Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲支持 Fortify 産品組合的安全情報，包括 Fortify 靜态代碼分析器 (SCA)、Fortify WebInspect 和 Fortify Application Defender。如今，Cyber​​Res Fortify 軟件安全内容支持 29 種(zhǒng)語言的 1,137 個漏洞類别，涵蓋超過(guò)一百萬個單獨的 API。

Fortify Software Security Research (SSR) 很高興地宣布立即提供 Fortify Secure Coding Rulepacks（英語，版本 2021.4.0）、Fortify WebInspect SecureBase（通過(guò) SmartUpdate 提供）和 Fortify Premium Content 的更新。

Cyber​​Res Fortify 安全編碼規則包 [SCA]

在此版本中，Fortify 安全編碼規則包可檢測 29 種(zhǒng)編程語言中的 917 種(zhǒng)獨特的漏洞類别，涵蓋超過(guò) 100 萬個單獨的 API。總之，此版本包括以下内容：

.NET Core 和 ASP.NET 更新（支持版本：.NET Core 3.1）
改進(jìn)了對(duì)各種(zhǒng) .NET Core 和 ASP.NET Core 命名空間的支持，包括以下内容：

• AspNetCore.Http
• AspNetCore.Mvc
• Extensions.Logging
• System
• IO
• Net
• Threading

該支持提高了以下類别的覆蓋範圍：

• Cross-Site Scripting: Inter-Component Communication (Cloud)
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Log Forging
• Log Forging (debug)
• Privacy Violation
• System Information Leak

Azure
Azure 是微軟的公共雲計算平台，提供一系列雲服務，包括計算、容器、物聯網、人工智能(néng)和機器學(xué)習。

在此版本中，我們爲多項關鍵 Azure 服務提供初步支持：Functions、Identity 和 CosmosDB。此外，現在支持以下特定的 Azure 技術：

Azure Functions（支持的版本：Java 1.3.1、C# 3.x）
Functions 是 Microsoft Azure 的無服務器計算解決方案。Azure Functions 提供持續更新的基礎結構來運行應用程序、構建 Web API、響應數據庫更改和管理消息隊列。此更新包括對(duì)以下 C# 和 Java 觸發(fā)器類型的初始支持：

• Blob Trigger
• CosmosDB Trigger
• Event Trigger
• Http Trigger (as class library)
• Http Trigger (as C# isolated process)
• Queue Trigger
• ServiceBus Trigger

Azure Functions 支持包括以下類别：

• Cookie Security: Cookie not Sent Over SSL
• Cookie Security: HTTPOnly not Set
• Cookie Security: Overly Broad Path
• Cookie Security: Overly Broad Domain
• Cookie Security: Persistent Cookie
• Cross-Site Scripting: Inter-Component Communication (Cloud)
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Denial Of Service
• Header Manipulation
• Header Manipulation: Cookies
• HTML5: Overly Permissive CORS Policy
• Privacy Violation
• Resource Injection
• Setting Manipulation
• System Information Leak: External

Azure Identity（支持的版本：C# 1.5.0、Java 1.4.1）
Azure Identity 是 Microsoft 基于雲的身份和訪問管理服務。它爲組織内的資源提供身份驗證和授權。此更新包括對(duì)以下命名空間的初始支持：

C＃

• Identity (version 1.5.0)

Java

• azure.identity (version 1.4.1)

Azure 标識支持包括以下類别：

• Password Management
• Password Management: Empty/Hardcoded/Null Password
• Password Management: Weak Cryptography
• Resource Injection

Azure CosmosDB（支持版本：3.x）
Azure Cosmos DB 是一種(zhǒng)全球分布的多模型數據庫服務。借助 Azure Cosmos DB，可以使用 API 和編程模型存儲和訪問文檔、鍵值、寬列和圖形數據庫。此更新包括對(duì)以下 C# 命名空間的初始支持：

• Azure.Cosmos
• Azure.Cosmos.Scripts
• Azure.Cosmos.Table

Azure Cosmos DB 支持包括以下類别：

• Denial of Service
• HTML5: Overly Permissive CORS Policy
• Insecure Transport
• NoSQL Injection: CosmosDB
• Resource Injection
• Setting Manipulation
• SQL Injection

