Fortify 软件安全研究团队将前沿研究转化为支持 Fortify 产品组合的安全情报，包括 Fortify 静态代码分析器 (SCA)、Fortify WebInspect 和 Fortify Application Defender。如今，Cyber​​Res Fortify 软件安全内容支持 29 种语言的 1,137 个漏洞类别，涵盖超过一百万个单独的 API。

Fortify Software Security Research (SSR) 很高兴地宣布立即提供 Fortify Secure Coding Rulepacks（英语，版本 2021.4.0）、Fortify WebInspect SecureBase（通过 SmartUpdate 提供）和 Fortify Premium Content 的更新。

Cyber​​Res Fortify 安全编码规则包 [SCA]

在此版本中，Fortify 安全编码规则包可检测 29 种编程语言中的 917 种独特的漏洞类别，涵盖超过 100 万个单独的 API。总之，此版本包括以下内容：

.NET Core 和 ASP.NET 更新（支持版本：.NET Core 3.1）
改进了对各种 .NET Core 和 ASP.NET Core 命名空间的支持，包括以下内容：

• AspNetCore.Http
• AspNetCore.Mvc
• Extensions.Logging
• System
• IO
• Net
• Threading

该支持提高了以下类别的覆盖范围：

• Cross-Site Scripting: Inter-Component Communication (Cloud)
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Log Forging
• Log Forging (debug)
• Privacy Violation
• System Information Leak

Azure
Azure 是微软的公共云计算平台，提供一系列云服务，包括计算、容器、物联网、人工智能和机器学习。

在此版本中，我们为多项关键 Azure 服务提供初步支持：Functions、Identity 和 CosmosDB。此外，现在支持以下特定的 Azure 技术：

Azure Functions（支持的版本：Java 1.3.1、C# 3.x）
Functions 是 Microsoft Azure 的无服务器计算解决方案。Azure Functions 提供持续更新的基础结构来运行应用程序、构建 Web API、响应数据库更改和管理消息队列。此更新包括对以下 C# 和 Java 触发器类型的初始支持：

• Blob Trigger
• CosmosDB Trigger
• Event Trigger
• Http Trigger (as class library)
• Http Trigger (as C# isolated process)
• Queue Trigger
• ServiceBus Trigger

Azure Functions 支持包括以下类别：

• Cookie Security: Cookie not Sent Over SSL
• Cookie Security: HTTPOnly not Set
• Cookie Security: Overly Broad Path
• Cookie Security: Overly Broad Domain
• Cookie Security: Persistent Cookie
• Cross-Site Scripting: Inter-Component Communication (Cloud)
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Denial Of Service
• Header Manipulation
• Header Manipulation: Cookies
• HTML5: Overly Permissive CORS Policy
• Privacy Violation
• Resource Injection
• Setting Manipulation
• System Information Leak: External

Azure Identity（支持的版本：C# 1.5.0、Java 1.4.1）
Azure Identity 是 Microsoft 基于云的身份和访问管理服务。它为组织内的资源提供身份验证和授权。此更新包括对以下命名空间的初始支持：

C＃

• Identity (version 1.5.0)

Java

• azure.identity (version 1.4.1)

Azure 标识支持包括以下类别：

• Password Management
• Password Management: Empty/Hardcoded/Null Password
• Password Management: Weak Cryptography
• Resource Injection

Azure CosmosDB（支持版本：3.x）
Azure Cosmos DB 是一种全球分布的多模型数据库服务。借助 Azure Cosmos DB，可以使用 API 和编程模型存储和访问文档、键值、宽列和图形数据库。此更新包括对以下 C# 命名空间的初始支持：

• Azure.Cosmos
• Azure.Cosmos.Scripts
• Azure.Cosmos.Table

Azure Cosmos DB 支持包括以下类别：

• Denial of Service
• HTML5: Overly Permissive CORS Policy
• Insecure Transport
• NoSQL Injection: CosmosDB
• Resource Injection
• Setting Manipulation
• SQL Injection

AWS
亚马逊网络服务 (AWS) 是一个公共云计算平台，提供一系列云服务，包括计算、存储、网络、数据库、物联网和机器学习。

在此版本中，我们为多项关键 AWS 服务提供初步支持：IAM、DynamoDB 和 RDS。此版本还添加了对 C# 的初始 Lambda 支持和对 Java 的更新支持。此外，现在支持以下特定的 AWS 技术：

