亚洲综合图片区自拍_思思91精品国产综合在线观看_一区二区三区欧美_欧美黑人又粗又大_亚洲人成精品久久久久桥本

Fortify 軟件安全研究團(tuán)隊(duì)將前沿研究轉(zhuǎn)化為安全情報，為 Fortify 產(chǎn)品組合提供支持，包括 Fortify 靜態(tài)代碼分析器 （SCA） 和 Fortify WebInspect。如今，F(xiàn)ortify 軟件安全內(nèi)容支持 30 種語言的 1，399 個漏洞類別，涵蓋超過 100 萬個單獨(dú)的 API。

Fortify Software Security Research （SSR） 很高興地宣布立即推出 Fortify Secure Coding Rulepacks（英語，版本 2023.1.0）、Fortify WebInspect SecureBase（可通過 SmartUpdate 獲得）和 Fortify Premium Content 的更新。

(資料圖片僅供參考)

Fortify安全編碼規(guī)則包 [Fortify靜態(tài)代碼分析器]

在此版本中，F(xiàn)ortify 安全編碼規(guī)則包可檢測 30 種編程語言中的 1，177 個獨(dú)特類別的漏洞，并跨越超過 100 萬個單獨(dú)的 API?？傊?，此版本包括以下內(nèi)容：

GoLang 更新（支持的版本：1.17）

更新了對 Go 標(biāo)準(zhǔn)庫的支持，以支持最高版本 1.17。Go是由Google設(shè)計的靜態(tài)類型開源語言，其目的是使構(gòu)建簡單、可靠和高效的軟件變得容易。Go 在語法上類似于 C，但具有內(nèi)存安全機(jī)制、垃圾回收和結(jié)構(gòu)類型。此更新改進(jìn)了標(biāo)準(zhǔn)庫命名空間的覆蓋范圍，以包括以下附加類別：

Header Manipulation: SMTPMail Command Injection: SMTP支持改進(jìn)了對現(xiàn)有命名空間覆蓋率下的弱點(diǎn)檢測，并擴(kuò)展到包括以下新命名空間：

io/fsmath/bigmath/randomnet/smtpnet/textprototext/templatePython更新（支持版本：3.10）Python是一種通用的、功能強(qiáng)大的編程語言，具有動態(tài)類型和高效的高級數(shù)據(jù)結(jié)構(gòu)。它支持多種編程范例，包括結(jié)構(gòu)化、面向?qū)ο蠛秃瘮?shù)式編程。此版本通過擴(kuò)展對 Python 標(biāo)準(zhǔn)庫 API 更改的支持，增加了我們對 Python 3.10 的覆蓋范圍。更新的類別包括：

路徑操作侵犯隱私系統(tǒng)信息泄露ECMAScript 更新（支持的版本：2022）[1]ECMAScript 2022，也稱為 ES2022 或 ES12，是 JavaScript 語言的 ECMAScript 標(biāo)準(zhǔn)的最新版本。ES2022的主要功能是私有方法和訪問器，擴(kuò)展的數(shù)字文字，邏輯賦值運(yùn)算符以及改進(jìn)的錯誤處理。對 ES2022 的支持將所有相關(guān) JavaScript 漏洞類別的覆蓋范圍擴(kuò)展到最新版本的 ECMAScript 標(biāo)準(zhǔn)。

Vue 2（支持的版本：2.7）對 Vue 2的初始支持。Vue 是一個開源的響應(yīng)式框架，用于為所有 ECMAScript 5 兼容瀏覽器構(gòu)建用戶界面和單頁應(yīng)用程序。Vue 專注于 Web 應(yīng)用程序的視圖層，是作為 Angular 和 React 等常見框架的極簡主義替代品而創(chuàng)建的。

iOS SDK 更新（支持的版本：16）[2]

Apple的iOS SDK提供了一系列框架，使開發(fā)人員能夠?yàn)锳pple iPhone和iPad設(shè)備構(gòu)建移動應(yīng)用程序。此版本包含對 iOS SDK 對 Swift 和 Objective-C 的支持的增量更新。新的和更新的規(guī)則擴(kuò)展了 iOS SDK 15 和 16 中 Swift iOS 和 iPadOS 應(yīng)用程序的 DataDetection、Foundation、Security、SwiftUI 和 UIKit 框架的 API 覆蓋范圍。這些更新改進(jìn)了許多現(xiàn)有弱點(diǎn)類別的問題檢測，包括：

