1
您現在的位置:
首頁
/
/
Fortify軟件安全内容 2023 更新 3

Fortify軟件安全内容 2023 更新 3

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-10-11
  • 訪問量:0

【概要描述】

Fortify軟件安全内容 2023 更新 3

【概要描述】

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-10-11
  • 訪問量:0
詳情

Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲安全情報,爲 Fortify 産品組合提供支持,包括 Fortify 靜态代碼分析器 (SCA) 和 Fortify WebInspect。如今,Fortify 軟件安全内容支持 33+ 種(zhǒng)語言的 1,627 個漏洞類别,并跨越超過(guò) 100 萬個單獨的 API

Fortify Software Security Research SSR) 很高興地宣布立即推出 Fortify Secure Coding Rulepacks(英語,版本 2023.3.0)、Fortify WebInspect SecureBase(可通過(guò) SmartUpdate 獲得)和 Fortify Premium Content 的更新。

Fortify編碼規則包

[Fortify靜态代碼分析器]

在此版本中,Fortify 安全編碼規則包可檢測 33+ 種(zhǒng)語言中的 1,403 個獨特類别的漏洞,并跨越超過(guò) 100 萬個單獨的 API。總之,此版本包括以下内容:

改進(jìn)了對(duì) Android 13 的支持(支持的版本:33)          

Android 平台是專爲移動設備設計的開(kāi)源軟件堆棧。Android 的一個主要組件是 Java API 框架,它向(xiàng)應用程序開(kāi)發(fā)人員公開(kāi) Android 功能(néng)。此版本擴展了利用 Android 的 Java API 框架的 Java 或 Kotlin 編寫的原生 Android 應用程序中的漏洞檢測。此版本中針對(duì) Android 應用程序引入了以下三個新的弱點類别:

·Intent Manipulation: Implicit Internal Intent

·Intent Manipulation: Implicit Pending Intent

·Intent Manipulation: Mutable Pending Intent

Android Jetpack AndroidX         

的初始支持 Android Jetpack 是一組庫、工具和指南,可幫助開(kāi)發(fā)人員更輕松地創建 Android 應用程序。Jetpack 涵蓋 androidx.* 軟件包,并且與平台 API 分離,這(zhè)有助于促進(jìn)向(xiàng)後(hòu)兼容性并允許更頻繁的更新。在此版本中,我們提供了此軟件套件的初始覆蓋範圍。

Android Jetpack 的初始覆蓋範圍支持檢測以下庫中的弱點:

示例類别覆蓋範圍改進(jìn)包括:

·訪問控制:數據庫

·命令注入

·拒絕服務

·拒絕服務:正則表達式

·标頭操作

·不安全的運輸

·打開(kāi)重定向(xiàng)

·密碼管理:空密碼

·密碼管理:硬編碼密碼

·路徑操作

·侵犯隐私

·資源注入

·服務器端請求僞造

·SQL 注入

·系統信息洩露

·系統信息洩露:内部

MySQL Connector/Python 支持(支持版本:8.1.0)          

MySQL Connector/Python 是一個軟件庫,可促進(jìn) Python 應用程序和 MySQL 數據庫之間的交互。它充當 Python 編程語言和 MySQL 數據庫管理系統之間的橋梁或連接器,使開(kāi)發(fā)人員能(néng)夠使用 Python 代碼輕松連接、查詢和操作 MySQL 數據庫中的數據。

改進(jìn)的類别覆蓋範圍包括以下内容:

·訪問控制:數據庫

·拒絕服務

·不安全傳輸:客戶端身份驗證已禁用

·不安全的傳輸:數據庫

·不安全的傳輸:弱 SSL 協議

·密碼管理

·密碼管理:空密碼

·密碼管理:硬編碼密碼

·密碼管理:弱加密

·路徑操作

·服務器端請求僞造

·SQL 注入

改進(jìn)了對(duì)Django的支持(支持的版本:3.2)          