AWS Lambda 更新（支持的版本：.NET AWS SDK 3.7.x，Java AWS SDK v2 2.17.x）[1]
Lambda 是一种计算服务，由 Amazon 作为 Amazon Web Services (AWS) 的一部分提供，无需预置即可运行代码或管理服务器。Lambda 服务运行代码以响应事件并自动管理代码所需的计算资源。此更新包括对 C# 的初始支持和对 Java 的额外支持。此更新包括对以下 C# 和 Java 命名空间的支持：

C#

• Lambda
• Lambda.APIGatewayEvents
• Lambda.Core

Java

• amazonaws.services.lambda.runtime
• amazonaws.services.lambda.runtime.events

此更新包括对以下事件类型的额外支持：

• API Gateway Events (C#, Java)
• DynamoDB (Java)
• S3 Events (Java)
• Scheduled Events (Java)

AWS Lambda 支持包括以下类别：

• Cross-Site Scripting: Inter-Component Communication
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Header Manipulation
• Header Manipulation: Cookies
• Log Forging
• Privacy Violation
• System Information Leak: External
• System Information Leak: Internal

AWS IAM（支持的版本：.NET AWS SDK 3.7.x、Java AWS SDK v2 2.17.x）
AWS Identity and Access Management (IAM) 是一种控制对 AWS 资源的访问的 Web 服务。IAM 可用于控制 AWS 资源的身份验证和授权使用。此更新包括对 C# 和 Java 的支持。此更新包括对以下 C# 和 Java 命名空间的支持：

C#

• IdentityManagement.Model

Java 

• amazonaws.services.identitymanagement.model
• amazon.awssdk.services.iam.model

除了识别敏感信息之外，AWS IAM 支持还包括以下类别：

• Password Management
• Password Management: Empty/Hardcoded/Null Password
• Password Management: Weak Cryptography

AWS DynamoDB（支持的版本：.NET AWS SDK 3.7.x，Java AWS SDK v2 2.17.x）
AWS DynamoDB 是一种完全托管的 NoSQL 数据库服务，支持键值和文档数据结构。DynamoDB 可用于存储和检索数据并为任意数量的请求流量提供服务。此更新包括对 C# 的初始支持和对 Java 的更新支持。支持包括以下命名空间：

C＃

• DynamoDBv2.Model
• DynamoDBv2.DataModel
• DynamoDBv2.DocumentModel

Java

• amazonaws.services.lambda.runtime.events.models.dynamodb
• amazon.awssdk.enhanced.dynamodb
• amazon.awssdk.enhanced.dynamodb.model

 AWS DynamoDB 支持包括以下类别：

• 访问控制：数据库
• NoSQL 注入：DynamoDB
• SQL 注入：PartiQL

适用于 Aurora Serverless 的 AWS Relational Database Service (RDS) Data API（支持的版本：.NET AWS SDK 3.7.x、Java AWS SDK v2 2.17.x）
Amazon Aurora 是一个 MySQL 和 PostgreSQL 兼容的关系数据库引擎，是托管的一部分亚马逊关系数据库服务（亚马逊 RDS）。AWS RDS 数据 API 提供了一个 Web 服务接口，使应用程序能够访问和执行针对 Aurora Serverless 数据库集群的 SQL 语句。此更新包括对以下 C# 和 Java 命名空间的支持：

C＃

• RDSDataService.Model

Java

• amazon.awssdk.services.rdsdata.model (V2)

AWS RDS 支持包括以下类别：

• 访问控制：数据库
• 设置操作
• SQL注入

秘密扫描
支持秘密扫描。秘密扫描是一种自动搜索文本文件中的秘密的技术。在这种情况下，“秘密”是指密码、API 令牌、加密密钥和类似的不公开的工件。主要目的是在源代码和配置文件中意外地找到硬编码的秘密。通过新的正则表达式分析[2]扩展了对所有语言和其他文件类型的支持。支持的类别包括：

