‍Fortify 22.1.0版本全面上市！

2022年6月在 Fortify，我们的目标是帮助组织从他们可以信任的合作伙伴那里建立软件弹性以实现现代开发。Fortify 继续涵盖当今环境中常见的各种AppSec用例。从DevSecOps、云转型、保护软件供应链和大规模成熟，Fortify 提供了一个全面、包容和可扩展的平台，支持您的软件组合的广度。

我们很高兴地宣布我们的Fortify 22.1.0版本全面上市！通过增强的产品来提高速度、准确性、可扩展性和易用性，这标志着 Fortify 提升应用程序和代码安全性的另一个重要篇章。此版本的一些亮点包括：

Fortify 继续我们的加速语言支持并投资于对我们的客户最重要的平台，例如Java17、.NET 6，以及对Terraform HCL的新支持

使用工作流宏进行扫描可确保扫描涵盖重要内容。现在 WebInspect可以使用HAR文件进行工作流扫描。

带外测试：WebInspect能够测试称为带外或 OAST 漏洞的一类新漏洞。使用公共Fortify OAST 服务器WI可以检测OAST漏洞，例如Log4Shell。

此版本包含对Fortify静态代码分析器、Fortify WebInspect、Fortify软件安全中心和Fortify软件组合分析的更新。新功能和特性的完整列表包括：

Fortify 软件安全中心

以下功能已添加到 Fortify 软件安全中心。

问题关联详细信息

如果您在应用程序版本中有关联问题，则可以使用关联问题图标的标题，根据它们是否与其他问题相关来对列出的问题进行排序（请参阅“在 AUDIT 页面上查看关联问题”中的Fortify 软件安全中心用户指南）。您还可以选择性地列出与给定问题相关的问题（请参阅Fortify Software Security Center 用户指南中的“审核相关问题”）。

目标规则包下载

以前，Fortify 软件安全中心忽略了规则包更新请求中的 clientType 参数。结果，Rulepack 客户端收到了所有可用的 Rulepack（Fortify静态代码分析器和Fortify安全助手Rulepack。现在，Fortify Software Security Center将clientType 参数考虑到Rulepack 更新请求。有关详细信息，请参阅 Fortify Software Security Center 用户指南中的“从 Micro Focus Fortify 更新服务器更新规则包”

更新的处理规则：忽略在快速扫描模式下执行的 SCA 扫描 

忽略在快速扫描模式下执行的Fortify静态代码分析器扫描的处理规则现在还可以防止上传设置为小于四的Fortify静态代码分析器快速拨号结果。有关详细信息，请参阅 Fortify Software Security Center用户指南中的“设置应用程序版本的分析结果处理规则”。

报告维护：新的“保留天数”选项

在计划程序页面上，在新的报告维护部分添加了保留天数选项。此选项允许您指定Fortify软件安全中心保留生成的报告的天数。有关详细信息，请参阅Fortify Software Security Center用户指南中的“配置作业计划程序设置”。

暂停作业执行

您现在可以通过使用维护页面（管理>维护）上的暂停作业执行选项暂停（然后恢复）作业执行来控制作业执行。暂停作业执行后，当前运行的作业（工件处理、报告生成、数据导出请求等）将继续完成。清除暂停作业执行复选框并恢复正常处理后，提交的任何新作业都会排队等待处理。

有关更多详细信息，请参阅Fortify软件安全中心用户指南中的“暂停和恢复作业执行”。

要求对特定自定义标签值进行评论 

管理员现在可以要求对自定义标签进行评论。选中“需要评论”设置后，对自定义标签的任何更改都会导致为自定义标签显示一个额外的评论框，并且在输入评论之前，保存按钮将被禁用。有关详细信息，请参阅Fortify Software Security Center 用户指南中的“向系统添加自定义标签”。

扩展问题计数

以前，您可以在AUDIT页面上一次显示20、50或100个问题。现在，每页最多可以显示150或200个问题。

Kubernetes 更新

添加了对Kubernetes 1.22 的支持

添加了对Helm 3.8 的支持

Fortify ScanCentral SAST 

Fortify ScanCentral SAST加了以下功能。

Kotlin for Android 支持

您现在可以使用ScanCentral Client 打包Kotlin for Android项目，以便使用Gradle集成 (-bt gradle) 进行远程翻译。

更新 ScanCentral Client

的新命令使用新的更新命令，您可以将ScanCentral Client更新到ScanCentral Controller上的最新版本。

使用作业令牌获取 SSC 工件处理状态 

使用status 命令，ScanCentral Client 可以检索将FPR上传到SSC的作业的处理状态。

构建工具更新

Gradle 7.3

MSBuild 14.0, 17.0, 17.1, and 17.2

支持控制器上的多个客户端版本以进行自动更新

自动更新功能现在支持多个版本的客户端。传感器和嵌入式客户端将根据控制器中可用的版本进行更新，而不是根据控制器的版本进行更新。

Fortify SCA (Fortify SAST)

