Fortify (SAST、DAST）V26.2发布

Fortify (SAST、DAST）V26.2发布

1.我们很高兴宣布，OpenText Core Application Security 26.2 版本即将正式发布！

2. 核心更新内容

2.1 核心功能升级（双版本通用）

2.1.1 AI 驱动静态应用安全测试（SAST）

能力扩展：新增支持 12 种编程语言，覆盖 COBOL、Fortran 等传统语言，兼容 GPT-5 模型（微软 Azure 与 OpenAI 联合），大幅提升复杂代码扫描精度与效率。

架构优化：采用下一代 SAST 架构，加快新语言接入速度，未来可快速交付语言支持能力。

启用方式：云端版在「管理 → 设置 → SAST」开启「启用 AI 驱动 SAST」开关；本地版直接集成至扫描工具，支持命令行与可视化配置双模式。

已知兼容：扫描时自动跳过测试、示例、文档目录及规范命名文件，当前不支持自定义配置（后续版本将开放可调）。

2.1.2 修复仪表盘可视化增强（云端版专属）

新增 12 项核心图表，覆盖安全管理全流程分析：

图表名称	核心价值
按严重级别的审核 / 修复覆盖率	快速评估高、中、低风险漏洞处理进度
问题修复趋势（按月）	支撑修复规划、优先级排序与资源分配
频繁重开问题排名	定位根因分析与流程优化关键点
按扫描类型的修复覆盖率	对比 SAST/DAST 等工具的修复成效
平均修复时长（同比 / 按严重级别）	量化修复效率优化效果，凸显高风险漏洞处理速度
SAST Aviator 采用情况 / ROI	可视化工具应用广度与成本节约价值

2.1.3 动态应用安全测试（DAST）能力增强

双因素认证（2FA）支持：新增表单配置字段，可安全扫描需 2FA 认证的应用，严格保障访问控制合规性。

站点树查看与下载：支持查看动态手动扫描抓取的站点树，可直接从「扫描页面」下载，提升应用结构分析效率。

结果分类展示：支持按「人工评估」或「自动扫描」对 Dynamic+ 检测结果分类，清晰呈现漏洞发现方式。

2.1.4 身份与权限管理优化

SCIM 2.0 集成：支持客户身份提供商（IdP）与租户间自动创建 / 管理用户及用户组，云端版在「管理 → 用户管理 → SCIM 集成」配置，本地版同步支持接口对接。

SSO 联动：SCIM 账号生命周期管理可直接通过单点登录（SSO）启用，简化身份认证与管理流程。

API 密钥角色新增：新增「管理用户」API 密钥角色，支持基于 API 安全管理用户 / 组，无需提升权限，适配自动化集成场景。

开发者权限优化：支持基于开发者的许可模式，租户初始化时可配置权限，所有权限类型集中展示，便于查看额度与到期信息。

2.2 平台与语言支持扩展

类别	新增支持	不再支持
操作系统	Windows Server 2025、macOS 26	Windows 10、macOS 14、IBM AIX 7.1
编程语言	C++23、Kotlin 2.2/2.3、Swift 6.3、PHP 8.5；AI 驱动新增 COBOL/Fortran	.NET (Core) 2.x–4.x、.NET Framework 2.0–4.5、C# 5、Swift 5.10–6.0
构建工具	MSBuild 18、xcodebuild 26.2/26.3/26.4（预览版）	Ant 1.9.x、MSBuild 14.x、xcodebuild 15.3/15.4

2.3 标准合规与工具集成

安全标准全覆盖：完整支持 DISA STIG 6.4、CWE 25 大高危漏洞 2025 版、OWASP 十大风险 2025 版、OWASP 大语言模型应用十大风险 2025 版，贴合国内 GB/T 34944 等合规要求。

SBOM 扩展：支持导入符合 CycloneDX 1.7 规范的 JSON 格式软件物料清单，原有版本兼容不变。

MAST+ 优化：扫描时表单认证最多可添加 3 个额外凭证字段，适配高级认证流程。

本地版翻译器调整：新版 Kotlin 翻译器为默认，若遇兼容问题可通过 -use-k1 命令行参数切换旧版，并反馈技术支持。

2.4 API 接口增强

API 更新

OpenText Core Application Security API 做如下更新：

漏洞批量编辑端点增强

漏洞批量编辑端点支持更广泛的更新场景：

POST /api/v3/releases/{releaseId}/vulnerabilities/bulk-edit

新增可选布尔参数 includeAllVulnerabilities，支持对版本关联的所有漏洞批量更新，无需指定单个漏洞或问题 ID，简化大规模修复更新与自动化流程。

