1
您現在的位置:
首頁
/
/
Micro Focus Fortify軟件安全性内容2021更新

Micro Focus Fortify軟件安全性内容2021更新

  • 分類:新聞資訊
  • 作者:
  • 來源:
  • 發(fā)布時(shí)間:2021-04-13
  • 訪問量:0

【概要描述】

Micro Focus Fortify軟件安全性内容2021更新

【概要描述】

  • 分類:新聞資訊
  • 作者:
  • 來源:
  • 發(fā)布時(shí)間:2021-04-13
  • 訪問量:0
詳情

Fortify軟件安全研究(SSR)很高興宣布Fortify安全編碼規則包(英語,版本2021.1.0),Fortify WebInspect SecureBase(可通過(guò)SmartUpdate獲得)和Fortify Premium Content的更新立即可用。

 

Micro Focus Fortify安全編碼規則包[SCA]

在此版本中,Fortify安全編碼規則包檢測27種(zhǒng)編程語言中的816個獨特類别的漏洞,并覆蓋了超過(guò)一百萬個單獨的API。總而言之,此版本包括以下内容:

 

Micro Focus Visual COBOL支持(版本6[1]

此版本增加了對(duì)Micro Focus Visual COBOL版本6的支持。特别是,該版本包括對(duì)Micro Focus COBOL運行時(shí)系統(RTS)的支持,并擴展了對(duì)已經(jīng)由COBOL支持的路徑操縱類别和以下其他類别的支持:

- Command Injection
- Memory Leak
- Memory Leak: Reallocation
- Unreleased Resource
- Unreleased Resource: Synchronization

 

Android 11

爲了支持最新版本的AndroidAPI版本30),我們正在進(jìn)行以下工作,其中包括以下名稱空間:

-android.accounts
-android.app
-android.database
-android.database.sqlite

用戶應該期望看到可以總體上改善結果的Android應用程序的更好(hǎo)建模,以及其他SQL注入訪問控制:數據庫發(fā)現。

 

iOS更新

作爲改善iOS支持的不懈努力的一部分,爲以下類别添加了新的Swift規則:

-Foundation.NSCache
-Foundation.URLFileProtection

用戶應該期望看到與數據保護和隐私違規有關的改進(jìn)結果,以及對(duì)其他漏洞類型和框架的總體改進(jìn)(請參閱其他勘誤-iOS錯誤修複)。

 

Angular支持更新(版本11.2.3

此版本使我們的Angular支持達到11.2.3。特别是,确定了來自浏覽器的用戶控制信息的新來源,這(zhè)可能(néng)導緻許多類别觸發(fā)它們以前未曾觸發(fā)過(guò)的地方。

 

Apache Commons更新

Apache Commons提供了可重用的Java組件。在此版本中,SSR更新了對(duì)以下組件的支持:

- beanutils (1.9.4)
- collections4 (4.4)
- dbutils (1.7)
- fileupload (1.4)
- lang (3.11)
- math (3.6.1)
- io (2.8.0)
- text (1.9)

 

這(zhè)些更新改進(jìn)了使用這(zhè)些組件的應用程序的建模,确定了針對(duì)諸如日志僞造和JSON注入等類别的保護措施,并确定了可能(néng)出現以下漏洞類型的新位置:

- Access Control: Database
- Denial of Service
- Insecure Randomness: User-Controlled Seed
- Path Manipulation
- Privacy Violation
- Setting Manipulation
- SQL Injection
- System Information Leak (variants)

 

Python3.9版)

更新了對(duì)最新版本Python的支持,從而改善了核心語言API的建模。

 

各種(zhǒng)勘誤

在此版本中,我們繼續投入資源以确保我們可以減少誤報問題的數量,并提高客戶審計問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的已報告問題的變化:

誤報性改進(jìn):

我們將(jiāng)繼續傾聽客戶的意見,并努力提高誤報率。在此版本中,我們緻力于以下工作,以減少誤報的次數:

