Fortify軟件安全内容 2023 更新
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-04-14
- 訪問量:0
【概要描述】
Fortify軟件安全内容 2023 更新
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-04-14
- 訪問量:0
Fortify軟件安全内容 2023 更新
Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲安全情報,爲 Fortify 産品組合提供支持,包括 Fortify 靜态代碼分析器 (SCA) 和 Fortify WebInspect。如今,Fortify 軟件安全内容支持 30 種(zhǒng)語言的 1,399 個漏洞類别,涵蓋超過(guò) 100 萬個單獨的 API。
Fortify Software Security Research (SSR) 很高興地宣布立即推出 Fortify Secure Coding Rulepacks(英語,版本 2023.1.0)、Fortify WebInspect SecureBase(可通過(guò) SmartUpdate 獲得)和 Fortify Premium Content 的更新。
Fortify安全編碼規則包 [Fortify靜态代碼分析器]
在此版本中,Fortify 安全編碼規則包可檢測 30 種(zhǒng)編程語言中的 1,177 個獨特類别的漏洞,并跨越超過(guò) 100 萬個單獨的 API。總之,此版本包括以下内容:
GoLang 更新(支持的版本:1.17)
更新了對(duì) Go 标準庫的支持,以支持最高版本 1.17。Go是由Google設計的靜态類型開(kāi)源語言,其目的是使構建簡單、可靠和高效的軟件變得容易。Go 在語法上類似于 C,但具有内存安全機制、垃圾回收和結構類型。此更新改進(jìn)了标準庫命名空間的覆蓋範圍,以包括以下附加類别:
- Header Manipulation: SMTP
- Mail Command Injection: SMTP
支持改進(jìn)了對(duì)現有命名空間覆蓋率下的弱點檢測,并擴展到包括以下新命名空間:
- io/fs
- math/big
- math/random
- net/smtp
- net/textproto
- text/template
Python 更新(支持版本:3.10)
Python 是一種(zhǒng)通用的、功能(néng)強大的編程語言,具有動态類型和高效的高級數據結構。它支持多種(zhǒng)編程範例,包括結構化、面(miàn)向(xiàng)對(duì)象和函數式編程。此版本通過(guò)擴展對(duì) Python 标準庫 API 更改的支持,增加了我們對(duì) Python 3.10 的覆蓋範圍。更新的類别包括:
- 路徑操作
- 侵犯隐私
- 系統信息洩露
ECMAScript 更新(支持的版本:2022)[1]
ECMAScript 2022,也稱爲 ES2022 或 ES12,是 JavaScript 語言的 ECMAScript 标準的最新版本。ES2022的主要功能(néng)是私有方法和訪問器,擴展的數字文字,邏輯賦值運算符以及改進(jìn)的錯誤處理。對(duì) ES2022 的支持將(jiāng)所有相關 JavaScript 漏洞類别的覆蓋範圍擴展到最新版本的 ECMAScript 标準。
Vue 2(支持的版本:2.7)
對(duì) Vue 2 的初始支持。Vue 是一個開(kāi)源的響應式框架,用于爲所有 ECMAScript 5 兼容浏覽器構建用戶界面(miàn)和單頁應用程序。Vue 專注于 Web 應用程序的視圖層,是作爲 Angular 和 React 等常見框架的極簡主義替代品而創建的。
iOS SDK 更新(支持的版本:16)[2]
Apple的iOS SDK提供了一系列框架,使開(kāi)發(fā)人員能(néng)夠爲Apple iPhone和iPad設備構建移動應用程序。此版本包含對(duì) iOS SDK 對(duì) Swift 和 Objective-C 的支持的增量更新。新的和更新的規則擴展了 iOS SDK 15 和 16 中 Swift iOS 和 iPadOS 應用程序的 DataDetection、Foundation、Security、SwiftUI 和 UIKit 框架的 API 覆蓋範圍。這(zhè)些更新改進(jìn)了許多現有弱點類别的問題檢測,包括:
- Biometric Authentication: Insufficient Touch ID Protection
- Format String
- Insecure Transport: Weak SSL Protocol
- Log Forging
- Privacy Violation
- System Information Leak: External
- System Information Leak: Internal
- Weak Encryption: Inadequate RSA Padding
此外,此版本中還(hái)針對(duì) iOS 和 iPadOS 應用程序引入了兩(liǎng)個新的弱點類别:
- Insecure Storage: Persistent Named Pasteboard
- Insecure Storage: Universal Clipboard
Salesforce Apex 和 Visualforce Updates(支持的版本:v57)[3]
Salesforce Apex是用于創建Salesforce應用程序(如業務事(shì)務,數據庫管理,Web服務和Visualforce頁面(miàn))的編程語言。此更新改進(jìn)了我們對(duì) Apex v57 API 和 Visualforce API 的支持。除了改進(jìn)對(duì)現有弱點類别的支持外,我們的 Apex 支持還(hái)增加了以下内容:
- Cross-Site Request Forgery
- Poor Error Handling: Empty Catch Block
- Unsafe Reflection
此外,還(hái)爲 Apex 應用程序引入了以下新的弱點類别:
訪問控制:未強制執行的共享規則