Biometric Authentication: Insufficient Touch ID ProtectionFormat StringInsecure Transport: Weak SSL ProtocolLog ForgingPrivacy ViolationSystem Information Leak: ExternalSystem Information Leak: InternalWeak Encryption: Inadequate RSA Padding此外，此版本中還針對 iOS 和 iPadOS 應(yīng)用程序引入了兩個新的弱點(diǎn)類別：

Insecure Storage: Persistent Named PasteboardInsecure Storage: Universal ClipboardSalesforce Apex 和 Visualforce Updates（支持的版本：v57）[3]Salesforce Apex是用于創(chuàng)建Salesforce應(yīng)用程序（如業(yè)務(wù)事務(wù)，數(shù)據(jù)庫管理，Web服務(wù)和Visualforce頁面）的編程語言。此更新改進(jìn)了我們對 Apex v57 API 和 Visualforce API 的支持。除了改進(jìn)對現(xiàn)有弱點(diǎn)類別的支持外，我們的 Apex 支持還增加了以下內(nèi)容：

Cross-Site Request ForgeryPoor Error Handling: Empty Catch BlockUnsafe Reflection此外，還為 Apex 應(yīng)用程序引入了以下新的弱點(diǎn)類別：

?訪問控制：未強(qiáng)制執(zhí)行的共享規(guī)則

使用 Java Apache Beam對 Google Dataflow 的初始支持（支持的版本：2.46.0）Apache Beam是一種開源的統(tǒng)一編程模型，用于構(gòu)建能夠在各種數(shù)據(jù)處理后端上運(yùn)行的數(shù)據(jù)處理管道。對Apache Beam的初始支持支持?jǐn)?shù)據(jù)處理管道，例如Google Dataflow，并且僅限于Java編程語言，通過識別Apache Beam管道中的數(shù)據(jù)源。支持支持在 Apache Beam 轉(zhuǎn)換中報告相關(guān)的 Java 漏洞類別，例如命令注入、隱私侵犯和日志偽造。

.NET 7（支持的版本：7.0）.NET 是一個通用編程平臺，使程序員能夠使用一組標(biāo)準(zhǔn)化的 API 使用 C# 和VB.NET等語言編寫代碼。此版本將我們的覆蓋范圍擴(kuò)大到最新版本的 .NET，改進(jìn)了數(shù)據(jù)流，并擴(kuò)展了以下類別的 API 覆蓋范圍：

拒絕服務(wù)：正則表達(dá)式路徑操作路徑操作：Zip 條目覆蓋權(quán)限操作侵犯隱私設(shè)置操作系統(tǒng)信息泄露.NET酷睿7（支持版本：7.0）.NETCore 是用于 .NET 的旗艦 Web 框架。該框架包括創(chuàng)建多種類型的應(yīng)用程序的功能，包括 MVC Web 應(yīng)用程序和 Web API。此版本將我們的覆蓋范圍擴(kuò)大到最新版本的 .NETCore，擴(kuò)展了我們支持的類別，包括：

拒絕服務(wù)侵犯隱私設(shè)置操作系統(tǒng)信息泄露此外，還為.NET應(yīng)用程序引入了以下新的弱點(diǎn)類別：

.NET配置錯誤：記錄敏感信息云基礎(chǔ)結(jié)構(gòu)即代碼 （IaC）IaC是通過代碼而不是各種手動過程來管理和配置計算機(jī)資源的過程。改進(jìn)的支持包括用于部署到 AWS 和 Azure 的 Terraform 配置，以及改進(jìn)的 Azure 資源管理器 （ARM） 覆蓋范圍。與這些服務(wù)的配置相關(guān)的常見問題現(xiàn)在報告給開發(fā)人員。

Amazon AWS 和 Microsoft Azure Terraform 配置Terraform 是一個開源基礎(chǔ)架構(gòu)即代碼工具，用于構(gòu)建、更改和版本控制云基礎(chǔ)架構(gòu)。它使用自己的聲明性語言，稱為HashiCorp配置語言（HCL）。云基礎(chǔ)架構(gòu)在配置文件中編碼，以描述所需狀態(tài)。Terraform 提供商支持 Microsoft Azure 基礎(chǔ)設(shè)施和 Amazon Web Services （AWS） 的配置和管理。在此版本中，我們報告了 Terraform 配置的以下類別：