AWS
亞馬遜網絡服務 (AWS) 是一個公共雲計算平台，提供一系列雲服務，包括計算、存儲、網絡、數據庫、物聯網和機器學(xué)習。

在此版本中，我們爲多項關鍵 AWS 服務提供初步支持：IAM、DynamoDB 和 RDS。此版本還(hái)添加了對(duì) C# 的初始 Lambda 支持和對(duì) Java 的更新支持。此外，現在支持以下特定的 AWS 技術：

AWS Lambda 更新（支持的版本：.NET AWS SDK 3.7.x，Java AWS SDK v2 2.17.x）[1]
Lambda 是一種(zhǒng)計算服務，由 Amazon 作爲 Amazon Web Services (AWS) 的一部分提供，無需預置即可運行代碼或管理服務器。Lambda 服務運行代碼以響應事(shì)件并自動管理代碼所需的計算資源。此更新包括對(duì) C# 的初始支持和對(duì) Java 的額外支持。此更新包括對(duì)以下 C# 和 Java 命名空間的支持：

C#

• Lambda
• Lambda.APIGatewayEvents
• Lambda.Core

Java

• amazonaws.services.lambda.runtime
• amazonaws.services.lambda.runtime.events

此更新包括對(duì)以下事(shì)件類型的額外支持：

• API Gateway Events (C#, Java)
• DynamoDB (Java)
• S3 Events (Java)
• Scheduled Events (Java)

AWS Lambda 支持包括以下類别：

• Cross-Site Scripting: Inter-Component Communication
• Cross-Site Scripting: Persistent
• Cross-Site Scripting: Poor Validation
• Cross-Site Scripting: Reflected
• Header Manipulation
• Header Manipulation: Cookies
• Log Forging
• Privacy Violation
• System Information Leak: External
• System Information Leak: Internal

AWS IAM（支持的版本：.NET AWS SDK 3.7.x、Java AWS SDK v2 2.17.x）
AWS Identity and Access Management (IAM) 是一種(zhǒng)控制對(duì) AWS 資源的訪問的 Web 服務。IAM 可用于控制 AWS 資源的身份驗證和授權使用。此更新包括對(duì) C# 和 Java 的支持。此更新包括對(duì)以下 C# 和 Java 命名空間的支持：

C#

• IdentityManagement.Model

Java 

• amazonaws.services.identitymanagement.model
• amazon.awssdk.services.iam.model

除了識别敏感信息之外，AWS IAM 支持還(hái)包括以下類别：

• Password Management
• Password Management: Empty/Hardcoded/Null Password
• Password Management: Weak Cryptography

AWS DynamoDB（支持的版本：.NET AWS SDK 3.7.x，Java AWS SDK v2 2.17.x）
AWS DynamoDB 是一種(zhǒng)完全托管的 NoSQL 數據庫服務，支持鍵值和文檔數據結構。DynamoDB 可用于存儲和檢索數據并爲任意數量的請求流量提供服務。此更新包括對(duì) C# 的初始支持和對(duì) Java 的更新支持。支持包括以下命名空間：

C＃

• DynamoDBv2.Model
• DynamoDBv2.DataModel
• DynamoDBv2.DocumentModel

Java

• amazonaws.services.lambda.runtime.events.models.dynamodb
• amazon.awssdk.enhanced.dynamodb
• amazon.awssdk.enhanced.dynamodb.model

 AWS DynamoDB 支持包括以下類别：

• 訪問控制：數據庫
• NoSQL 注入：DynamoDB
• SQL 注入：PartiQL

适用于 Aurora Serverless 的 AWS Relational Database Service (RDS) Data API（支持的版本：.NET AWS SDK 3.7.x、Java AWS SDK v2 2.17.x）
Amazon Aurora 是一個 MySQL 和 PostgreSQL 兼容的關系數據庫引擎，是托管的一部分亞馬遜關系數據庫服務（亞馬遜 RDS）。AWS RDS 數據 API 提供了一個 Web 服務接口，使應用程序能(néng)夠訪問和執行針對(duì) Aurora Serverless 數據庫集群的 SQL 語句。此更新包括對(duì)以下 C# 和 Java 命名空間的支持：