Fortify静态代码分析器添加了以下功能。

操作系统更新

Fortify增加了对以下操作系统和版本的支持：

macOS 12

Windows 11

编译器更新Fortify 

添加了对以下编译器版本的支持：

Clang 13.1.6

OpenJDK javac 17

Swiftc 5.6

cl (MSVC) 2015 and 2022

构建工具更新Fortify 

增加了对以下构建工具版本的支持：

Gradle 7.4.x

MSBuild 14.0, 17.0, 17.1 and 17.2

Xcodebuild 13.3 and 13.3.1

语言和框架更新

C# 10

.NET 6.0

C/C++ 20

HCL 2.0

Java 17

TypeScript 4.4 and 4.

Fortify Static Code Analyzer Tools

以下功能已添加到 Fortify 静态代码分析器工具中。

Visual Studio 2022支持

Visual Studio Fortify 扩展现在支持 Visual Studio 2022。

IntelliJ 2021.x 支持 

IntelliJ Fortify 分析插件现在支持 IntelliJ 2021.x 到 2021.3。

从文件系统导入标准 Fortify Rulepacks

使用Fortify Audit Workbench、Fortify Eclipse Complete Plugin 和 Fortify Extension for Visual Studio 中的选项菜单导入从客户门户下载的 Fortify Rulepacks。

比较两个 FPR 之间已扫描文件的LOC 

查看 FPR 中分析文件的 LOC 计数 (-loc) 或使用 FPRUtility (-loc, -compareTo) 比较两个 FPR 之间的 LOC 计数。

fortifyupdate的可配置超时使用

server.properties 文件中的 rulepackupdate.SocketReadTimeoutSeconds 属性配置 fortifyupdate 的套接字超时。默认值为 180。

新搜索修饰符：shortfilename

在 Fortify Audit Workbench和Fortify Plugins for Eclipse中，您可以使用shortfilename作为问题模板中的搜索修饰符来过滤或隐藏与文件名匹配的问题。对于完整路径匹配，继续使用文件搜索修饰符。

新的 OWASP 2021

年前10名报告使用以下工具生成新的OWASP前10名报告（2021年）：

Fortify Audit Workbench

用于Visual Studio的Fortify扩展

用于Eclipse的 Fortify修复插件

BIRT报告生成器

Fortify ScanCentral DAST

以下功能已添加到Fortify ScanCentral DAST

用户配置限制

新权限允许您禁止扫描特定域或IP地址。

允许用户修改扫描需要新的修改用户权限。没有此权限的用户只能配置扫描URL、登录宏、工作流宏和网络凭据。使用此有限角色，用户可以开始扫描、从基本设置创建扫描以及查看设置但不能更改它们。

PostgresSQL 支持

支持使用PostgresSQL数据库。

扫描导入

从Fortify WebInspect或Fortify WebInspect Enterprise将扫描导入ScanCentral PostgresSQL数据库。

自动化部署（基础设施即代码）

支持ScanCentral DAST的全自动部署。

重新扫描按钮

重新扫描按钮允许您重新扫描和现有扫描。

Fortify WebInspect (Fortify DAST)
Fortify WebInspect添加了以下功能。

使用工作流宏支持 HAR 文件扫描可确保扫描涵盖重要内容。WebInspect现在可以使用HAR文件进行工作流扫描。

带外测试WebInspect现在可以测试一类称为带外或OAST漏洞的新漏洞。使用公共Fortify OAST服务器，WebInspect可以检测OAST漏洞，例如Log4Shell。

引擎 7.0 更新Fortify 继续增强其引擎以提高扫描覆盖率和性能。WebInspect 22.1.0 提供了更快的抓取和审核，以及来自带有宏引擎 7.0 的 Web 宏记录器的更好的应用程序支持。

MS SQL AD 身份验证支持WebInspect 22.1.0现在可以通过AD身份验证使用MS SQL数据库。

Windows 11 支持Windows 11 操作系统现在支持 WebInspect 22.1.0。

Azure SQL 数据库支持WebInspect 22.1.0 现在可以使用 Azure SQL 数据库来存储扫描数据。

Fortify WebInspect Enterprise 21.2.0 的传感器支持WebInspect 22.1.0 可以配置为 Fortify WebInspect 21.2.0 的传感器。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

     0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab铂金级合作伙伴