AWS Terraform 配置錯誤：AMI 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Aurora 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Aurora 可公開訪問AWS Terraform 配置錯誤：CloudTrail 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：可公開訪問的數(shù)據(jù)庫遷移服務(wù)AWS Terraform 配置錯誤：DocumentDB 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：DocumentDB 可公開訪問AWS Terraform 配置錯誤：EBS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：EC2 映像生成器缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：EFS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Elasticache 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：文件緩存缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx Lustre 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx ONTAP 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx OpenZFS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx Windows 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：不安全的 AMI 存儲AWS Terraform 配置錯誤：不安全的 Aurora 存儲AWS Terraform 配置錯誤：不安全的文檔數(shù)據(jù)庫存儲AWS Terraform 配置錯誤：不安全的 EC2 映像生成器存儲AWS Terraform 配置錯誤：不安全的 EFS 存儲AWS Terraform 配置錯誤：不安全的 Neptune 存儲AWS Terraform 配置錯誤：不安全的紅移存儲AWS Terraform 配置錯誤：Aurora 監(jiān)控不足AWS Terraform 配置錯誤：文檔數(shù)據(jù)庫監(jiān)控不足AWS Terraform 配置錯誤：RDS 監(jiān)控不足AWS Terraform 配置錯誤：Kinesis 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Lightsail 可公開訪問AWS Terraform 配置錯誤：位置服務(wù)缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Neptune 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：RDS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：RDS 可公開訪問AWS Terraform 配置錯誤：Redshift 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：SageMaker 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：密鑰管理器缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：S3 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：時間流缺少客戶管理的加密密鑰Azure Terraform 配置錯誤：不正確的應(yīng)用服務(wù) CORS 策略Azure Terraform 配置錯誤：認(rèn)知服務(wù)網(wǎng)絡(luò)訪問控制不當(dāng)Azure Terraform 配置錯誤：不正確的 CosmosDB CORS 策略Azure Terraform 配置錯誤：不正確的函數(shù) CORS 策略Azure Terraform 配置錯誤：不正確的醫(yī)療保健 CORS 策略Azure Terraform 配置錯誤：不正確的 IoT 中央網(wǎng)絡(luò)訪問控制Azure Terraform 配置錯誤：不正確的 IoT 中心網(wǎng)絡(luò)訪問控制Azure Terraform 配置錯誤：密鑰保管庫網(wǎng)絡(luò)訪問控制不正確Azure Terraform 配置錯誤：不正確的邏輯應(yīng)用 CORS 策略Azure Terraform 配置錯誤：不正確的媒體服務(wù)網(wǎng)絡(luò)訪問控制Azure Terraform 配置錯誤：服務(wù)總線網(wǎng)絡(luò)訪問控制不正確Azure Terraform 配置錯誤：不正確的 SignalR CORS 策略Azure Terraform 配置錯誤：不正確的 SignalR 網(wǎng)絡(luò)訪問控制Azure Terraform 配置錯誤：不正確的 Spring Apps CORS 策略Azure Terraform 配置錯誤：不正確的存儲 CORS 策略Azure Terraform 配置錯誤：存儲網(wǎng)絡(luò)訪問控制不當(dāng)Azure Terraform 配置錯誤：不正確的 Web PubSub Network 訪問控制Azure Terraform 配置錯誤：不安全的事件中心傳輸Azure Terraform 配置錯誤：不安全的前門傳輸Azure Terraform 配置錯誤：不安全的函數(shù)傳輸Azure Terraform 配置錯誤：不安全的 Redis 傳輸Azure Terraform 配置錯誤：不安全的服務(wù)總線傳輸Azure Terraform 配置錯誤：不安全的 SQL 數(shù)據(jù)庫傳輸Azure Terraform 配置錯誤：不安全的 SQL 托管實(shí)例傳輸Microsoft Azure Resource Manager （ARM） 配置ARM 是 Azure 的部署和管理服務(wù)。ARM 提供了一個管理層，可用于創(chuàng)建、更新和刪除 Azure 帳戶中的資源。在此版本中，我們報告了 ARM 配置的以下弱點(diǎn)類別：