使用 Java Apache Beam 對(duì) Google Dataflow 的初始支持(支持的版本:2.46.0)
Apache Beam 是一種(zhǒng)開(kāi)源的統一編程模型,用于構建能(néng)夠在各種(zhǒng)數據處理後(hòu)端上運行的數據處理管道(dào)。對(duì)Apache Beam的初始支持支持數據處理管道(dào),例如Google Dataflow,并且僅限于Java編程語言,通過(guò)識别Apache Beam管道(dào)中的數據源。支持支持在 Apache Beam 轉換中報告相關的 Java 漏洞類别,例如命令注入、隐私侵犯和日志僞造。
.NET 7(支持的版本:7.0)
.NET 是一個通用編程平台,使程序員能(néng)夠使用一組标準化的 API 使用 C# 和 http://VB.NET 等語言編寫代碼。此版本將(jiāng)我們的覆蓋範圍擴大到最新版本的 .NET,改進(jìn)了數據流,并擴展了以下類别的 API 覆蓋範圍:
- 拒絕服務:正則表達式
- 路徑操作
- 路徑操作:Zip 條目覆蓋
- 權限操作
- 侵犯隐私
- 設置操作
- 系統信息洩露
雲基礎結構即代碼 (IaC)
IaC 是通過(guò)代碼而不是各種(zhǒng)手動過(guò)程來管理和配置計算機資源的過(guò)程。改進(jìn)的支持包括用于部署到 AWS 和 Azure 的 Terraform 配置,以及改進(jìn)的 Azure 資源管理器 (ARM) 覆蓋範圍。與這(zhè)些服務的配置相關的常見問題現在報告給開(kāi)發(fā)人員。
Amazon AWS 和 Microsoft Azure Terraform 配置
Terraform 是一個開(kāi)源基礎架構即代碼工具,用于構建、更改和版本控制雲基礎架構。它使用自己的聲明性語言,稱爲HashiCorp配置語言(HCL)。雲基礎架構在配置文件中編碼,以描述所需狀态。Terraform 提供商支持 Microsoft Azure 基礎設施和 Amazon Web Services (AWS) 的配置和管理。在此版本中,我們報告了 Terraform 配置的以下類别:
- AWS Terraform 配置錯誤:AMI 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:Aurora 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:Aurora 可公開(kāi)訪問
- AWS Terraform 配置錯誤:CloudTrail 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:可公開(kāi)訪問的數據庫遷移服務
- AWS Terraform 配置錯誤:DocumentDB 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:DocumentDB 可公開(kāi)訪問
- AWS Terraform 配置錯誤:EBS 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:EC2 映像生成(chéng)器缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:EFS 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:Elasticache 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:文件緩存缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:FSx Lustre 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:FSx 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:FSx ONTAP 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:FSx OpenZFS 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:FSx Windows 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:不安全的 AMI 存儲
- AWS Terraform 配置錯誤:不安全的 Aurora 存儲
- AWS Terraform 配置錯誤:不安全的文檔數據庫存儲
- AWS Terraform 配置錯誤:不安全的 EC2 映像生成(chéng)器存儲
- AWS Terraform 配置錯誤:不安全的 EFS 存儲
- AWS Terraform 配置錯誤:不安全的 Neptune 存儲
- AWS Terraform 配置錯誤:不安全的紅移存儲
- AWS Terraform 配置錯誤:Aurora 監控不足
- AWS Terraform 配置錯誤:文檔數據庫監控不足
- AWS Terraform 配置錯誤:RDS 監控不足
- AWS Terraform 配置錯誤:Kinesis 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:Lightsail 可公開(kāi)訪問
- AWS Terraform 配置錯誤:位置服務缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:Neptune 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:RDS 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:RDS 可公開(kāi)訪問
- AWS Terraform 配置錯誤:Redshift 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:SageMaker 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:密鑰管理器缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:S3 缺少客戶管理的加密密鑰
