Fortify软件安全内容 2023 更新 2

Fortify软件安全研究团队将前沿研究转化为安全情报，为Fortify产品组合提供支持，包括Fortify静态代码分析器（SCA）和Fortify WebInspect。如今，Fortify软件安全内容支持31+种语言的1，552个漏洞类别，涵盖超过100万个单独的API。

Fortify Software Security Research（SSR）很高兴地宣布立即推出Fortify Secure Coding Rulepacks（英语，版本2023.2.0）、Fortify WebInspect SecureBase（可通过SmartUpdate获得）和Fortify Premium Content的更新。

Fortify安全编码规则包[Fortify静态代码分析器]

在此版本中，Fortify安全编码规则包可检测31+种语言中的1，329个独特类别的漏洞，并跨越超过100万个单独的API。总之，此版本包括以下内容：

支持Dart（支持的版本：2.19.6）^[1]
由Google开发的Dart软件开发工具包（SDK）提供了一种强类型、基于类和垃圾回收的编程语言，用于构建桌面、移动和Web应用程序。Dart允许将应用程序编译为特定于体系结构的机器代码、可移植模块或JavaScript，具体取决于预期的用例，从而提供了多功能性。借助Dart，开发人员可以创建带有图形用户界面（GUI）的应用程序，使其成为构建各种软件解决方案的灵活选择。

对Flutter的初始支持（支持的版本：3.7.11）^[1]
Flutter是由Google创建的开源用户界面（UI）SDK，它利用了Dart编程语言的强大功能。它为开发人员提供了一套全面的工具、库和包，以促进跨平台应用程序的创建。借助Flutter，开发人员可以从单个代码库构建移动、Web和桌面应用程序，从而简化开发过程并减少时间和精力。通过利用Flutter的功能，开发人员可以创建具有视觉吸引力和高性能的应用程序，这些应用程序可以在多个平台上无缝运行。对Flutter的支持包括跟踪用户提供的输入、检测Dart编程语言支持的所有类别，以及以下专门针对Flutter GUI的类别：

Privacy Violation: Shoulder Surfing

System Information Leak: Internal

Android13（API级别：33）
Android平台是专为移动设备设计的开源软件堆栈。Android的一个主要组件是Java API框架，它向应用程序开发人员公开Android功能。此版本扩展了利用Android的Java API框架的Java或Kotlin编写的原生Android应用程序中的漏洞检测。此版本中针对Android应用程序引入了五个新的弱点类别：

Privacy Violation:    Android Insecure Indexing

Privilege Management: Android Nearby Devices

Privilege Management: Android Notifications

Privilege Management: Android Read Aural Media

Privilege Management: Android Read Visual Media

Java SE JDK（支持的版本：17）Java Platform，Standard Edition（SE）Java Development Kit（JDK）
是一个软件开发包，包含用于开发Java应用程序和组件的工具和库。此版本更新了对Java SE JDK 15、16和17中引入的新API的以下命名空间中现有弱点类别的支持：

Kotlin标准库更新（支持的版本：1.7.21）
Kotlin是一种具有Java互操作性的通用静态类型语言。此版本包括对Kotlin版本1.6和1.7中引入的面向Java虚拟机（JVM）的新标准库API的更新支持。

Secret Scanning Update
是一种在源代码和配置文件中自动搜索机密的技术。在这种情况下，“机密”是指密码、API令牌、加密密钥和应保密的类似工件。此版本包括对以下类别的秘密扫描的更新支持：

Credential Management: Hardcoded API Credentials

Key Management: Hardcoded Encryption Key

Password Management: Hardcoded Password

此外，以下类别现在支持PowerShell脚本中的秘密扫描：

Password Management: Hardcoded Password

Privacy Violation

云基础结构即代码（IaC）
基础结构即代码是通过代码管理和预配计算机资源的过程，而不是各种手动过程。支持技术的扩展覆盖范围包括用于部署到Amazon Web Services（AWS）和Google Cloud Platform（GCP）的Terraform配置，以及AWS CloudFormation的配置。与上述这些服务的配置相关的常见问题现在报告给开发人员。

AWS TerraformConfigurations
Terraform是一种开源IaC工具，用于构建、更改云基础设施并进行版本控制。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。Terraform提供商支持AWS基础设施的配置和管理。在此版本中，我们报告了Terraform配置的以下附加类别：

GCPTerraform配置
Terraform是一种开源基础架构即代码工具，用于构建、更改和版本控制云基础架构。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。地形提供程序支持GCP基础结构的配置和管理。在此版本中，我们报告了GCP地形配置的以下弱点类别：