Azure ARM 配置錯誤：自動化缺少客戶管理的加密密鑰Azure ARM 配置錯誤：批量缺少客戶管理的加密密鑰Azure ARM 配置錯誤：認(rèn)知服務(wù)缺少客戶管理的加密密鑰Azure ARM 配置錯誤：數(shù)據(jù)磚缺少客戶管理的加密密鑰Azure ARM 配置錯誤：事件中心缺少客戶管理的加密密鑰Azure ARM 配置錯誤：不安全的 CDN 傳輸Azure ARM 配置錯誤：MySQL 存儲的不安全數(shù)據(jù)庫Azure ARM 配置錯誤：PostgreSQL 存儲的不安全數(shù)據(jù)庫Azure ARM 配置錯誤：不安全的 DataBricks 存儲Azure ARM 配置錯誤：不安全的事件中心存儲Azure ARM 配置錯誤：不安全的事件中心傳輸Azure ARM 配置錯誤：不安全的 IoT 集線器傳輸Azure ARM 配置錯誤：不安全的恢復(fù)服務(wù)備份存儲Azure ARM 配置錯誤：不安全的恢復(fù)服務(wù)保管庫存儲Azure ARM 配置錯誤：不安全的 Redis 企業(yè)傳輸Azure ARM 配置錯誤：不安全的 Redis 傳輸Azure ARM 配置錯誤：不安全的服務(wù)總線存儲Azure ARM 配置錯誤：不安全的服務(wù)總線傳輸Azure ARM 配置錯誤：不安全的存儲帳戶存儲Azure ARM 配置錯誤：IoT 中心缺少客戶管理的加密密鑰Azure ARM 配置錯誤：NetApp 缺少客戶管理的加密密鑰Azure ARM 配置錯誤：服務(wù)總線缺少客戶管理的加密密鑰Azure ARM 配置錯誤：存儲帳戶缺少客戶管理的加密密鑰Azure ARM 配置錯誤：弱應(yīng)用服務(wù)身份驗(yàn)證Azure ARM 配置錯誤：弱信號R 身份驗(yàn)證可定制的密碼管理和密鑰管理正則表達(dá)式[4]有時，在源代碼中匹配密碼和加密密鑰的唯一方法是使用正則表達(dá)式進(jìn)行有根據(jù)的猜測。這些現(xiàn)在可以通過屬性進(jìn)行自定義，并且跨語言更加一致，并且默認(rèn)正則表達(dá)式已受到限制以最大程度地減少誤報。

可以使用以下屬性之一配置全局正則表達(dá)式：

com.fortify.sca.rules.key_regex.global 或 com.fortify.sca.rules.password_regex.global

您可以使用以下屬性為每種語言設(shè)置更具體的變體：

com.fortify.sca.rules.key_regex.abapcom.fortify.sca.rules.key_regex.actionscript com.fortify.sca.rules.key_regex.cfml com.fortify.sca.rules.key_regex.cpp com.fortify.sca.rules.key_regex.golang com.fortify.sca.rules.key_regex.javacom.fortify.sca.rules.key_regex.javascript

com.fortify.sca.rules.key_regex.jspcom.fortify.sca.rules.key_regex.objccom.fortify.sca.rules.key_regex.php com.fortify.sca.rules.key_regex.python com.fortify.sca.rules.key_regex.ruby com.fortify.sca.rules.key_regex.sql com.fortify.sca.rules.key_regex.swiftcom.fortify.sca.rules.key_regex.vb

com.fortify.sca.rules.password_regex.abapcom.fortify.sca.rules.password_regex.actionscriptcom.fortify.sca.rules.password_regex.cfmlcom.fortify.sca.rules.password_regex.cobolcom.fortify.sca.rules.password_regex.configcom.fortify.sca.rules.password_regex.cppcom.fortify.sca.rules.password_regex.dockercom.fortify.sca.rules.password_regex.dotnetcom.fortify.sca.rules.password_regex.golangcom.fortify.sca.rules.password_regex.javacom.fortify.sca.rules.password_regex.javascriptcom.fortify.sca.rules.password_regex.jsoncom.fortify.sca.rules.password_regex.jspcom.fortify.sca.rules.password_regex.objc

com.fortify.sca.rules.password_regex.phpcom.fortify.sca.rules.password_regex.propertiescom.fortify.sca.rules.password_regex.pythoncom.fortify.sca.rules.password_regex.rubycom.fortify.sca.rules.password_regex.sqlcom.fortify.sca.rules.password_regex.swift

com.fortify.sca.rules.password_regex.vbcom.fortify.sca.rules.password_regex.yaml

有關(guān)默認(rèn)正則表達(dá)式的更多詳細(xì)信息，請參閱 Fortify 靜態(tài)代碼分析器用戶指南。

DISA STIG 5.2

為了在合規(guī)性領(lǐng)域?yàn)槲覀兊穆?lián)邦客戶提供支持，添加了 Fortify 分類法與國防信息系統(tǒng)局 （DISA） 應(yīng)用程序安全和開發(fā) STIG 版本 5.2 的關(guān)聯(lián)。