- AWS Terraform 配置錯誤:時(shí)間流缺少客戶管理的加密密鑰
- Azure Terraform 配置錯誤:不正确的應用服務 CORS 策略
- Azure Terraform 配置錯誤:認知服務網絡訪問控制不當
- Azure Terraform 配置錯誤:不正确的 CosmosDB CORS 策略
- Azure Terraform 配置錯誤:不正确的函數 CORS 策略
- Azure Terraform 配置錯誤:不正确的醫療保健 CORS 策略
- Azure Terraform 配置錯誤:不正确的 IoT 中央網絡訪問控制
- Azure Terraform 配置錯誤:不正确的 IoT 中心網絡訪問控制
- Azure Terraform 配置錯誤:密鑰保管庫網絡訪問控制不正确
- Azure Terraform 配置錯誤:不正确的邏輯應用 CORS 策略
- Azure Terraform 配置錯誤:不正确的媒體服務網絡訪問控制
- Azure Terraform 配置錯誤:服務總線網絡訪問控制不正确
- Azure Terraform 配置錯誤:不正确的 SignalR CORS 策略
- Azure Terraform 配置錯誤:不正确的 SignalR 網絡訪問控制
- Azure Terraform 配置錯誤:不正确的 Spring Apps CORS 策略
- Azure Terraform 配置錯誤:不正确的存儲 CORS 策略
- Azure Terraform 配置錯誤:存儲網絡訪問控制不當
- Azure Terraform 配置錯誤:不正确的 Web PubSub Network 訪問控制
- Azure Terraform 配置錯誤:不安全的事(shì)件中心傳輸
- Azure Terraform 配置錯誤:不安全的前門傳輸
- Azure Terraform 配置錯誤:不安全的函數傳輸
- Azure Terraform 配置錯誤:不安全的 Redis 傳輸
- Azure Terraform 配置錯誤:不安全的服務總線傳輸
- Azure Terraform 配置錯誤:不安全的 SQL 數據庫傳輸
- Azure Terraform 配置錯誤:不安全的 SQL 托管實例傳輸
Microsoft Azure Resource Manager (ARM) 配置
ARM 是 Azure 的部署和管理服務。ARM 提供了一個管理層,可用于創建、更新和删除 Azure 帳戶中的資源。在此版本中,我們報告了 ARM 配置的以下弱點類别:
- Azure ARM 配置錯誤:自動化缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:批量缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:認知服務缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:數據磚缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:事(shì)件中心缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:不安全的 CDN 傳輸
- Azure ARM 配置錯誤:MySQL 存儲的不安全數據庫
- Azure ARM 配置錯誤:PostgreSQL 存儲的不安全數據庫
- Azure ARM 配置錯誤:不安全的 DataBricks 存儲
- Azure ARM 配置錯誤:不安全的事(shì)件中心存儲
- Azure ARM 配置錯誤:不安全的事(shì)件中心傳輸
- Azure ARM 配置錯誤:不安全的 IoT 集線器傳輸
- Azure ARM 配置錯誤:不安全的恢複服務備份存儲
- Azure ARM 配置錯誤:不安全的恢複服務保管庫存儲
- Azure ARM 配置錯誤:不安全的 Redis 企業傳輸
- Azure ARM 配置錯誤:不安全的 Redis 傳輸
- Azure ARM 配置錯誤:不安全的服務總線存儲
- Azure ARM 配置錯誤:不安全的服務總線傳輸
- Azure ARM 配置錯誤:不安全的存儲帳戶存儲
- Azure ARM 配置錯誤:IoT 中心缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:NetApp 缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:服務總線缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:存儲帳戶缺少客戶管理的加密密鑰
- Azure ARM 配置錯誤:弱應用服務身份驗證
- Azure ARM 配置錯誤:弱信号R 身份驗證
可定制的密碼管理和密鑰管理正則表達式[4]
有時(shí),在源代碼中匹配密碼和加密密鑰的唯一方法是使用正則表達式進(jìn)行有根據的猜測。這(zhè)些現在可以通過(guò)屬性進(jìn)行自定義,并且跨語言更加一緻,并且默認正則表達式已受到限制以最大程度地減少誤報。
可以使用以下屬性之一配置全局正則表達式:
com.fortify.sca.rules.key_regex.global 或 com.fortify.sca.rules.password_regex.global
您可以使用以下屬性爲每種(zhǒng)語言設置更具體的變體:
com.fortify.sca.rules.key_regex.abap
com.fortify.sca.rules.key_regex.actionscript com.fortify.sca.rules.key_regex.cfml com.fortify.sca.rules.key_regex.cpp com.fortify.sca.rules.key_regex.golang com.fortify.sca.rules.key_regex.java
com.fortify.sca.rules.key_regex.javascript
com.fortify.sca.rules.key_regex.jsp
com.fortify.sca.rules.key_regex.objc
