1
您现在的位置:
首页
/
/
/
Micro Focus Fortify软件安全性内容2020更新4

Micro Focus Fortify软件安全性内容2020更新4

  • 分类:行业资讯
  • 作者:
  • 来源:
  • 发布时间:2020-12-30
  • 访问量:0

【概要描述】

Micro Focus Fortify软件安全性内容2020更新4

【概要描述】

  • 分类:行业资讯
  • 作者:
  • 来源:
  • 发布时间:2020-12-30
  • 访问量:0
详情

Fortify软件安全研究(SSR)高兴地宣布Fortify安全编码规则包(英语,版本2020.4.0),Fortify WebInspect SecureBase(可通过SmartUpdate获得)和Fortify Premium Content的更新立即可用。

关于Micro Focus Fortify软件安全研究

Fortify软件安全研究团队将前沿研究转化为增强Fortify产品组合(包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全智能。如今,Micro Focus Fortify软件安全性内容支持27种编程语言中的1,039个漏洞类别,涵盖了超过一百万个单独的API。


Micro Focus Fortify安全编码规则包[SCA]

在此版本中,Fortify安全编码规则包检测了27种编程语言中的817个独特类别的漏洞,并覆盖了超过一百万个单独的API。总而言之,此版本包括以下内容:

Dapper支持(2.0.78版)

支持Dapper对象关系映射(ORM)。Dapper用于通过扩展.NET IDdbConnection接口将本机查询输出映射到强类型C#对象。新的支持将Dapper视为用户控制数据的来源,并且还可以触发以下类别:

- Access Control: Database
- SQL Injection

Kotlin Standard Library Updates (Version 1.3)

对Kotlin标准库的扩展支持,涵盖了以下软件包:

-kotlin.concurrent
-kotlin.jvm
-kotlin.reflect
-kotlin.system

XML Pull (Version 1)

支持Android的XML Pull包实现。XML Pull是一个简单的流API,用于解析和序列化XML文件,由应用控制解析(可以中断和恢复它)。支持的类别包括:

-XML实体扩展注入
-XML注入

AIOPG (Version 1.0.0)

支持Python aiopg库。Aiopg提供了一种异步方式来连接到PostgreSQL数据库。支持的类别包括:

- Access Control: Database
- Password Management
- Password Management: Empty Password
- Password Management: Hardcoded Password
- Password Management: Null Password
- Password Management: Weak Cryptography
- SQL Injection

 

JavaScript Promises

- Support for JavaScript Promises is improved for dataflow analysis.

 

Azure Resource Management Templates

对Azure资源管理(ARM)模板的初始支持。ARM模板用于将基础结构实现为Azure解决方案的代码。ARM模板是JSON文件,它们使用声明性语法来定义和配置用户的项目。支持的类别包括:

- Azure Resource Manager Misconfiguration: HTTPS Not Required
- Azure Resource Manager Misconfiguration: Public Access Allowed

 

DISA STIG 5.1

为了在合规领域为我们的联邦客户提供支持,已添加了Micro Focus Fortify分类标准与国防信息系统局(DISA)应用程序安全和开发STIG版本5.1的关联。

 

NIST SP 800-53 Rev. 5

为了在合规领域为我们的联邦客户提供支持,Micro Focus Fortify分类标准与最新版的美国国家标准技术研究院(NIST)特殊出版物(SP)800-53修订版5中的安全和隐私控制相关联已添加。涵盖了三十个基本控件,涵盖以下控件系列:

- Access Control (AC)
- Audit and Accountability (AU)
- Assessment, Authorization, and Monitoring (CA)
- Configuration Management (CM)
- Identification and Authentication (IA)
- PII Processing and Transparency (PT)
- System and Communications Protection (SC)
- System and Information Integrity (SI)

 

2020 Common Weakness Enumeration (CWE™) Top 25

CWE前25名于2019年推出,并取代了SANS前25名。8月发布的2020年CWE前25名是使用启发式公式确定的,该公式规范了报告给国家漏洞数据库的漏洞的频率和严重性NVD)。为了支持希望优先考虑NVD中最常报告的关键漏洞的审核的客户,已添加了Micro Focus Fortify分类标准与2020 CWE Top 25的关联。

 

Miscellaneous Errata

在此版本中,我们继续投入资源以确保我们可以减少误报问题的数量,并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化:

不再支持17.x之前的SCA版本

如我们的2020.3发布公告中所述,这是支持17.x之前的SCA版本的Rulepacks的最新版本。对于此发行版,17.x之前的SCA版本将不会加载最新的Rulepack。使用17.x之前的SCA版本的客户必须降级Rulepacks或升级SCA版本。

在将来的版本中,我们将支持SCA的最后四个主要版本。

Obsoletion of mappings

多年来,软件安全研究团队一直在创建从Fortify类别到外部标准和最佳实践的映射。因此,我们现在看来,即使不再使用许多旧版本,支持的不同标准的版本也变得非常大。

因此,我们现在将以下标准标记为“过时”:

- Payment Card Industry Data Security Standard (PCI) 1.1
- Payment Card Industry Data Security Standard (PCI) 1.2
- Payment Card Industry Data Security Standard (PCI) 2.0
- Payment Card Industry Data Security Standard (PCI) 3.0
- Payment Card Industry Data Security Standard (PCI) 3.1
- Payment Card Industry Data Security Standard (PCI) 3.2
- Security Technical Implementation Guide (STIG) 4.1
- Security Technical Implementation Guide (STIG) 4.2
- Security Technical Implementation Guide (STIG) 4.3
- Security Technical Implementation Guide (STIG) 4.4
- Security Technical Implementation Guide (STIG) 4.5
- Security Technical Implementation Guide (STIG) 4.6
- Security Technical Implementation Guide (STIG) 4.7
- Security Technical Implementation Guide (STIG) 4.8

此更改意味着Fortify SCA应用程序版本20.2和更高版本在默认情况下不会显示这些旧映射。

如果需要检查是否符合这些旧版本,则必须更改映射以将过时的属性设置为“ false”,或完全删除该属性。

False positive improvements:

我们继续听取客户的意见,并努力提高误报率。在此版本中,我们致力于以下工作,以减少误报的次数:

-删除了配置文件中存在保护时的HTTP动词篡改误报
-删除了.NET中使用JSONIGNORE属性时的批量分配误报
-删除了不安全的存储:当URLSessionConfiguration对象中明确禁用了缓存时,HTTP响应缓存泄漏误报
-删除了迅速违反隐私权行为:Http从URLRequest中获得误报
-不良日志记录做法:使用Python中删除的系统输出流重复项
-使用其他Apache Commons closeQuietly变体时消除了未发行资源问题

 

关于苏州华克斯信息科技有限公司

联系方式:400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan

SonarQube | WhiteSource

LoadRunner | UFT(QTP) | ALM(QC)

 

Micro Focus (原HPE)金牌合作伙伴

SonarQube中国总代理

WhiteSource中国合作伙伴

HCL中国合作伙伴

扫二维码用手机看

更多资讯

联系我们

联系我们

发布时间:2020-09-16 13:55:16
地址:苏州市工业园区新平街388号
          腾飞创新园塔楼A1-205
电话:400-028-4008
          0512-62382981

关注我们

这是描述信息

页面版权所有 -  苏州华克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.