Django是一個用Python編寫的Web框架,旨在促進(jìn)安全和快速的Web開(kāi)發(fā)。開(kāi)發(fā)的速度和安全性是通過(guò)框架中的高度抽象來實現的,其中代碼構造和生成(chéng)用于大幅減少樣闆代碼。在此版本中,我們更新了現有的 Django 覆蓋範圍以支持 3.2 版本之前的版本。

改進(jìn)的覆蓋範圍包括以下命名空間:Django.contrib.auth.modelsDjango.db.modelsDjango.http.response。此外,改進(jìn)的弱點類别覆蓋範圍包括以下内容:

·Cookie 安全性:過(guò)于寬松的同一站點屬性

·标頭操作

·密碼管理

·密碼管理:空密碼

·密碼管理:硬編碼密碼

·密碼管理:空密碼

·密碼管理:弱加密

·侵犯隐私

·系統信息洩露

·系統信息洩露:外部

對(duì) Bicep 的初始支持(支持的版本:0.21.1)[1]              

Microsoft Bicep 是一種(zhǒng)開(kāi)源域特定語言 (DSL),用于基礎結構即代碼 (IaC) 解決方案,由 Microsoft 開(kāi)發(fā),用于簡化和簡化 Azure 資源的部署。它充當 Azure 資源管理器 (ARM) 模闆之上的抽象層,提供了一種(zhǒng)更直觀、更可讀的方式來定義和管理 Azure 基礎結構。使用 Bicep,用戶可以編寫簡潔且人類可讀的代碼來描述 Azure 資源、配置和依賴項。

弱點類别的初始覆蓋範圍包括以下内容:

對(duì) Solidity 的初始支持(支持的版本:0.8.x)[2]                

Solidity是一種(zhǒng)面(miàn)向(xiàng)對(duì)象的編程語言,用于在各種(zhǒng)分散的區塊鏈環境中開(kāi)發(fā)智能(néng)合約,最值得注意的是在以太坊區塊鏈中。用Solidity編寫的智能(néng)合約主要在以太坊虛拟機(EVM)上運行,但也可以在其他兼容的虛拟機上運行。

弱點類别的初始覆蓋範圍包括以下内容:

雲基礎結構即代碼 IaC)          

基礎結構即代碼是通過(guò)代碼管理和預配計算機資源的過(guò)程,而不是各種(zhǒng)手動過(guò)程。支持的技術的覆蓋範圍擴大,包括用于部署到 Azure Microsoft 的 Terraform 配置,以及用于 AWS Ansible 的配置。與上述這(zhè)些服務的配置相關的常見問題現在報告給開(kāi)發(fā)人員。

Microsoft Azure Terraform 配置          

Terraform 是一個開(kāi)源 IaC 工具,用于構建、更改和版本控制雲基礎架構。它使用自己的聲明性語言,稱爲HashiCorp配置語言(HCL)。雲基礎架構在配置文件中編碼,以描述所需狀态。地形提供程序支持Microsoft Azure 基礎結構的配置和管理。改進(jìn)的弱點類别覆蓋範圍包括 Terraform 配置的以下内容:

Amazon Web Services AWSAnsible 配置          

Ansible 是一款開(kāi)源自動化工具,可爲各種(zhǒng)環境提供配置管理、應用部署、雲配置和節點編排。Ansible 包含支持 Amazon Web Services AWS) 配置和管理的模塊。改進(jìn)的弱點類别覆蓋範圍包括 AWS Ansible 配置的以下内容:

2023 Common Weakness Enumeration (CWETM) Top 25          

常見的弱點枚舉(CWE) 2019 年推出了 25 大最危險的軟件弱點(CWE 25 名),取代了 SANS 25 名。2023 CWE 25 名于2023 6 月發(fā)布,使用啓發(fā)式公式确定,該公式規範化了過(guò)去兩(liǎng)年向(xiàng)國(guó)家漏洞數據庫 (NVD) 報告的漏洞的頻率和嚴重性。爲了支持希望圍繞NVD中最常報告的關鍵漏洞進(jìn)行審核的客戶,添加了Fortify分類法與2023CWE Top 25的相關性。

