以中断和恢复它）。支持的类别包括：

-XML实体扩展注入
-XML注入

AIOPG (Version 1.0.0)

支持Python aiopg库。Aiopg提供了一种异步方式来连接到PostgreSQL数据库。支持的类别包括：

- Access Control: Database
- Password Management
- Password Management: Empty Password
- Password Management: Hardcoded Password
- Password Management: Null Password
- Password Management: Weak Cryptography
- SQL Injection

JavaScript Promises

- Support for JavaScript Promises is improved for dataflow analysis.

Azure Resource Management Templates

对Azure资源管理（ARM）模板的初始支持。ARM模板用于将基础结构实现为Azure解决方案的代码。ARM模板是JSON文件，它们使用声明性语法来定义和配置用户的项目。支持的类别包括：

- Azure Resource Manager Misconfiguration: HTTPS Not Required
- Azure Resource Manager Misconfiguration: Public Access Allowed

DISA STIG 5.1

为了在合规领域为我们的联邦客户提供支持，已添加了Micro Focus Fortify分类标准与国防信息系统局（DISA）应用程序安全和开发STIG版本5.1的关联。

NIST SP 800-53 Rev. 5

为了在合规领域为我们的联邦客户提供支持，Micro Focus Fortify分类标准与最新版的美国国家标准技术研究院（NIST）特殊出版物（SP）800-53修订版5中的安全和隐私控制相关联已添加。涵盖了三十个基本控件，涵盖以下控件系列：

- Access Control (AC)
- Audit and Accountability (AU)
- Assessment, Authorization, and Monitoring (CA)
- Configuration Management (CM)
- Identification and Authentication (IA)
- PII Processing and Transparency (PT)
- System and Communications Protection (SC)
- System and Information Integrity (SI)

2020 Common Weakness Enumeration (CWE™) Top 25

CWE前25名于2019年推出，并取代了SANS前25名。8月发布的2020年CWE前25名是使用启发式公式确定的，该公式规范了报告给国家漏洞数据库的漏洞的频率和严重性NVD）。为了支持希望优先考虑NVD中最常报告的关键漏洞的审核的客户，已添加了Micro Focus Fortify分类标准与2020 CWE Top 25的关联。

Miscellaneous Errata

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量，并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化：

不再支持17.x之前的SCA版本

如我们的2020.3发布公告中所述，这是支持17.x之前的SCA版本的Rulepacks的最新版本。对于此发行版，17.x之前的SCA版本将不会加载最新的Rulepack。使用17.x之前的SCA版本的客户必须降级Rulepacks或升级SCA版本。

在将来的版本中，我们将支持SCA的最后四个主要版本。

Obsoletion of mappings

多年来，软件安全研究团队一直在创建从Fortify类别到外部标准和最佳实践的映射。因此，我们现在看来，即使不再使用许多旧版本，支持的不同标准的版本也变得非常大。

因此，我们现在将以下标准标记为“过时”：

- Payment Card Industry Data Security Standard (PCI) 1.1
- Payment Card Industry Data Security Standard (PCI) 1.2
- Payment Card Industry Data Security Standard (PCI) 2.0
- Payment Card Industry Data Security Standard (PCI) 3.0
- Payment Card Industry Data Security Standard (PCI) 3.1
- Payment Card Industry Data Security Standard (PCI) 3.2
- Security Technical Implementation Guide (STIG) 4.1
- Security Technical Implementation Guide (STIG) 4.2
- Security Technical Implementation Guide (STIG) 4.3
- Security Technical Implementation Guide (STIG) 4.4
- Security Technical Implementation Guide (STIG) 4.5
- Security Technical Implementation Guide (STIG) 4.6
- Security Technical Implementation Guide (STIG) 4.7
- Security Technical Implementation Guide (STIG) 4.8

此更改意味着Fortify SCA应用程序版本20.2和更高版本在默认情况下不会显示这些旧映射。

如果需要检查是否符合这些旧版本，则必须更改映射以将过时的属性设置为“ false”，或完全删除该属性。

False positive improvements:

我们继续听取客户的意见，并努力提高误报率。在此版本中，我们致力于以下工作，以减少误报的次数：

-删除了配置文件中存在保护时的HTTP动词篡改误报
-删除了.NET中使用JSONIGNORE属性时的批量分配误报
-删除了不安全的存储：当URLSessionConfiguration对象中明确禁用了缓存时，HTTP响应缓存泄漏误报
-删除了迅速违反隐私权行为：Http从URLRequest中获得误报
-不良日志记录做法：使用Python中删除的系统输出流重复项
-使用其他Apache Commons closeQuietly变体时消除了未发行资源问题

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan

SonarQube | WhiteSource

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab中国铂金合作伙伴