com.fortify.sca.rules.key_regex.php com.fortify.sca.rules.key_regex.python com.fortify.sca.rules.key_regex.ruby com.fortify.sca.rules.key_regex.sql com.fortify.sca.rules.key_regex.swift
com.fortify.sca.rules.key_regex.vb
com.fortify.sca.rules.password_regex.abap
com.fortify.sca.rules.password_regex.actionscript
com.fortify.sca.rules.password_regex.cfml
com.fortify.sca.rules.password_regex.cobol
com.fortify.sca.rules.password_regex.config
com.fortify.sca.rules.password_regex.cpp
com.fortify.sca.rules.password_regex.docker
com.fortify.sca.rules.password_regex.dotnet
com.fortify.sca.rules.password_regex.golang
com.fortify.sca.rules.password_regex.java
com.fortify.sca.rules.password_regex.javascript
com.fortify.sca.rules.password_regex.json
com.fortify.sca.rules.password_regex.jsp
com.fortify.sca.rules.password_regex.objc
com.fortify.sca.rules.password_regex.phpcom.fortify.sca.rules.password_regex.properties
com.fortify.sca.rules.password_regex.python
com.fortify.sca.rules.password_regex.ruby
com.fortify.sca.rules.password_regex.sql
com.fortify.sca.rules.password_regex.swift
com.fortify.sca.rules.password_regex.vbcom.fortify.sca.rules.password_regex.yaml
有關默認正則表達式的更多詳細信息,請參閱 Fortify 靜态代碼分析器用戶指南。
DISA STIG 5.2
爲了在合規性領域爲我們的聯邦客戶提供支持,添加了 Fortify 分類法與國(guó)防信息系統局 (DISA) 應用程序安全和開(kāi)發(fā) STIG 版本 5.2 的關聯。
PCI DSS 4.0 爲了在合規性方面(miàn)支持我們的電子商務和金融服務客戶,此版本支持我們的Fortify分類類别與最新版本的支付卡行業數據安全标準 4.0 版中指定的要求之間的關聯。
PCI SSF 1.2
爲了在合規性領域支持我們的電子商務和金融服務客戶,此版本支持我們的Fortify分類類别與支付卡行業 (PCI) 安全軟件标準 (SSS) 中定義的新的“安全軟件要求和評估程序”中指定的控制目标之間的關聯,作爲新軟件安全框架 (SSF) 的一部分, 版本 1.2。
其他勘誤表
在此版本中,已投入資源以确保我們可以減少誤報問題的數量,重構一緻性,并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的報告問題的變化:
删除“拒絕服務:解析雙重”
已删除拒絕服務:解析雙倍類别,因爲該漏洞僅存在于 Java 版本 6 更新 23 和更早版本中。使用這(zhè)些易受攻擊的 Java 版本的客戶仍然可以從 Fortify 客戶支持門戶的“高級内容”下下載單獨的規則包中的已删除規則。
誤報改進(jìn)
工作仍在繼續,努力消除此版本中的誤報。除了其他改進(jìn)之外,客戶還(hái)可以期望在以下方面(miàn)進(jìn)一步消除誤報:
- 訪問控制:數據庫 – 當數據來自數據庫時(shí),誤報減少
- Android 不良做法:不必要的組件暴露 – 當 Android 接收器标記爲 android:exported=“false” 時(shí),誤報減少
- NET MVC 不良做法:控制器操作不限于 POST – 當控制器操作將(jiāng)其輸入直接傳遞到視圖而不更改狀态時(shí),誤報減少
- 憑據管理:硬編碼的 API 憑據 – 在建議時(shí)不再在 google-services.json 中找到
- 憑據管理:硬編碼的 API 憑據 – 減少了 Facebook 修訂密鑰上的誤報
- 跨站點腳本 – 删除了在 VB6 Windows 窗體應用程序中觸發(fā)的誤報
- 死代碼:未使用的字段 – Java lambda 中的誤報減少
- Dockerfile 配置錯誤:依賴關系混淆 – 使用本地庫定義時(shí)誤報減少
- 在布爾變量上報告數據流問題時(shí),在所有受支持的語言中跨多個類别删除誤報
- 通過(guò) WinAPI 函數檢索文件信息時(shí),C/C++ 應用程序中的多個類别中消除了誤報
- HTTP 參數污染 – 減少 URL 編碼值的誤報
- 不安全随機:硬編碼種(zhǒng)子和不安全随機性:用戶控制的種(zhǒng)子 – 在 Java 應用程序中使用 Random 和 SplittableRandom 類時(shí)減少了誤報
- 不安全存儲:未指定的鑰匙串訪問策略、不安全存儲:外部可用鑰匙串和 不安全存儲:密碼策略 未強制執行 – 應用建議的補救措施時(shí),Swift iOS 應用程序中的誤報減少
- 内存洩漏 – 添加指向(xiàng)提升程序選項說(shuō)明的指針時(shí)減少了誤報
- 内存洩漏 – 使用 std::unique_ptr 時(shí)誤報減少
- 空取消引用 – 在 .NET 應用程序中將(jiāng) 0 強制轉換爲字節時(shí)删除了誤報
- 密碼管理:硬編碼密碼 - 減少評論中密碼的誤報