OWASP API Security Top 10 2023

2023 年全球開(kāi)放應用程序安全項目 (OWASP) API 安全 10 強提供了 2023年影響 API 的主要安全風險列表。它旨在提高對(duì) API 安全弱點的認識,并教育參與 API 開(kāi)發(fā)和維護的人員,例如需要保護 Web API 的開(kāi)發(fā)人員、設計人員、架構師、經(jīng)理和/或組織。

OWASP API 安全性 Top 10 側重于影響 Web API 的弱點,它不打算單獨使用,而是旨在與其他标準和最佳實踐結合使用,以便徹底捕獲所有相關風險。例如:它應與OWASP Top 10結合使用,以識别與輸入驗證(如注入)相關的問題。爲了支持希望降低 Web 應用程序風險的客戶,添加了強化分類法與新發(fā)布的 OWASP API 安全 2023 10 強的關聯。

互聯網安全中心 CIS) 基準          

互聯網安全中心 CIS) 基準是社區開(kāi)發(fā)的安全配置建議的集合,這(zhè)些建議映射到 CIS 關鍵安全控制。這(zhè)些建議旨在實現保護雲基礎架構的安全,并證明符合行業标準。CIS 基準不斷更新,以适應所涵蓋的 25+ 供應商産品系列不斷變化的網絡安全狀态。支持的産品系列包括:

·Amazon Elastic Kubernetes Service EKSBenchmark v1.3.0

·亞馬遜雲科技基礎基準測試v2.0.0

·Azure Kubernetes Service AKSBenchmark v1.3.0

·谷歌雲計算平台基準測試版 v2.0.0

·Google Kubernetes Engine GKEBenchmark v1.4.0

·Kubernetes Benchmark v1.7.1

·Microsoft Azure 基礎基準測試版本 2.0.0

智能(néng)合約弱點分類(SWC)[3]                

智能(néng)合約弱點分類(SWC)是一個系統框架,用于對(duì)智能(néng)合約中的漏洞進(jìn)行分類和解釋。它提供了一種(zhǒng)标準化的方式來理解和解決在以太坊等區塊鏈上運行的這(zhè)些自動執行代碼片段的弱點。值得注意的是,SWC 注冊表的内容自 2020 年以來一直沒(méi)有全面(miàn)更新,導緻已知的不完整、錯誤和重要遺漏。爲了支持希望降低智能(néng)合約風險的客戶,添加了強化分類法與當前版本的SWC的關聯。

其他勘誤表          

在此版本中,已投入資源以确保我們可以減少誤報問題的數量,重構一緻性,并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的報告問題的變化:

20.x          

之前的 Fortify 靜态代碼分析器 正如 2022.4 版本所觀察到的,我們將(jiāng)繼續支持 Fortify 靜态代碼分析器的最後(hòu)四個主要版本。因此,這(zhè)將(jiāng)是支持 20.x 之前的 Fortify 靜态代碼分析器版本的規則包的最後(hòu)一個版本。對(duì)于下一個版本,20.x 之前的 Fortify 靜态代碼分析器版本將(jiāng)不會(huì)加載最新的規則包。這(zhè)將(jiāng)需要降級規則包或升級 Fortify 靜态代碼分析器的版本。對(duì)于未來的版本,我們將(jiāng)繼續支持 Fortify 靜态代碼分析器的最後(hòu)四個主要版本。

誤報改進(jìn)          

工作仍在繼續,努力消除此版本中的誤報。除了其他改進(jìn)之外,客戶還(hái)可以期望在以下方面(miàn)進(jìn)一步消除誤報:

·NET MVC 不良做法:具有必需屬性的可選子模型  删除了與 ASP.NET 應用程序中的虛拟字段相關的誤報

·代碼正确性:雙重檢查鎖定 –  Java 應用程序中消除誤報

·跨站點請求僞造  .NET 應用程序中使用“AntiForgery.GetHtml()“Html.AntiForgeryToken()删除 HTML 表單的誤報