PCI DSS 4.0 為了在合規(guī)性方面支持我們的電子商務(wù)和金融服務(wù)客戶，此版本支持我們的Fortify分類類別與最新版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) 4.0 版中指定的要求之間的關(guān)聯(lián)。

PCI SSF 1.2為了在合規(guī)性領(lǐng)域支持我們的電子商務(wù)和金融服務(wù)客戶，此版本支持我們的Fortify分類類別與支付卡行業(yè) （PCI） 安全軟件標(biāo)準(zhǔn) （SSS） 中定義的新的“安全軟件要求和評估程序”中指定的控制目標(biāo)之間的關(guān)聯(lián)，作為新軟件安全框架 （SSF） 的一部分， 版本 1.2。

其他勘誤表在此版本中，已投入資源以確保我們可以減少誤報問題的數(shù)量，重構(gòu)一致性，并提高客戶審核問題的能力。客戶還可以期望看到與以下內(nèi)容相關(guān)的報告問題的變化：

刪除“拒絕服務(wù)：解析雙重”已刪除拒絕服務(wù)：解析雙倍類別，因?yàn)樵撀┒磧H存在于 Java 版本 6 更新 23 和更早版本中。使用這些易受攻擊的 Java 版本的客戶仍然可以從 Fortify 客戶支持門戶的“高級內(nèi)容”下下載單獨(dú)的規(guī)則包中的已刪除規(guī)則。

誤報改進(jìn)工作仍在繼續(xù)，努力消除此版本中的誤報。除了其他改進(jìn)之外，客戶還可以期望在以下方面進(jìn)一步消除誤報：

訪問控制：數(shù)據(jù)庫– 當(dāng)數(shù)據(jù)來自數(shù)據(jù)庫時，誤報減少Android不良做法：不必要的組件暴露– 當(dāng) Android 接收器標(biāo)記為 android：exported=“false” 時，誤報減少NET MVC 不良做法：控制器操作不限于 POST – 當(dāng)控制器操作將其輸入直接傳遞到視圖而不更改狀態(tài)時，誤報減少憑據(jù)管理：硬編碼的 API 憑據(jù)– 在建議時不再在 google-services.json 中找到憑據(jù)管理：硬編碼的 API 憑據(jù)– 減少了 Facebook 修訂密鑰上的誤報跨站點(diǎn)腳本– 刪除了在 VB6 Windows 窗體應(yīng)用程序中觸發(fā)的誤報死代碼：未使用的字段– Java lambda 中的誤報減少Dockerfile 配置錯誤：依賴關(guān)系混淆– 使用本地庫定義時誤報減少在布爾變量上報告數(shù)據(jù)流問題時，在所有受支持的語言中跨多個類別刪除誤報通過 WinAPI 函數(shù)檢索文件信息時，C/C++ 應(yīng)用程序中的多個類別中消除了誤報HTTP 參數(shù)污染– 減少 URL 編碼值的誤報不安全隨機(jī)：硬編碼種子和不安全隨機(jī)性：用戶控制的種子– 在 Java 應(yīng)用程序中使用 Random 和 SplittableRandom 類時減少了誤報不安全存儲：未指定的鑰匙串訪問策略、不安全存儲：外部可用鑰匙串和 不安全存儲：密碼策略 未強(qiáng)制執(zhí)行– 應(yīng)用建議的補(bǔ)救措施時，Swift iOS 應(yīng)用程序中的誤報減少內(nèi)存泄漏– 添加指向提升程序選項(xiàng)說明的指針時減少了誤報內(nèi)存泄漏– 使用 std：：unique_ptr 時誤報減少空取消引用 –在 .NET 應(yīng)用程序中將 0 強(qiáng)制轉(zhuǎn)換為字節(jié)時刪除了誤報密碼管理：硬編碼密碼– 減少評論中密碼的誤報侵犯隱私：Android 內(nèi)部存儲– 在 Android 應(yīng)用程序中使用 EncryptedSharedPreferences 對象時誤報減少SOQL 注入和訪問控制：數(shù)據(jù)庫– 在 Salesforce Apex 應(yīng)用程序中使用 getQueryLocator（） 時減少了誤報類別更改 當(dāng)弱點(diǎn)類別名稱發(fā)生更改時，將以前的掃描與新掃描合并時的分析結(jié)果將導(dǎo)致添加/刪除類別。