- 侵犯隐私:Android 内部存儲 – 在 Android 應用程序中使用 EncryptedSharedPreferences 對(duì)象時(shí)誤報減少
- SOQL 注入和訪問控制:數據庫 – 在 Salesforce Apex 應用程序中使用 getQueryLocator() 時(shí)減少了誤報類别更改 當弱點類别名稱發(fā)生更改時(shí),將(jiāng)以前的掃描與新掃描合并時(shí)的分析結果將(jiāng)導緻添加/删除類别。
爲了提高一緻性,重命名了以下類别:
- NET 錯誤做法:剩餘調試代碼現在報告爲在常規 .NET 代碼中觸發(fā)時(shí)的 .NET 錯誤做法:剩餘調試代碼。
此外,爲了提高跨類别 IaC 缺陷報告的一緻性,此版本中又重命名了 121 個類别(請參閱附錄 A)。
Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase 將(jiāng)針對(duì)數千個漏洞的檢查與策略相結合,這(zhè)些策略可指導用戶通過(guò) SmartUpdate 立即提供以下更新:
漏洞支持
不安全的部署:未修補的應用程序[5]
Cacti 是一個框架,爲用戶提供日志記錄和繪圖功能(néng)來監視網絡上的設備。remote_agent.php文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識别的遠程代碼執行 (RCE) 漏洞的影響。使用用戶輸入輪詢數據調用方法proc_open時(shí)傳遞 poller_id 參數。由于此值未清理,因此攻擊者能(néng)夠在目标計算機上執行命令。將(jiāng)此命令注入問題與使用 X-Forwarded-For 标頭的身份驗證繞過(guò)相結合,會(huì)導緻未經(jīng)身份驗證的攻擊者危害整個應用程序。此版本包括一項檢查,用于在運行受影響的 Cacti 版本的目标服務器上檢測此漏洞。
SAML 不良做法:不安全轉換
SAML消息經(jīng)過(guò)加密簽名,以保證斷言的有效性和完整性。服務提供商必須執行的簽名驗證步驟之一是轉換 Reference 元素指向(xiàng)的數據。通常,轉換操作旨在僅選擇引用數據的子集。但是,攻擊者可以使用某些類型的轉換造成(chéng)拒絕服務,在某些環境中甚至執行任意代碼。此版本包括一項檢查,如果服務提供商允許在 XML 引用中使用不安全類型的轉換,則會(huì)觸發(fā)該檢查。
合規報告
DISA STIG 5.2 爲了支持我們的聯邦客戶的合規性需求,此版本包含 WebInspect 檢查與最新版本的國(guó)防信息系統局應用程序安全和開(kāi)發(fā) STIG 5.2
版的關聯。
PCI DSS 4.0 爲了支持我們的電子商務和金融服務客戶的合規性需求,此版本包含 WebInspect 檢查與最新版本的支付卡行業數據安全标準 4.0 版中指定的要求的關聯。
PCI SSF 1.2
爲了支持我們的電子商務和金融服務客戶的合規性需求,此版本包含 WebInspect 檢查與支付卡行業 (PCI) 安全軟件标準 (SSS) 中定義的新“安全軟件要求和評估程序”中指定的控制目标的關聯,作爲新軟件安全框架 (SSF) 的一部分, 版本 1.2。
政策更新
DISA STIG 5.2 爲包含與 DISA STIG 5.2
相關的檢查而定制的策略已添加到 WebInspect SecureBase 受支持策略列表中。
PCI DSS 4.0 自定義策略以包括與 PCI DSS 4.0 相關的檢查,已添加到 WebInspect SecureBase 支持的策略列表中。
PCI SSF 1.2 自定義策略以包含與 PCI SSF 1.2 相關的檢查,已添加到 WebInspect SecureBase 支持的策略列表中。
其他勘誤表
在此版本中,我們投入了資源來進(jìn)一步減少誤報的數量,并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的報告結果的變化:
密碼管理:弱密碼策略[6]
此版本包括對(duì)密碼熵檢查的細微改進(jìn),其中密碼/用戶名字段改進(jìn)了對(duì)自定義用戶名和密碼字段的檢測。此修複有助于減少與檢查 ID 11496、11498 和 11661 相關的結果中的誤報。
Fortify優質内容
研究團隊在我們的核心安全智能(néng)産品之外構建、擴展和維護各種(zhǒng)資源。
DISA STIG 5.2、PCI SSF 1.2 和 PCI DSS 4.0 爲了配合新的相關性,此版本還(hái)包含 Fortify 軟件安全中心的新報告包,支持 DISA STIG 5.2、PCI DSS 4.0 和 PCI SSF 1.2,可從 Fortify 客戶支持門戶的“高級内容”下下載。
Fortify分類:軟件安全錯誤
Fortify分類網站(包含新添加的類别支持的說(shuō)明)可在 https://vulncat.fortify.com 上找到。尋找具有上次受支持更新的舊站點的客戶可以從 Fortify 支持門戶獲取它。
附錄 A:IaC 弱點類别重命名
已删除的類别 | 已添加類别 |
訪問控制:Azure Blob 存儲 | Azure Ansible 配置錯誤:不正确的 blob 存儲訪問控制 |
訪問控制:Azure Blob 存儲 | Azure ARM 配置錯誤:不正确的 Blob 存儲訪問控制 |
訪問控制:Azure 網絡組 | Azure Ansible 配置錯誤:安全組網絡訪問控制不正确 |
訪問控制:Azure 網絡組 | Azure ARM 配置錯誤:安全組網絡訪問控制不正确 |
訪問控制:Azure 存儲 | Azure Ansible 配置錯誤:存儲帳戶網絡訪問控制不正确 |
訪問控制:Azure 存儲 | Azure ARM 配置錯誤:存儲網絡訪問控制不當 |
訪問控制:EC2 | AWS Ansible 配置錯誤:EC2 網絡訪問控制不當 |
訪問控制:EC2 | AWS CloudFormation 配置錯誤:EC2 網絡訪問控制不當 |
訪問控制:過(guò)于寬泛的 IAM 委托人 | AWS CloudFormation 配置錯誤:不正确的 S3 訪問控制策略 |
訪問控制:過(guò)于寬松的 S3 策略 | AWS Ansible 配置錯誤:不正确的 S3 存儲桶網絡訪問控制 |
訪問控制:過(guò)于寬松的 S3 策略 | AWS CloudFormation 配置錯誤:不正确的 S3 存儲桶網絡訪問控制 |