·跨站點腳本:持久 – 删除了與 Django 應用程序中的“周期”标簽相關的誤報

·雙重釋放  在從提升庫中使用“throw_error()C/C++ 應用程序中删除誤報

·HTML5:缺少内容安全策略  Java 應用程序中删除誤報

·JSON 注入  PHP 應用程序中删除誤報

·批量分配:不安全的綁定程序配置 – 删除了與 .NET 應用程序中的枚舉類型相關的誤報

·經(jīng)常被誤用:文件系統 – 删除了與“GetFullPathNameW()”相關的誤報以及C++應用程序中的類似函數調用

·路徑操作  使用 Amazon AWS 開(kāi)發(fā)工具包在 Java 應用程序中消除誤報

·類型不匹配:有符号到無符号 – 删除了與 C/C++ 應用程序中的布爾值相關的誤報

·未釋放的資源  C++應用程序中使用“CreateFileW()時(shí)删除了誤報

 

類别更改

當弱點類别名稱發(fā)生更改時(shí),將(jiāng)以前的掃描與新掃描合并時(shí)的分析結果將(jiāng)導緻添加/删除類别。

爲了提高一緻性,以下 14 個類别已重命名:

 

 

強化優先級順序更改          

爲了提高與缺少客戶管理的加密密鑰相關的漏洞類别之間的一緻性,以下 20 個類别的強化優先級順序已更改爲“低”:

 

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 將(jiāng)數千個漏洞的檢查與策略相結合,這(zhè)些策略可指導用戶通過(guò) SmartUpdate 立即獲得以下更新。

漏洞支持

不安全部署:未修補的應用程序          

CVE-2023-25135 已發(fā)現 vBulletin 版本 5.6.0 5.6.8 中的預授權遠程執行代碼 (RCE) 漏洞。 vBulletin 是一種(zhǒng)用于構建動态在線社區和論壇的流行軟件,它不正确地清理用戶提供的輸入以進(jìn)行未經(jīng)身份驗證的反序列化。此問題使攻擊者能(néng)夠在服務器上執行任意代碼、濫用應用程序邏輯或裝載拒絕服務 (DoS) 攻擊。此版本包括一項檢查,用于檢測目标服務器上的此漏洞。

Prototype Pollution: Server-Side          

攻擊者可以操縱對(duì)象的原型時(shí),就(jiù)會(huì)發(fā)生服務器端原型污染。這(zhè)在基于原型的語言(如 JavaScript)中是可能(néng)的,它可以在運行時(shí)更改屬性和方法。漏洞利用的嚴重性取決于污染對(duì)象在應用程序中的使用位置。攻擊包括拒絕服務、更改應用程序配置,在某些情況下還(hái)包括遠程代碼執行。此版本包括檢測 Web 應用程序中原型污染的檢查。

合規報告

2023 年常見弱點枚舉 (CWE) 前 25          

常見弱點枚舉 CWE) 前 25 個最危險的軟件弱點 (CWE 前 25 名)于 2019 年推出,取代了 SANS 前 25 名。2023 年 CWE 前 25 名于 6 月發(fā)布,使用啓發(fā)式公式确定,該公式規範化過(guò)去兩(liǎng)年向(xiàng)國(guó)家漏洞數據庫 (NVD) 報告的漏洞的頻率和嚴重性。此 SecureBase 更新包括直接映射到 CWE 前 25 名标識的類别的檢查,或通過(guò)“ChildOf”關系與前 25 名中的 CWE-ID 相關的 CWE-ID。