-代碼正确性:JavaKotlin應用程序中的錯誤類比較

-動态代碼評估:Python 3掃描中消除了代碼注入問題

-改進(jìn)了關鍵管理問題,以消除所有語言的誤報

-跨站腳本:從一個輸入框來當自:與jQueryDOM問題現在被正确地歸類爲跨站點腳本。

-匹配可能(néng)不是密碼的内容時(shí),配置文件中的密碼管理問題已消除

-與本地化數據匹配時(shí),密碼管理誤報得到了改善。

-删除了有關Java Spring應用程序中不相關功能(néng)的XML外部實體注入的發(fā)現。

-ASP.NET MVC不良做法:控制器(不限于POST)現在允許其他動詞視爲安全(PATCHDELETEPUT

 

iOS錯誤修複:

由于分析的改進(jìn),規則更新是必要的。這(zhè)可能(néng)會(huì)導緻用戶看到以下弱點類型的改進(jìn):

- Input Interception: Keyboard Extensions Allowed
- Privacy Violation: HTTP Get
- Privacy Violation: Keyboard Caching
- Privacy Violation: Screen Caching
- Privacy Violation: Shoulder Surfing

幾個框架也進(jìn)行了較小的更新,以提高準确性:FoundationUIKitWebKitHealthKitWatchKitMessageUICoreLocationCoreData

删除的類别:

爲了增強結果的相關性,在此版本中已删除以下類别:

- Privilege Management: Android Network 

Micro Focus Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase將(jiāng)針對(duì)數千個漏洞的檢查與策略結合在一起(qǐ),這(zhè)些策略可指導用戶立即通過(guò)SmartUpdate獲得以下更新:

 

漏洞支持

OGNL Expression Injection: Struts 2

CVE-2019-0231CVE-2020-17530識别出的關鍵OGNL表達語言注入漏洞影響了Struts版本2.02.5.25。利用這(zhè)些漏洞可能(néng)導緻服務器上執行任意遠程代碼。此版本包括檢查以檢測使用Struts 2Web應用程序中的這(zhè)些漏洞。

WAF Detection[2]

此版本包括檢查“ WAF檢測,當在掃描過(guò)程中檢測到Web應用程序防火牆時(shí),該标記會(huì)标記參考信息。這(zhè)些發(fā)現表明,由于掃描請求在到達應用程序之前被阻止,因此掃描質量可能(néng)會(huì)受到影響。

Hacker Level Insights[2]

黑客級别的見解爲開(kāi)發(fā)人員和安全專業人員提供了與應用程序整體安全狀況有關的上下文。此版本包括檢查标記在掃描過(guò)程中在應用程序中檢測到的庫的檢查。盡管這(zhè)些發(fā)現不一定代表安全漏洞,但必須注意,攻擊者通常會(huì)對(duì)這(zhè)些類型的目标執行偵察,以試圖發(fā)現已知的弱點或模式。       

 

政策更新

NIST SP 800-53 Rev. 5

自定義的策略包括與NIST SP 800-53修訂版5相關的檢查,已添加到受支持策略的WebInspect SecureBase列表中。  

CWE Top 25 2020

自定義的策略包括與CWE Top 25 2020相關的檢查已添加到受支持策略的WebInspect SecureBase列表中。

DISA STIG 5.1

已將(jiāng)自定義爲包括與DISA STIG 5.1相關的檢查的策略添加到了受支持策略的WebInspect SecureBase列表中。 

 

各種(zhǒng)勘誤

在此版本中,我們繼續投入資源以确保我們可以減少誤報問題的數量,并提高客戶審計問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的已報告問題的變化:

Web Cache Poisoning

此版本包括對(duì)Web Cache Poisoning的更新檢查:未加密的标頭。用戶現在可以添加他們懷疑是高速緩存鍵一部分的自定義标頭。

Unsafe SpringBoot Actuators

此發(fā)行版包含更新的檢查以檢測敏感的Spring Boot Actuator(适用于非特權用戶),從而提供更準确的結果。

XSS Improvements

此版本包括針對(duì)Vue 3Angular JS 1.5.9及更高版本的XSS攻擊檢查的改進(jìn)。

 

[1] Requires SCA 21.1 or later.
[2] Requires WebInspect 21.1 or later.

 

 

 

關于蘇州華克斯信息科技有限公司

聯系方式:400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT(QTP) | ALM(QC)

 

Micro Focus (原HPE)鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab中國(guó)鉑金合作夥伴

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發(fā)布時(shí)間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388号
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這(zhè)是描述信息

頁面(miàn)版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.