AKS 不良做法:缺少 Azure 監視器集成(chéng) | Azure Ansible 配置錯誤:AKS 監視不足 |
AKS 不良做法:缺少 Azure 監視器集成(chéng) | Azure ARM 配置錯誤:AKS 監視不足 |
Ansible 不良做法:缺少 CloudWatch 集成(chéng) | AWS Ansible 配置錯誤:CloudTrail 日志記錄不足 |
Ansible 配置錯誤:日志驗證已禁用 | AWS Ansible 配置錯誤:缺少 CloudTrail 日志驗證 |
AWS Ansible 不良做法:不正确的 IAM 訪問控制策略 | AWS Ansible 配置錯誤:不正确的 IAM 訪問控制策略 |
AWS Ansible 配置錯誤:Amazon RDS 可公開(kāi)訪問 | AWS Ansible 配置錯誤:RDS 可公開(kāi)訪問 |
AWS CloudFormation 不良做法:缺少 CloudWatch 集成(chéng) | AWS CloudFormation 配置錯誤:CloudTrail 日志記錄不足 |
AWS CloudFormation 不良做法:缺少 CloudWatch 集成(chéng) | AWS CloudFormation 配置錯誤:文檔數據庫日志記錄不足 |
AWS CloudFormation 不良做法:缺少 CloudWatch 集成(chéng) | AWS CloudFormation 配置錯誤:Neptune 日志記錄不足 |
AWS CloudFormation 不良做法:Redshift 可公開(kāi)訪問 | AWS CloudFormation 配置錯誤:紅移網絡訪問控制不當 |
AWS CloudFormation 不良做法:用戶綁定的 IAM 策略 | AWS CloudFormation 配置錯誤:不正确的 IAM 訪問控制策略 |
AWS CloudFormation 配置錯誤:API 網關未經(jīng)身份驗證的訪問 | AWS CloudFormation 配置錯誤:不正确的 API 網關訪問控制 |
AWS Cloudformation 配置錯誤:不安全的 EC2 AMI 存儲 | AWS Ansible 配置錯誤:不安全的 EC2 AMI 存儲 |
AWS Cloudformation 配置錯誤:不安全的 EFS 存儲 | AWS Ansible 配置錯誤:不安全的 EFS 存儲 |
AWS Cloudformation 配置錯誤:不安全的 Kinesis 數據流存儲 | AWS Ansible 配置錯誤:不安全的 Kinesis 數據流存儲 |
AWS CloudFormation 配置錯誤:不安全的傳輸 | AWS CloudFormation 配置錯誤:不安全的紅移傳輸 |
AWS CloudFormation 配置錯誤:RedShift 日志記錄不足 | AWS CloudFormation 配置錯誤:紅移日志記錄不足 |
AWS CloudFormation 配置錯誤:S3 日志記錄不足 | AWS CloudFormation 配置錯誤:S3 存儲桶日志記錄不足 |
AWS CloudFormation 配置錯誤:日志驗證已禁用 | AWS CloudFormation 配置錯誤:缺少 CloudTrail 日志驗證 |
AWS CloudFormation 配置錯誤:根用戶訪問密鑰 | AWS CloudFormation 配置錯誤:IAM 訪問控制不當 |
AWS CloudFormation 配置錯誤:不受限制的 Lambda 委托人 | AWS CloudFormation 配置錯誤:不正确的 Lambda 訪問控制策略 |
AWS Terraform 配置錯誤:Amazon API Gateway 可公開(kāi)訪問 | AWS Terraform 配置錯誤:API 網關可公開(kāi)訪問 |
AWS Terraform 配置錯誤:Amazon EBS 不安全存儲 | AWS Terraform 配置錯誤:不安全的 EBS 存儲 |
AWS Terraform 配置錯誤:Amazon ElastiCache 不安全傳輸 | AWS Terraform 配置錯誤:不安全的 ElastiCache 傳輸 |
AWS Terraform 配置錯誤:Amazon MQ 可公開(kāi)訪問 | AWS Terraform 配置錯誤:MQ 可公開(kāi)訪問 |
AWS Terraform 配置錯誤:Amazon Neptune 可公開(kāi)訪問 | AWS Terraform 配置錯誤:Neptune 可公開(kāi)訪問 |
AWS Terraform 配置錯誤:Amazon RDS 不安全存儲 | AWS Terraform 配置錯誤:不安全的 RDS 存儲 |
AWS Terraform 配置錯誤:Amazon RDS 代理不安全傳輸 | AWS Terraform 配置錯誤:不安全的 RDS 代理傳輸 |
AWS Terraform 配置錯誤:Amazon Redshift 可公開(kāi)訪問 | AWS Terraform 配置錯誤:Redshift 可公開(kāi)訪問 |
AWS Terraform 配置錯誤:Amazon SNS 不安全存儲 | AWS Terraform 配置錯誤:不安全的 SNS 存儲 |
Azure ARM 配置錯誤:存儲帳戶網絡訪問控制不正确 | Azure ARM 配置錯誤:存儲網絡訪問控制不當 |
Azure 監視器配置錯誤:日志記錄不足 | Azure ARM 配置錯誤:應用程序見解監視不足 |
Azure 資源管理器配置錯誤:允許公共訪問 | Azure ARM 配置錯誤:存儲網絡訪問控制不當 |
Azure 資源管理器配置錯誤:允許公共訪問 | Azure ARM 配置錯誤:允許公共訪問 |
Azure Terraform 不良做法:Azure 磁盤快照缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:Azure 磁盤快照缺少客戶管理的密鑰 |
Azure Terraform 不良做法:容器注冊表缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:容器注冊表缺少客戶管理的密鑰 |