OWASP API 安全 2023 10 2023 年全球開(kāi)放應用程序安全項目 (OWASPAPI 安全 10 強提供了 2023年影響 API 的主要安全風險列表。它旨在提高對(duì) API 安全漏洞的認識,并教育參與 API 開(kāi)發(fā)和維護的人員,例如需要保護 Web API 的開(kāi)發(fā)人員、設計人員、架構師、經(jīng)理和一般組織。OWASP API 安全性前 10 名側重于影響 Web API 的弱點,它不打算單獨使用。相反,它旨在與其他标準和最佳實踐結合使用,以徹底捕獲所有相關風險。例如:將(jiāng) OWASP API 安全 2023 年前 10 名與 OWASP 前 10 名結合使用,以識别與輸入驗證(如注入)相關的問題。此 SecureBase 更新包括一個新的合規性報告模闆,該模闆提供 OWASP API 安全性 2023 年十大類别與 WebInspect 檢查之間的關聯。

政策更新

2023 年 CWE 前 25 名 自定義策略以包含與 2023 年 CWE 前 25 名相關的檢查已添加到 WebInspect SecureBase 受支持策略列表中。          

OWASP API 安全性 2023 年 10 強 自定義策略以包含與 OWASP API 安全 202310 相關的檢查,已添加到 WebInspect SecureBase 受支持策略列表中。此策略包含可用 WebInspect 檢查的子集,使客戶能(néng)夠運行特定于合規性的 WebInspect 掃描。

 

其他勘誤表

在此版本中,我們投入了資源來進(jìn)一步減少誤報的數量,并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下領域相關的報告結果的變化。

LDAP 注入 此版本包括對(duì) LDAP 注入檢查的改進(jìn),以減少誤報并提高結果的準确性。          

SSL 證書主機名差異 SSL 證書主機名差異          

檢查報告内容現在包含更多詳細信息,這(zhè)些信息應幫助客戶應用此安全問題的正确修複程序。

通過(guò)檢查輸入          

實現主動覆蓋對(duì)于某些 WebInspect 檢查,可以啓用主動覆蓋,以指導 WebInspect 發(fā)送針對(duì)更廣泛端點的更長(cháng)的攻擊列表。此版本包括對(duì)這(zhè)些檢查的改進(jìn),使客戶能(néng)夠通過(guò)更改檢查輸入來配置主動覆蓋範圍,而不是向(xiàng)掃描策略添加單獨的檢查。具有主動覆蓋功能(néng)的檢查包括:Log4ShellJNDI 引用注入、服務器端請求僞造操作系統命令注入服務器端原型污染。啓用主動覆蓋的檢查可提供更準确的掃描,但是,重要的是要考慮到請求數和掃描時(shí)間可能(néng)會(huì)急劇增加。因此,Fortify 強烈建議您在單獨的策略中啓用主動覆蓋的情況下運行檢查,而不進(jìn)行其他檢查。

Web 服務器配置錯誤:未受保護的文件          

此版本包含一個小錯誤修複,以改進(jìn)對(duì) Java 相關配置文件的檢測。

Fortify優質内容

研究團隊在我們的核心安全智能(néng)産品之外構建、擴展和維護各種(zhǒng)資源。

2023 年 CWE 前 25 名 爲了配合新的相關性,此版本還(hái)包含 Fortify 軟件安全中心的新報告包,支持 2023 年 CWE 前 25 名,可從 Fortify 客戶支持門戶的“高級内容”下下載。          

OWASP API 安全 2023          

 10 強 爲了配合新的相關性,此版本還(hái)包含 Fortify 軟件安全中心的新報告包,支持 OWASP API 安全前 10 名,可從 Fortify 客戶支持門戶的“高級内容”下下載。

強化分類:軟件安全錯誤          

強化分類網站包含新添加的類别支持的說(shuō)明,可在網站上找到。

[1] 需要強化靜态代碼分析器 23.2.0 及更高版本。Bicep 的初始安全内容随 Fortify Static Code Analyzer 23.2.x          

一起(qǐ)分發(fā)[2],需要 Fortify Static Code Analyzer 23.2.0 及更高版本。Solidty 的初始安全内容随 Fortify Static Code Analyzer 23.2.x          

一起(qǐ)分發(fā)[3],需要從 Fortify Static Code Analyzer 23.2.0 及更高版本進(jìn)行掃描。

 

 

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發(fā)布時(shí)間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388号
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這(zhè)是描述信息

頁面(miàn)版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.