属性端点增强

以下属性端点支持同时启用必填与受限（仅安全负责人可编辑）：

POST /api/v3/attributes

PUT /api/v3/attributes/{attributeId}

与界面属性配置保持一致，确保实体创建时数据治理统一。

静态扫描端点增强

以下静态扫描端点支持 AI 驱动SAST：

POST /api/v3/releases/{releaseId}/static-scans/start-scan

POST /api/v3/releases/{releaseId}/static-scans/start-scan-with-defaults

POST /api/v3/releases/{releaseId}/static-scans/start-scan-advanced

支持将 AI 驱动静态分析无缝集成到自动化流水线。

新增报表端点

新增报表端点支持自动化数据导出与处理，无需在门户手动操作：

GET /api/v3/reports/dataexports/templates：获取可用数据导出模板

POST /api/v3/reports/dataexports：发起新的数据导出

GET /api/v3/reports/dataexports/{dataExportId}：获取指定导出任务状态与详情

开发者许可相关端点

以下端点支持获取基于开发者的许可信息：

GET /api/v3/tenant-entitlements

GET /api/v3/tenant-open-source-entitlements

2.5 其他体验优化

默认扫描策略优化：优化低准确度缓冲区溢出漏洞过滤逻辑，添加注释关联规则与引入版本，降低误报率。

通知机制增强：云端版租户 SSO 设置修改时，安全负责人自动接收邮件通知，提升配置变更管控力。

属性配置增强：下拉列表属性强制默认值从可选列表选择，确保数据录入规范。

 

3. 安装与升级说明

3.1 本地版（OpenText SAST）

完整安装流程参考《OpenText SAST 用户指南》，支持本地部署与环境配置一键化向导。

升级注意事项：

升级前备份原有扫描配置与历史漏洞数据（FPR/XML 格式）。

基于 Intel 芯片的 macOS 安装包已弃用，升级时优先选择 M 系列（ARM）安装包。

扫描 Terraform、Solidity 等语言时，若未手动提供依赖，需确保扫描机器联网下载依赖包。 

4. 已知问题与修复

4.1 通用已知问题

问题场景	具体表现	临时方案	状态
AI 驱动 SAST 扫描	跳过测试 / 示例 / 文档目录文件，当前不可配置	手动筛选扫描目录，排除非业务代码	排查中
Xcode 项目扫描	多目标架构不一致导致部分源文件缺失	1. 为 xcodebuild 命令添加 -arch 参数指定单架构；2. 统一项目构建配置	已优化，预览版修复
PDF 文档	交叉引用链接无法跳转	使用阅读器搜索功能手动定位目标章节	排查中

4.2 已修复问题（26.2 版本）

本地版 AI 驱动 SAST 扫描 Ruby 代码时，FPR 文件未生成代码片段的问题。

本地版 AI 驱动 SAST 扫描日志中，Ruby 源文件分析数量统计缺失的问题。

 

5. 计划变更与弃用功能

5.1 弃用功能（后续版本移除）

com.fortify.sca.FilterSet 属性：不再提供功能增强，仅修复致命 / 安全缺陷，建议尽快替换为新配置方式。

基于 Intel 芯片的 macOS 安装包：后续版本彻底移除，全面转向 M 系列（ARM）支持。

5.2 不再支持的功能 / 环境

类别	具体内容	替代方案
平台	Windows 10、macOS 14、IBM AIX 7.1	升级至 Windows Server 2025、macOS 26 等支持版本
语言 / 构建工具	旧版 .NET、C#、Swift、Ant、MSBuild 等	升级至对应支持的最新版本
功能	Ruby 本地分析	统一使用 AI 驱动 SAST 分析 Ruby 代码

 

6. 术语定义

6.1 核心术语

术语	定义
SAST	静态应用安全测试，通过扫描代码静态文件检测漏洞，无需运行应用。
DAST	动态应用安全测试，通过运行应用模拟攻击检测漏洞，贴近真实运行场景。
SCIM 2.0	系统跨域身份管理标准，用于自动同步用户 / 组信息，实现身份统一管控。
SBOM	软件物料清单，记录软件包含的所有组件、版本、许可等信息，支撑合规审计。
弃用（DEPRECATION）	功能不再新增特性，仅修复严重缺陷，后续版本将彻底移除。
移除（REMOVAL）	功能彻底删除，不再支持任何反馈与使用，相关代码与接口失效。