Azure Terraform 不良做法:Cosmos DB 缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:Cosmos DB 缺少客戶管理的密鑰 |
Azure Terraform 不良做法:共享映像缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:共享映像缺少客戶管理的密鑰 |
Azure Terraform 不良做法:SQL 數據庫缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:SQL 數據庫缺少客戶管理的密鑰 |
Azure Terraform 不良做法:存儲帳戶缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:存儲帳戶缺少客戶管理的密鑰 |
Azure Terraform 不良做法:存儲加密範圍缺少客戶管理的密鑰 | Azure Terraform 配置錯誤:存儲加密範圍缺少客戶管理的密鑰 |
Azure Terraform Misconfiguration: Insecure PostgresSQL Transport | Azure Terraform Misconfiguration: Insecure PostgreSQL Transport |
GCP 地形不良做法:過(guò)于寬松的服務帳戶 | GCP Terraform 不良做法:過(guò)于寬松的服務帳戶 |
GCP Terraform 不良做法:Apigee 缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:BigQuery 缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:BigQuery 缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:雲大表缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:雲大表缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:雲函數缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:雲函數缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:雲扳手缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:雲扳手缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:文件存儲缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:文件存儲缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:發(fā)布/訂閱缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:發(fā)布/訂閱缺少客戶管理的加密密鑰 |
GCP Terraform 不良做法:機密管理器缺少客戶管理的加密密鑰 | GCP 地形配置錯誤:機密管理器缺少客戶管理的加密密鑰 |
不安全的 SSL:證書驗證不足 | Kubernetes 配置錯誤:證書驗證不足 |
不安全的 SSL:過(guò)于廣泛的證書信任 | Kubernetes 配置錯誤:過(guò)于廣泛的證書信任 |
不安全的 SSL:服務器身份驗證已禁用 | Kubernetes 配置錯誤:缺少 API 服務器身份驗證 |
不安全的存儲:缺少 DocumentDB 加密 | AWS CloudFormation 配置錯誤:不安全的文檔數據庫存儲 |
不安全的存儲:缺少 EBS 加密 | AWS Ansible 配置錯誤:不安全的 EBS 存儲 |
不安全的存儲:缺少 EBS 加密 | AWS CloudFormation 配置錯誤:不安全的 EBS 存儲 |
不安全的存儲:缺少彈性緩存加密 | AWS CloudFormation 配置錯誤:不安全的彈性緩存存儲 |
不安全的存儲:缺少海王星加密 | AWS CloudFormation 配置錯誤:不安全的 Neptune DB 存儲 |
不安全的存儲:缺少 RDS 加密 | AWS Ansible 配置錯誤:不安全的 RDS 存儲 |
不安全的存儲:缺少 RDS 加密 | AWS CloudFormation 配置錯誤:不安全的 RDS 存儲 |
不安全的存儲:缺少紅移加密 | AWS Ansible 配置錯誤:不安全的紅移存儲 |
不安全的存儲:缺少紅移加密 | AWS CloudFormation 配置錯誤:不安全的 Redshift 存儲 |
不安全的存儲:缺少 S3 加密 | AWS Ansible 配置錯誤:不安全的 S3 存儲桶存儲 |
不安全的存儲:缺少 S3 加密 | AWS CloudFormation 配置錯誤:不安全的 S3 存儲桶存儲 |
不安全的存儲:缺少 SNS 主題加密 | AWS CloudFormation 配置錯誤:不安全的 SNS 主題存儲 |
不安全的傳輸:Azure 存儲 | Azure Ansible 配置錯誤:不安全的存儲帳戶傳輸 |
不安全的傳輸:Azure 存儲 | Azure ARM 配置錯誤:不安全的存儲帳戶傳輸 |
不安全的傳輸:數據庫 | AWS CloudFormation 配置錯誤:不安全的文檔數據庫傳輸 |
不安全的傳輸:數據庫 | Azure Ansible 配置錯誤:不安全的 MySQL 服務器傳輸 |
不安全的傳輸:數據庫 | Azure Ansible Misconfiguration: Insecure PostgreSQL Server Transport |
不安全的傳輸:數據庫 | Azure ARM 配置錯誤:不安全的 MySQL 服務器傳輸 |
不安全的傳輸:數據庫 | Azure ARM 配置錯誤:不安全的 PostgreSQL 服務器傳輸 |
不安全的傳輸:缺少彈性緩存加密 | AWS CloudFormation 配置錯誤:不安全的彈性緩存傳輸 |
不安全的傳輸:弱 SSL 協議 | Azure ARM 配置錯誤:不安全的活動目錄域服務傳輸 |