C＃

• RDSDataService.Model

Java

• amazon.awssdk.services.rdsdata.model (V2)

AWS RDS 支持包括以下類别：

• 訪問控制：數據庫
• 設置操作
• SQL注入

秘密掃描
支持秘密掃描。秘密掃描是一種(zhǒng)自動搜索文本文件中的秘密的技術。在這(zhè)種(zhǒng)情況下，“秘密”是指密碼、API 令牌、加密密鑰和類似的不公開(kāi)的工件。主要目的是在源代碼和配置文件中意外地找到硬編碼的秘密。通過(guò)新的正則表達式分析[2]擴展了對(duì)所有語言和其他文件類型的支持。支持的類别包括：

• 憑證管理：硬編碼的 API 憑證
• 密鑰管理：硬編碼的加密密鑰
• 密碼管理：硬編碼密碼

Trojan Source
Trojan Source [3]是 Nick Boucher 和 Ross Anderson 在他們的論文“Trojan Source: Invisible Vulnerabilities”中發(fā)表的一類漏洞。他們展示了 5 種(zhǒng)不同的方式 Unicode 特殊字符可用于使代碼以一種(zhǒng)方式呈現給開(kāi)發(fā)人員的肉眼，但在執行時(shí)以不同的方式工作。特洛伊木馬源應被視爲内部威脅場景，而惡意個人可以故意插入 Unicode 字符。由于其中一個類别的精确性，我們在以下語言的核心規則包中包含檢測支持：C、C++、C#、Go、Java、JavaScript、Python 和 Rust。支持的類别包括：

• 編碼混亂：BiDi 控制字符

靜态/動态問題關聯[4]
支持導出數據，以便在 Fortify 軟件安全中心 (SSC) 中爲 Java Spring 項目關聯靜态和動态掃描結果。支持的類别包括：

• 跨站腳本：内容嗅探
• 跨站腳本：組件間通信
• 跨站腳本：持久化
• 跨站腳本：驗證不佳
• 跨站腳本：反射
• SQL注入
• SQL 注入：休眠

擴展的 IBM 大型機 COBOL 支持（支持的版本：6.3）
此更新包括檢測 IBM 大型機 COBOL 代碼中的整數溢出漏洞。

雲基礎設施即代碼
支持雲基礎設施即代碼 (IaC)。IaC 是通過(guò)代碼管理和配置計算機資源的過(guò)程，而不是各種(zhǒng)手動過(guò)程。支持的技術包括 AWS、AWS CloudFormation、Azure ARM、Kubernetes K8S 和 Azure Kubernetes Service。與上述服務配置相關的常見問題現已報告給開(kāi)發(fā)人員，包括：