GCP Terraform Misconfiguration: Insufficient Cloud   Load Balancing Logging

GCP Terraform Misconfiguration: Insufficient Cloud   NAT Logging

GCP Terraform Misconfiguration: Insufficient Media   CDN Logging

GCP Terraform Misconfiguration: Insufficient   Operations Suite Logging

AWS CloudFormation配置
CloudFormation是Amazon提供的一项服务，用于自动预置和配置AWS资源。CloudFormation允许用户使用JSON或YAML模板管理AWS资源。在此版本中，我们报告了AWS CloudFormation配置的以下弱点类别：

可自定义的密码管理正则表达式更新
现在可以使用以下属性指定Salesforce Apex、Dart和PowerShell脚本的可自定义密码管理正则表达式：

fortify.sca.rules.password_regex.apex

fortify.sca.rules.password_regex.dart

fortify.sca.rules.password_regex.powershell

这些属性可用于覆盖扫描Salesforce Apex源代码、Dart源代码或PowerShell脚本时用于标识密码的默认正则表达式。

OWASP移动应用程序安全验证标准（MASVS）v2.0.0 OWASPMASVS v2.0.0
标准于2023年4月发布，作为OWASP移动应用程序安全（MAS）项目的一部分。它为移动应用程序安全要求提供了基线，旨在供移动软件架构师、开发人员和测试人员使用。OWASP MASVS 2.0旨在关注在移动设备上运行的“客户端”移动应用程序的应用程序安全性。因此，应将其与OWASP ASVS结合使用，以评估与远程终结点控制相关的服务器端应用程序安全风险。为了支持我们的客户开发安全的移动应用程序并评估移动应用程序的安全控制覆盖范围和风险缓解，添加了强化分类法与OWASP MASVS v2.0.0的关联。

弃用“Link Injection: Auto Dial”类别

Link Injection: Auto Dial由于已过时而被删除。引入该类别是为了解决CVE-2017-2484，攻击者可以利用iOS应用程序中未经净化的用户输入来自动拨打电话号码或Facetime通话。此漏洞已在iOS 10.3更新中修复，因此不再与当前的iOS应用程序相关。

PHP动态函数^[2]
最新的Fortify静态代码分析器包括更新的PHP支持，支持针对未经净化的外部输入引用的动态函数报告动态代码评估：代码注入问题。

为了提高一致性，已重命名以下类别：

Azure Terraform配置错误：不正确的CosmosDB CORS Policy现在报告为Azure Terraform错误配置：不正确的Cosmos DB CORS策略

Kubernetes配置错误：缺少服务帐户准入控制器现在报告为Kubernetes配置错误：缺少服务帐户准入控制器

NoSQL注入：CosmosDB现在报告为NoSQL注入：Cosmos DB

Fortify SecureBase [FortifyWebInspect]

Fortify SecureBase将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过SmartUpdate立即提供以下更新：

漏洞支持

不安全部署：未修补的应用程序：
ZK Framework是一个用于创建企业移动和Web应用程序的开源Java库，其中包含由CVE-2022-36537识别的安全漏洞。攻击者可利用此漏洞检索位于Web上下文中的文件内容。成功利用此漏洞可使攻击者获取敏感信息或以无法访问的终结点为目标。此版本包括一项检查，用于在使用受影响的ZK框架版本的目标服务器上检测此漏洞。

其他勘误表
在此版本中，我们投入了资源来进一步减少误报的数量，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告结果的变化：

命令注入：
已添加由ID 11722和11723标识的检查，以使用支持带外应用程序安全测试（OAST）功能的有效负载^[3].它们减少了误报，提高了WebInspect扫描结果的准确性。

Fortify优质内容

研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。

OWASP MASVS v2.0.0为了配合新的相关性，此版本还包含支持OWASP MASVS v2.0.0的Fortify软件安全中心的新报告包，可从Fortify客户支持门户的“高级内容”下下载。

强化分类：软件安全错误
强化分类网站包含新添加的类别支持的说明，可在https://vulncat.fortify.com上找到。
与上述实时站点一致的Fortify分类站点的新云外版本现在可供客户从Fortify支持门户下载。

[1]需要Fortiyf静态代码分析器23.1.0。为获得最佳结果，请使用Fortify静态代码分析器23.1.1。
[2]需要SCA 23.1及更高版本
[3]由于11723检查会发送大量请求，因此它被排除在标准策略之外。使用“所有检查”策略，自定义现有策略以包含检查，或创建自定义策略以运行此检查。