密鑰管理:過(guò)期時(shí)間過(guò)長(cháng) | AWS CloudFormation 配置錯誤:不正确的 IAM 訪問控制策略 |
密鑰管理:過(guò)期時(shí)間過(guò)長(cháng) | Azure ARM 配置錯誤:不正确的密鑰保管庫訪問控制策略 |
Kubernetes 不良做法:禁用自動 iptables 管理 | Kubernetes 配置錯誤:自動 iptables 管理已禁用 |
Kubernetes 不良做法:默認命名空間 | Kubernetes 配置錯誤:默認命名空間 |
Kubernetes 不良做法:主機寫入訪問 | Kubernetes 配置錯誤:主機寫入訪問 |
Kubernetes 不良實踐:内核默認值被覆蓋 | Kubernetes 配置錯誤:内核默認值被覆蓋 |
Kubernetes 不良做法:Kubelet 流連接超時(shí)已禁用 | Kubernetes 配置錯誤:Kubelet 流連接超時(shí)已禁用 |
Kubernetes 不良做法:缺少 API 服務器授權 | Kubernetes 配置錯誤:缺少 API 服務器授權 |
Kubernetes 不良實踐:缺少 Kubelet 授權 | Kubernetes 配置錯誤:缺少 Kubelet 授權 |
Kubernetes 不良實踐:缺少節點授權 | Kubernetes 配置錯誤:缺少節點授權 |
Kubernetes 不良實踐:缺少節點限制準入控制器 | Kubernetes 配置錯誤:缺少節點限制準入控制器 |
Kubernetes Bad Practices: Missing PodSecurityPolicy Admission Controller | Kubernetes 配置錯誤:缺少 PodSecurityPolicy 準入控制器 |
Kubernetes 不良實踐:缺少 RBAC 授權 | Kubernetes 配置錯誤:缺少 RBAC 授權 |
Kubernetes 不良實踐:缺少安全上下文 | Kubernetes 配置錯誤:缺少安全上下文 |
Kubernetes 不良實踐:缺少 SecurityContext拒絕準入控制器 | Kubernetes 配置錯誤:缺少 SecurityContextDeny Admission Controller |
Kubernetes 不良做法:缺少服務帳戶準入控制器 | Kubernetes 配置錯誤:缺少服務帳戶準入控制器 |
Kubernetes 不良做法:命名空間生命周期強制實施已禁用 | Kubernetes 配置錯誤:命名空間生命周期強制已禁用 |
Kubernetes 不良實踐:啓用 readOnlyPort | Kubernetes 配置錯誤:啓用 readOnlyPort |
Kubernetes 不良做法:服務帳戶令牌自動挂載 | Kubernetes 配置錯誤:服務帳戶令牌自動挂載 |
Kubernetes 不良做法:共享服務帳戶憑據 | Kubernetes 配置錯誤:共享服務帳戶憑據 |
Kubernetes 不良做法:靜态身份驗證令牌 | Kubernetes 配置錯誤:靜态身份驗證令牌 |
Kubernetes 不良做法:未配置的 API 服務器日志記錄 | Kubernetes 配置錯誤:未配置 API 服務器日志記錄 |
Kubernetes配置錯誤:不安全的傳輸 | Kubernetes 配置錯誤:不安全的 kubelet 傳輸 |
Kubernetes 配置錯誤:服務器身份驗證已禁用 | Kubernetes 配置錯誤:缺少 Kubelet 身份驗證 |
經(jīng)常被誤用:弱SSL證書 | Kubernetes 配置錯誤:弱 etcd SSL 證書 |
不良日志記錄實踐:過(guò)多的雲日志保留 | AWS CloudFormation 配置錯誤:日志組日志記錄不足 |
不良日志記錄實踐:雲日志保留不足 | Azure ARM 配置錯誤:應用程序見解日志記錄不足 |
不良日志記錄實踐:雲日志保留不足 | Azure ARM 配置錯誤:SQL Server 日志記錄不足 |
不良日志記錄實踐:雲日志保留不足 | Kubernetes 配置錯誤:API 服務器日志保留不足 |
不良日志記錄實踐:雲日志輪換不足 | Kubernetes 配置錯誤:雲日志輪換不足 |
不良日志記錄實踐:雲日志大小不足 | Kubernetes 配置錯誤:雲日志大小不足 |
權限管理:過(guò)于寬泛的訪問策略 | AWS Ansible 配置錯誤:不正确的 IAM 訪問控制策略 |
權限管理:過(guò)于寬泛的訪問策略 | AWS CloudFormation 配置錯誤:不正确的 IAM 訪問控制策略 |
系統信息洩漏:Kubernetes Profiler | Kubernetes 配置錯誤:API 服務器分析 |
系統信息洩漏:Kubernetes Profiler | Kubernetes 配置錯誤:控制器管理器分析 |
[1] Requires Fortify Static Code Analyzer 23.1.
[2] New rules for iOS SDK 16 require Fortify Static Code Analyzer 22.2 or later.
[3] Requires Fortify Static Code Analyzer 23.1 or later for some new rules that target the Apex v57 APIs.
[4] Requires Fortify Static Code Analyzer 23.1.
[5] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.
[6] Requires WebInspect 23.1 or later.
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008 0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube | 極狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus 鉑金合作夥伴 | SonarQube中國(guó)總代理
極狐GitLab鉑金級合夥伴 | HCL中國(guó)合作夥伴
掃二維碼用手機看
更多資訊