• 訪問控制：Azure Blob 存儲
• 訪問控制：Azure 容器注冊表
• 訪問控制：Azure 網絡組
• 訪問控制：Azure SQL 數據庫
• 訪問控制：Azure 存儲
• 訪問控制：Cosmos DB
• 訪問控制：EC2
• 訪問控制：Kubernetes 準入控制器
• 訪問控制：Kubernetes 鏡像授權繞過(guò)
• 訪問控制：IAM 主體過(guò)于寬泛
• 訪問控制：過(guò)于寬松的 S3 策略
• AKS 不良做法：缺少 Azure Monitor 集成(chéng)
• Ansible 不良做法：缺少 CloudWatch 集成(chéng)
• Ansible 不良做法：Redshift 可公開(kāi)訪問
• Ansible 錯誤配置：禁用日志驗證
• AWS CloudFormation 不良做法：缺少 CloudWatch 集成(chéng)
• AWS CloudFormation 不良做法：Redshift 可公開(kāi)訪問
• AWS CloudFormation 不良做法：用戶綁定 IAM 策略
• AWS CloudFormation 配置錯誤：API 網關未經(jīng)身份驗證的訪問
• AWS CloudFormation 配置錯誤：不安全的傳輸
• AWS CloudFormation 配置錯誤：CloudTrail 日志記錄不足
• AWS CloudFormation 配置錯誤：DocumentDB 日志記錄不足
• AWS CloudFormation 配置錯誤：Neptune 日志記錄不足
• AWS CloudFormation 配置錯誤：RedShift 日志記錄不足
• AWS CloudFormation 配置錯誤：S3 日志記錄不足
• AWS CloudFormation 配置錯誤：日志驗證已禁用
• AWS CloudFormation 配置錯誤：root 用戶訪問密鑰
• AWS CloudFormation 配置錯誤：不受限制的 Lambda 主體
• Azure Monitor 配置錯誤：日志記錄不足
• Azure 資源管理器不良做法：跨租戶複制
• Azure 資源管理器不良做法：啓用遠程調試
• Azure 資源管理器不良做法：SSH 密碼身份驗證
• Azure 資源管理器配置錯誤：不安全的傳輸
• Azure 資源管理器配置錯誤：過(guò)度寬松的 CORS 策略
• Azure 資源管理器配置錯誤：安全警報已禁用
• Azure SQL 數據庫配置錯誤：日志記錄不足
• 不安全的 SSL：證書驗證不足
• 不安全存儲：缺少 DocumentDB 加密
• 不安全的存儲：缺少 EBS 加密
• 不安全的存儲：缺少 Elasticache 加密
• 不安全的存儲：缺少 Neptune 加密
• 不安全的存儲：缺少 RDS 加密
• 不安全的存儲：缺少 Redshift 加密
• 不安全存儲：缺少 S3 加密
• 不安全存儲：缺少 SNS 主題加密
• 不安全的傳輸：Azure 存儲
• 不安全傳輸：數據庫
• 不安全的傳輸：缺少 Elasticache 加密
• 密鑰管理：過(guò)期
• Kubernetes 不良做法：API 服務器可公開(kāi)訪問
• Kubernetes 不良做法：默認命名空間
• Kubernetes 不良做法：主機寫訪問
• Kubernetes 不良做法：缺少 API 服務器授權
• Kubernetes 不良做法：缺少 Kubelet 授權
• Kubernetes 不良做法：缺少節點授權
• Kubernetes 不良做法：缺少 RBAC 授權
• Kubernetes 不良做法：禁用命名空間生命周期執行
• Kubernetes 不良做法：已啓用 readOnlyPort
• Kubernetes 不良做法：靜态身份驗證令牌
• Kubernetes 不良做法：未配置的 API 服務器日志記錄
• Kubernetes 配置錯誤：API 服務器匿名訪問
• Kubernetes 配置錯誤：API 服務器日志記錄已禁用
• Kubernetes 配置錯誤：HTTP 基本身份驗證
• Kubernetes 配置錯誤：不安全的傳輸
• Kubernetes 配置錯誤：Kubelet 匿名訪問
• Kubernetes 配置錯誤：缺少垃圾收集阈值
• Kubernetes 配置錯誤：缺少 Kubelet 客戶端證書
• Kubernetes 配置錯誤：過(guò)于寬松的能(néng)力
• Kubernetes 配置錯誤：特權容器
• Kubernetes 配置錯誤：服務器身份驗證已禁用
• Kubernetes 配置錯誤：未綁定控制器管理器
• Kubernetes 配置錯誤：未綁定調度程序
• 糟糕的日志記錄實踐：過(guò)多的雲日志保留
• 糟糕的日志記錄實踐：雲日志保留不足
• 糟糕的日志記錄實踐：雲日志輪換不足
• 糟糕的日志實踐：雲日志大小不足
• 隐私侵犯：暴露的默認值
• 權限管理：過(guò)于廣泛的訪問策略
• 權限管理：過(guò)度放任的角色
• 系統信息洩露：Kubernetes Profiler

OWASP Top 10 2021
開(kāi)放 Web 應用程序安全項目 (OWASP) Top 10 2021 提供了一個強大的 Web 應用程序安全意識文檔，重點是讓社區了解最常見和最關鍵的 Web 應用程序安全風險的後(hòu)果。OWASP Top 10 代表了關于最關鍵的 Web 應用程序安全缺陷是什麼(me)的廣泛共識，并從數據收集和調查結果中得出了共識。爲了支持想要降低 Web 應用程序風險的客戶，已添加 Micro Focus Fortify Taxonomy 與新發(fā)布的 OWASP Top 10 2021 的相關性。