• 凭证管理：硬编码的 API 凭证
• 密钥管理：硬编码的加密密钥
• 密码管理：硬编码密码

Trojan Source
Trojan Source [3]是 Nick Boucher 和 Ross Anderson 在他们的论文“Trojan Source: Invisible Vulnerabilities”中发表的一类漏洞。他们展示了 5 种不同的方式 Unicode 特殊字符可用于使代码以一种方式呈现给开发人员的肉眼，但在执行时以不同的方式工作。特洛伊木马源应被视为内部威胁场景，而恶意个人可以故意插入 Unicode 字符。由于其中一个类别的精确性，我们在以下语言的核心规则包中包含检测支持：C、C++、C#、Go、Java、JavaScript、Python 和 Rust。支持的类别包括：

• 编码混乱：BiDi 控制字符

静态/动态问题关联[4]
支持导出数据，以便在 Fortify 软件安全中心 (SSC) 中为 Java Spring 项目关联静态和动态扫描结果。支持的类别包括：

• 跨站脚本：内容嗅探
• 跨站脚本：组件间通信
• 跨站脚本：持久化
• 跨站脚本：验证不佳
• 跨站脚本：反射
• SQL注入
• SQL 注入：休眠

扩展的 IBM 大型机 COBOL 支持（支持的版本：6.3）
此更新包括检测 IBM 大型机 COBOL 代码中的整数溢出漏洞。

云基础设施即代码
支持云基础设施即代码 (IaC)。IaC 是通过代码管理和配置计算机资源的过程，而不是各种手动过程。支持的技术包括 AWS、AWS CloudFormation、Azure ARM、Kubernetes K8S 和 Azure Kubernetes Service。与上述服务配置相关的常见问题现已报告给开发人员，包括：

• 访问控制：Azure Blob 存储
• 访问控制：Azure 容器注册表
• 访问控制：Azure 网络组
• 访问控制：Azure SQL 数据库
• 访问控制：Azure 存储
• 访问控制：Cosmos DB
• 访问控制：EC2
• 访问控制：Kubernetes 准入控制器
• 访问控制：Kubernetes 镜像授权绕过
• 访问控制：IAM 主体过于宽泛
• 访问控制：过于宽松的 S3 策略
• AKS 不良做法：缺少 Azure Monitor 集成
• Ansible 不良做法：缺少 CloudWatch 集成
• Ansible 不良做法：Redshift 可公开访问
• Ansible 错误配置：禁用日志验证
• AWS CloudFormation 不良做法：缺少 CloudWatch 集成
• AWS CloudFormation 不良做法：Redshift 可公开访问
• AWS CloudFormation 不良做法：用户绑定 IAM 策略
• AWS CloudFormation 配置错误：API 网关未经身份验证的访问
• AWS CloudFormation 配置错误：不安全的传输
• AWS CloudFormation 配置错误：CloudTrail 日志记录不足
• AWS CloudFormation 配置错误：DocumentDB 日志记录不足
• AWS CloudFormation 配置错误：Neptune 日志记录不足
• AWS CloudFormation 配置错误：RedShift 日志记录不足
• AWS CloudFormation 配置错误：S3 日志记录不足
• AWS CloudFormation 配置错误：日志验证已禁用
• AWS CloudFormation 配置错误：root 用户访问密钥
• AWS CloudFormation 配置错误：不受限制的 Lambda 主体
• Azure Monitor 配置错误：日志记录不足
• Azure 资源管理器不良做法：跨租户复制
• Azure 资源管理器不良做法：启用远程调试
• Azure 资源管理器不良做法：SSH 密码身份验证
• Azure 资源管理器配置错误：不安全的传输
• Azure 资源管理器配置错误：过度宽松的 CORS 策略
• Azure 资源管理器配置错误：安全警报已禁用
• Azure SQL 数据库配置错误：日志记录不足
• 不安全的 SSL：证书验证不足
• 不安全存储：缺少 DocumentDB 加密
• 不安全的存储：缺少 EBS 加密
• 不安全的存储：缺少 Elasticache 加密
• 不安全的存储：缺少 Neptune 加密
• 不安全的存储：缺少 RDS 加密
• 不安全的存储：缺少 Redshift 加密
• 不安全存储：缺少 S3 加密
• 不安全存储：缺少 SNS 主题加密
• 不安全的传输：Azure 存储
• 不安全传输：数据库
• 不安全的传输：缺少 Elasticache 加密
• 密钥管理：过期
• Kubernetes 不良做法：API 服务器可公开访问
• Kubernetes 不良做法：默认命名空间
• Kubernetes 不良做法：主机写访问
• Kubernetes 不良做法：缺少 API 服务器授权
• Kubernetes 不良做法：缺少 Kubelet 授权
• Kubernetes 不良做法：缺少节点授权
• Kubernetes 不良做法：缺少 RBAC 授权
• Kubernetes 不良做法：禁用命名空间生命周期执行
• Kubernetes 不良做法：已启用 readOnlyPort
• Kubernetes 不良做法：静态身份验证令牌
• Kubernetes 不良做法：未配置的 API 服务器日志记录
• Kubernetes 配置错误：API 服务器匿名访问
• Kubernetes 配置错误：API 服务器日志记录已禁用
• Kubernetes 配置错误：HTTP 基本身份验证
• Kubernetes 配置错误：不安全的传输
• Kubernetes 配置错误：Kubelet 匿名访问
• Kubernetes 配置错误：缺少垃圾收集阈值
• Kubernetes 配置错误：缺少 Kubelet 客户端证书
• Kubernetes 配置错误：过于宽松的能力
• Kubernetes 配置错误：特权容器
• Kubernetes 配置错误：服务器身份验证已禁用
• Kubernetes 配置错误：未绑定控制器管理器
• Kubernetes 配置错误：未绑定调度程序
• 糟糕的日志记录实践：过多的云日志保留
• 糟糕的日志记录实践：云日志保留不足
• 糟糕的日志记录实践：云日志轮换不足
• 糟糕的日志实践：云日志大小不足
• 隐私侵犯：暴露的默认值
• 权限管理：过于广泛的访问策略
• 权限管理：过度放任的角色
• 系统信息泄露：Kubernetes Profiler

