Fortify软件安全研究（SSR）很高兴宣布Fortify安全编码规则包（英语，版本2021.1.0），Fortify WebInspect SecureBase（可通过SmartUpdate获得）和Fortify Premium Content的更新立即可用。

Micro Focus Fortify安全编码规则包[SCA]

在此版本中，Fortify安全编码规则包检测27种编程语言中的816个独特类别的漏洞，并覆盖了超过一百万个单独的API。总而言之，此版本包括以下内容：

Micro Focus Visual COBOL支持（版本6）[1]

此版本增加了对Micro Focus Visual COBOL版本6的支持。特别是，该版本包括对Micro Focus COBOL运行时系统（RTS）的支持，并扩展了对已经由COBOL支持的路径操纵类别和以下其他类别的支持：

- Command Injection
- Memory Leak
- Memory Leak: Reallocation
- Unreleased Resource
- Unreleased Resource: Synchronization

Android 11

为了支持最新版本的Android（API版本30），我们正在进行以下工作，其中包括以下名称空间：

-android.accounts
-android.app
-android.database
-android.database.sqlite

用户应该期望看到可以总体上改善结果的Android应用程序的更好建模，以及其他SQL注入和访问控制：数据库发现。

iOS更新

作为改善iOS支持的不懈努力的一部分，为以下类别添加了新的Swift规则：

-Foundation.NSCache
-Foundation.URLFileProtection

用户应该期望看到与数据保护和隐私违规有关的改进结果，以及对其他漏洞类型和框架的总体改进（请参阅“其他勘误-iOS错误修复”）。

Angular支持更新（版本11.2.3）

此版本使我们的Angular支持达到11.2.3。特别是，确定了来自浏览器的用户控制信息的新来源，这可能导致许多类别触发它们以前未曾触发过的地方。

Apache Commons更新

Apache Commons提供了可重用的Java组件。在此版本中，SSR更新了对以下组件的支持：

- beanutils (1.9.4)
- collections4 (4.4)
- dbutils (1.7)
- fileupload (1.4)
- lang (3.11)
- math (3.6.1)
- io (2.8.0)
- text (1.9)

这些更新改进了使用这些组件的应用程序的建模，确定了针对诸如日志伪造和JSON注入等类别的保护措施，并确定了可能出现以下漏洞类型的新位置：

- Access Control: Database
- Denial of Service
- Insecure Randomness: User-Controlled Seed
- Path Manipulation
- Privacy Violation
- Setting Manipulation
- SQL Injection
- System Information Leak (variants)

Python（3.9版）

更新了对最新版本Python的支持，从而改善了核心语言API的建模。

各种勘误

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量，并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化：

误报性改进：

我们将继续倾听客户的意见，并努力提高误报率。在此版本中，我们致力于以下工作，以减少误报的次数：

-代码正确性：Java和Kotlin应用程序中的错误类比较

-动态代码评估：Python 3扫描中消除了代码注入问题

-改进了关键管理问题，以消除所有语言的误报

-跨站脚本：从一个输入框来当自：与jQuery的DOM问题现在被正确地归类为跨站点脚本。

-匹配可能不是密码的内容时，配置文件中的密码管理问题已消除

-与本地化数据匹配时，密码管理误报得到了改善。

-删除了有关Java Spring应用程序中不相关功能的XML外部实体注入的发现。

-ASP.NET MVC不良做法：控制器（不限于POST）现在允许其他动词视为安全（PATCH，DELETE，PUT）

iOS错误修复：

由于分析的改进，规则更新是必要的。这可能会导致用户看到以下弱点类型的改进：

- Input Interception: Keyboard Extensions Allowed
- Privacy Violation: HTTP Get
- Privacy Violation: Keyboard Caching
- Privacy Violation: Screen Caching
- Privacy Violation: Shoulder Surfing

几个框架也进行了较小的更新，以提高准确性：Foundation，UIKit，WebKit，HealthKit，WatchKit，MessageUI，CoreLocation，CoreData。

删除的类别：

为了增强结果的相关性，在此版本中已删除以下类别：

- Privilege Management: Android Network 

Micro Focus Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase将针对数千个漏洞的检查与策略结合在一起，这些策略可指导用户立即通过SmartUpdate获得以下更新：

漏洞支持

OGNL Expression Injection: Struts 2

CVE-2019-0231和CVE-2020-17530识别出的关键OGNL表达语言注入漏洞影响了Struts版本2.0到2.5.25。利用这些漏洞可能导致服务器上执行任意远程代码。此版本包括检查以检测使用Struts 2的Web应用程序中的这些漏洞。

WAF Detection[2]

此版本包括检查“ WAF检测”，当在扫描过程中检测到Web应用程序防火墙时，该标记会标记参考信息。这些发现表明，由于扫描请求在到达应用程序之前被阻止，因此扫描质量可能会受到影响。

Hacker Level Insights[2]

黑客级别的见解为开发人员和安全专业人员提供了与应用程序整体安全状况有关的上下文。此版本包括检查标记在扫描过程中在应用程序中检测到的库的检查。尽管这些发现不一定代表安全漏洞，但必须注意，攻击者通常会对这些类型的目标执行侦察，以试图发现已知的弱点或模式。       

政策更新

NIST SP 800-53 Rev. 5

自定义的策略包括与NIST SP 800-53修订版5相关的检查，已添加到受支持策略的WebInspect SecureBase列表中。  

CWE Top 25 2020

自定义的策略包括与CWE Top 25 2020相关的检查已添加到受支持策略的WebInspect SecureBase列表中。

DISA STIG 5.1

已将自定义为包括与DISA STIG 5.1相关的检查的策略添加到了受支持策略的WebInspect SecureBase列表中。 

各种勘误

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量，并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化：

Web Cache Poisoning

此版本包括对Web Cache Poisoning的更新检查：未加密的标头。用户现在可以添加他们怀疑是高速缓存键一部分的自定义标头。

Unsafe SpringBoot Actuators

此发行版包含更新的检查以检测敏感的Spring Boot Actuator（适用于非特权用户），从而提供更准确的结果。

XSS Improvements

此版本包括针对Vue 3和Angular JS 1.5.9及更高版本的XSS攻击检查的改进。

[1] Requires SCA 21.1 or later.
[2] Requires WebInspect 21.1 or later.

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab中国铂金合作伙伴