雜項勘誤
在此版本中，我們繼續投入資源以确保我們可以減少誤報問題的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下相關的報告問題的變化：

棄用 18.x 之前的 Fortify 靜态代碼分析器版本：
正如我們在 2021.3 發(fā)布公告中提到的，這(zhè)是支持 18.x 之前的 Fortify 靜态代碼分析器版本的規則包的最後(hòu)一個版本。對(duì)于此版本，18.x 之前的 Fortify 靜态代碼分析器版本將(jiāng)不會(huì)加載規則包。這(zhè)將(jiāng)需要降級規則包或升級 SCA 的版本。對(duì)于未來的版本，我們將(jiāng)繼續支持 Fortify 靜态代碼分析器的最後(hòu)四個主要版本。

PHP 改進(jìn)
改進(jìn)了對(duì)在密鑰管理中識别密碼和加密密鑰的支持：空/硬編碼/空加密密鑰類别。

Python 改進(jìn)
改進(jìn)了對(duì)子進(jìn)程模塊的支持，從而改進(jìn)了對(duì)問題的檢測，例如命令注入。

誤報改進(jìn)：
繼續努力消除此版本中的誤報。除了其他改進(jìn)之外，客戶還(hái)可以期待在以下領域進(jìn)一步消除誤報：

• 當應用程序未使用 Play 時(shí)，來自 Scala 項目中的 Akka actor 的問題。
• 當隻能(néng)獲得對(duì) URL 的部分控制時(shí)，JavaScript 中的跨站點腳本問題。
• 提及字符串本地化時(shí) JSON 文件中的密碼管理問題
• 來自 HTTP 方法的 Java 和 .NET 項目中的數據流問題。

Cyber​​Res Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase 結合了對(duì)數千個漏洞的檢查與指導用戶通過(guò) SmartUpdate 立即獲得以下更新的策略：

API 發(fā)現
此版本包括對(duì) API 發(fā)現的檢查。當 WebInspect 在通過(guò)檢查輸入提供的用戶指定位置處檢測到 swagger 規範（規範）中的 API 定義時(shí)，將(jiāng)标記 API 發(fā)現檢查。這(zhè)些規範文件可能(néng)不會(huì)在任何頁面(miàn)中直接引用，因此不會(huì)在爬網中檢測到。除了檢查 swagger 規範之外，在用戶指定的位置，在掃描過(guò)程中發(fā)現的未明确指定檢查輸入的定義也將(jiāng)被标記和測試。雖然這(zhè)些發(fā)現不一定表明存在安全漏洞，但它們增加了可能(néng)容易受到攻擊的資源。

漏洞支持

OGNL 表達式注入：雙重評估
CVE-2021-26084 發(fā)現的一個嚴重的 OGNL 表達式注入漏洞影響 Atlassian Confluence 服務器和數據中心。此漏洞允許未經(jīng)身份驗證的攻擊者在易受攻擊的應用程序上執行任意代碼。受影響的Atlassian服務器版本爲6.13.23之前、6.14.0~7.4.11之前、7.5.0~7.11.6之前、7.12.0~7.12.5之前。此版本包括一項檢查以檢測受影響的 Atlassian 服務器中的此漏洞。

目錄遍曆
Apache HTTP Server 已被發(fā)現容易受到由 CVE-2021-41773 和 CVE-2021-42013 識别的目錄遍曆攻擊。這(zhè)些漏洞使攻擊者能(néng)夠操縱將(jiāng) URL 映射到由類别名指令配置的目錄之外的文件的 URL。攻擊者可能(néng)會(huì)恢複服務器上的文件内容，從而導緻敏感數據洩露、專有業務邏輯的潛在恢複以及某些配置的遠程代碼執行。這(zhè)些問題僅影響 Apache HTTP Server 版本 2.4.49 和 2.4.50。此版本包含一項檢查以檢測 Apache HTTP Server 中的這(zhè)些漏洞。