OWASP Top 10 2021
开放 Web 应用程序安全项目 (OWASP) Top 10 2021 提供了一个强大的 Web 应用程序安全意识文档，重点是让社区了解最常见和最关键的 Web 应用程序安全风险的后果。OWASP Top 10 代表了关于最关键的 Web 应用程序安全缺陷是什么的广泛共识，并从数据收集和调查结果中得出了共识。为了支持想要降低 Web 应用程序风险的客户，已添加 Micro Focus Fortify Taxonomy 与新发布的 OWASP Top 10 2021 的相关性。

杂项勘误
在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量并提高客户审核问题的能力。客户还可以看到与以下相关的报告问题的变化：

弃用 18.x 之前的 Fortify 静态代码分析器版本：
正如我们在 2021.3 发布公告中提到的，这是支持 18.x 之前的 Fortify 静态代码分析器版本的规则包的最后一个版本。对于此版本，18.x 之前的 Fortify 静态代码分析器版本将不会加载规则包。这将需要降级规则包或升级 SCA 的版本。对于未来的版本，我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。

PHP 改进
改进了对在密钥管理中识别密码和加密密钥的支持：空/硬编码/空加密密钥类别。

Python 改进
改进了对子进程模块的支持，从而改进了对问题的检测，例如命令注入。

误报改进：
继续努力消除此版本中的误报。除了其他改进之外，客户还可以期待在以下领域进一步消除误报：

• 当应用程序未使用 Play 时，来自 Scala 项目中的 Akka actor 的问题。
• 当只能获得对 URL 的部分控制时，JavaScript 中的跨站点脚本问题。
• 提及字符串本地化时 JSON 文件中的密码管理问题
• 来自 HTTP 方法的 Java 和 .NET 项目中的数据流问题。

Cyber​​Res Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase 结合了对数千个漏洞的检查与指导用户通过 SmartUpdate 立即获得以下更新的策略：

API 发现
此版本包括对 API 发现的检查。当 WebInspect 在通过检查输入提供的用户指定位置处检测到 swagger 规范（规范）中的 API 定义时，将标记 API 发现检查。这些规范文件可能不会在任何页面中直接引用，因此不会在爬网中检测到。除了检查 swagger 规范之外，在用户指定的位置，在扫描过程中发现的未明确指定检查输入的定义也将被标记和测试。虽然这些发现不一定表明存在安全漏洞，但它们增加了可能容易受到攻击的资源。

漏洞支持

OGNL 表达式注入：双重评估
CVE-2021-26084 发现的一个严重的 OGNL 表达式注入漏洞影响 Atlassian Confluence 服务器和数据中心。此漏洞允许未经身份验证的攻击者在易受攻击的应用程序上执行任意代码。受影响的Atlassian服务器版本为6.13.23之前、6.14.0~7.4.11之前、7.5.0~7.11.6之前、7.12.0~7.12.5之前。此版本包括一项检查以检测受影响的 Atlassian 服务器中的此漏洞。