路徑操作：特殊字符
由 CVE-2021-28164 識别的路徑操作漏洞影響 Eclipse Jetty。受影響版本中的默認合規模式允許具有包含特殊字符段的 URI 的請求訪問 WEB-INF 目錄中的受保護資源。這(zhè)可以揭示有關 Web 應用程序實現的敏感信息并繞過(guò)一些安全限制。此版本包含檢測易受攻擊的 Jetty 實例的檢查。

動态代碼評估：不安全的 XStream 反序列化
XStream 是用于在 Java 對(duì)象和 XML 之間轉換數據的常用工具。解組時(shí)處理的流包含類型信息以重新創建以前編寫的對(duì)象。攻擊者可以操縱處理後(hòu)的輸入流并替換或注入對(duì)象，從而導緻執行從遠程服務器加載的任意代碼。此版本包括檢查目标 Web 服務器上最新的不安全 XStream 反序列化漏洞 CVE-2021-39149 漏洞。

路徑操作：特殊字符
URL 路徑中不應允許使用諸如 0x09 之類的控制字符，并且必須由客戶端進(jìn)行百分比編碼。代理服務器和後(hòu)端服務器之間對(duì)這(zhè)些控制字符的不一緻解析可能(néng)會(huì)帶來各種(zhǒng)威脅。此版本包括一項檢查，以檢測是否允許在 URL 路徑中插入一些常見的控制字符并對(duì)後(hòu)端 Web 服務器産生負面(miàn)影響。

合規報告

OWASP Top 10 2021
開(kāi)放 Web 應用程序安全項目 (OWASP) Top 10 2021 提供了一個強大的 Web 應用程序安全意識文檔，重點是讓社區了解最常見和最關鍵的 Web 應用程序安全風險的後(hòu)果。OWASP Top 10 代表了關于最關鍵的 Web 應用程序安全缺陷是什麼(me)的廣泛共識，并從數據收集和調查結果中得出了共識。此 SecureBase 更新包括一個新的合規性報告模闆，該模闆提供 OWASP Top 10 2021 類别與 WebInspect 檢查之間的關聯。

政策更新

OWASP Top 10 2021
自定義策略以包含與 OWASP Top 10 2021 相關的檢查已添加到 WebInspect SecureBase 支持的策略列表中。此策略包含允許客戶運行特定于合規性的 WebInspect 掃描的可用 WebInspect 檢查的子集。

雜項勘誤
在此版本中，我們繼續投入資源以确保我們可以減少誤報問題的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下相關的報告問題的變化：

SSL 檢查改進(jìn)
SSL 密碼列表檢查已改進(jìn)，以反映以下配置不支持完美前向(xiàng)保密：TLS_DH_RSA_WITH_AES_128_GCM_SHA256。

Cyber​​Res Fortify Premium Content
研究團隊構建、擴展和維護我們核心安全情報産品之外的各種(zhǒng)資源。

OWASP Top 10 2021
爲了配合新的相關性，此版本還(hái)包含一個支持 OWASP Top 10 2021 的新報告包，可從 Fortify 客戶支持門戶的 Premium Content 下下載。

Cyber​​Res Fortify 分類法：軟件安全錯誤
Fortify 分類法站點包含對(duì)新增類别支持的描述，可從https://vulncat.fortify.com 獲得。尋找具有最新支持更新的舊站點的客戶可以從 Cyber​​Res Fortify 支持門戶獲得它。

[1]爲了改進(jìn)分析，在翻譯中包含 AWS SAM 或 CloudFormation YAML/JSON 模闆。
[2]需要 Fortify 靜态代碼分析器 v21.2.0 或更高版本。
[3]需要 Fortify 靜态代碼分析器 v21.2.0 或更高版本。
[4]需要 Fortify 靜态代碼分析器 v21.2.0 或更高版本。要啓用相關輸出，請在掃描時(shí)通過(guò)屬性 `com.fortify.sca.rules.enable_wi_correlation`。這(zhè)可以通過(guò)命令行參數或通過(guò)修改 SCA 屬性文件來完成(chéng)。

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

 LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab中國(guó)鉑金合作夥伴