目录遍历
Apache HTTP Server 已被发现容易受到由 CVE-2021-41773 和 CVE-2021-42013 识别的目录遍历攻击。这些漏洞使攻击者能够操纵将 URL 映射到由类别名指令配置的目录之外的文件的 URL。攻击者可能会恢复服务器上的文件内容，从而导致敏感数据泄露、专有业务逻辑的潜在恢复以及某些配置的远程代码执行。这些问题仅影响 Apache HTTP Server 版本 2.4.49 和 2.4.50。此版本包含一项检查以检测 Apache HTTP Server 中的这些漏洞。

路径操作：特殊字符
由 CVE-2021-28164 识别的路径操作漏洞影响 Eclipse Jetty。受影响版本中的默认合规模式允许具有包含特殊字符段的 URI 的请求访问 WEB-INF 目录中的受保护资源。这可以揭示有关 Web 应用程序实现的敏感信息并绕过一些安全限制。此版本包含检测易受攻击的 Jetty 实例的检查。

动态代码评估：不安全的 XStream 反序列化
XStream 是用于在 Java 对象和 XML 之间转换数据的常用工具。解组时处理的流包含类型信息以重新创建以前编写的对象。攻击者可以操纵处理后的输入流并替换或注入对象，从而导致执行从远程服务器加载的任意代码。此版本包括检查目标 Web 服务器上最新的不安全 XStream 反序列化漏洞 CVE-2021-39149 漏洞。

路径操作：特殊字符
URL 路径中不应允许使用诸如 0x09 之类的控制字符，并且必须由客户端进行百分比编码。代理服务器和后端服务器之间对这些控制字符的不一致解析可能会带来各种威胁。此版本包括一项检查，以检测是否允许在 URL 路径中插入一些常见的控制字符并对后端 Web 服务器产生负面影响。

合规报告

OWASP Top 10 2021
开放 Web 应用程序安全项目 (OWASP) Top 10 2021 提供了一个强大的 Web 应用程序安全意识文档，重点是让社区了解最常见和最关键的 Web 应用程序安全风险的后果。OWASP Top 10 代表了关于最关键的 Web 应用程序安全缺陷是什么的广泛共识，并从数据收集和调查结果中得出了共识。此 SecureBase 更新包括一个新的合规性报告模板，该模板提供 OWASP Top 10 2021 类别与 WebInspect 检查之间的关联。

政策更新

OWASP Top 10 2021
自定义策略以包含与 OWASP Top 10 2021 相关的检查已添加到 WebInspect SecureBase 支持的策略列表中。此策略包含允许客户运行特定于合规性的 WebInspect 扫描的可用 WebInspect 检查的子集。

杂项勘误
在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量并提高客户审核问题的能力。客户还可以看到与以下相关的报告问题的变化：

SSL 检查改进
SSL 密码列表检查已改进，以反映以下配置不支持完美前向保密：TLS_DH_RSA_WITH_AES_128_GCM_SHA256。

Cyber​​Res Fortify Premium Content
研究团队构建、扩展和维护我们核心安全情报产品之外的各种资源。

OWASP Top 10 2021
为了配合新的相关性，此版本还包含一个支持 OWASP Top 10 2021 的新报告包，可从 Fortify 客户支持门户的 Premium Content 下下载。

Cyber​​Res Fortify 分类法：软件安全错误
Fortify 分类法站点包含对新增类别支持的描述，可从https://vulncat.fortify.com 获得。寻找具有最新支持更新的旧站点的客户可以从 Cyber​​Res Fortify 支持门户获得它。

[1]为了改进分析，在翻译中包含 AWS SAM 或 CloudFormation YAML/JSON 模板。
[2]需要 Fortify 静态代码分析器 v21.2.0 或更高版本。
[3]需要 Fortify 静态代码分析器 v21.2.0 或更高版本。
[4]需要 Fortify 静态代码分析器 v21.2.0 或更高版本。要启用相关输出，请在扫描时通过属性 `com.fortify.sca.rules.enable_wi_correlation`。这可以通过命令行参数或通过修改 SCA 属性文件来完成。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

 LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab中国铂金合作伙伴