為了提高一致性，重命名了以下類別：

NET 錯誤做法：剩余調(diào)試代碼現(xiàn)在報告為在常規(guī) .NET 代碼中觸發(fā)時的.NET 錯誤做法：剩余調(diào)試代碼。此外，為了提高跨類別 IaC 缺陷報告的一致性，此版本中又重命名了 121 個類別（請參閱附錄 A）。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 將針對數(shù)千個漏洞的檢查與策略相結(jié)合，這些策略可指導(dǎo)用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補(bǔ)的應(yīng)用程序[5]

Cacti 是一個框架，為用戶提供日志記錄和繪圖功能來監(jiān)視網(wǎng)絡(luò)上的設(shè)備。remote_agent.php文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識別的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞的影響。使用用戶輸入輪詢數(shù)據(jù)調(diào)用方法proc_open時傳遞 poller_id 參數(shù)。由于此值未清理，因此攻擊者能夠在目標(biāo)計算機(jī)上執(zhí)行命令。將此命令注入問題與使用 X-Forwarded-For 標(biāo)頭的身份驗(yàn)證繞過相結(jié)合，會導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者危害整個應(yīng)用程序。此版本包括一項(xiàng)檢查，用于在運(yùn)行受影響的 Cacti 版本的目標(biāo)服務(wù)器上檢測此漏洞。

SAML 不良做法：不安全轉(zhuǎn)換SAML消息經(jīng)過加密簽名，以保證斷言的有效性和完整性。服務(wù)提供商必須執(zhí)行的簽名驗(yàn)證步驟之一是轉(zhuǎn)換 Reference 元素指向的數(shù)據(jù)。通常，轉(zhuǎn)換操作旨在僅選擇引用數(shù)據(jù)的子集。但是，攻擊者可以使用某些類型的轉(zhuǎn)換造成拒絕服務(wù)，在某些環(huán)境中甚至執(zhí)行任意代碼。此版本包括一項(xiàng)檢查，如果服務(wù)提供商允許在 XML 引用中使用不安全類型的轉(zhuǎn)換，則會觸發(fā)該檢查。

合規(guī)報告

DISA STIG 5.2 為了支持我們的聯(lián)邦客戶的合規(guī)性需求，此版本包含 WebInspect 檢查與最新版本的國防信息系統(tǒng)局應(yīng)用程序安全和開發(fā) STIG 5.2版的關(guān)聯(lián)。

PCI DSS 4.0 為了支持我們的電子商務(wù)和金融服務(wù)客戶的合規(guī)性需求，此版本包含 WebInspect 檢查與最新版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) 4.0 版中指定的要求的關(guān)聯(lián)。

PCI SSF 1.2為了支持我們的電子商務(wù)和金融服務(wù)客戶的合規(guī)性需求，此版本包含 WebInspect 檢查與支付卡行業(yè) （PCI） 安全軟件標(biāo)準(zhǔn) （SSS） 中定義的新“安全軟件要求和評估程序”中指定的控制目標(biāo)的關(guān)聯(lián)，作為新軟件安全框架 （SSF） 的一部分， 版本 1.2。

政策更新

DISA STIG 5.2 為包含與DISA STIG 5.2相關(guān)的檢查而定制的策略已添加到 WebInspect SecureBase 受支持策略列表中。

PCI DSS 4.0 自定義策略以包括與 PCI DSS 4.0 相關(guān)的檢查，已添加到 WebInspect SecureBase 支持的策略列表中。

PCI SSF 1.2 自定義策略以包含與 PCI SSF 1.2 相關(guān)的檢查，已添加到 WebInspect SecureBase 支持的策略列表中。

其他勘誤表在此版本中，我們投入了資源來進(jìn)一步減少誤報的數(shù)量，并提高客戶審核問題的能力?？蛻暨€可以期望看到與以下內(nèi)容相關(guān)的報告結(jié)果的變化：

密碼管理：弱密碼策略[6]此版本包括對密碼熵檢查的細(xì)微改進(jìn)，其中密碼/用戶名字段改進(jìn)了對自定義用戶名和密碼字段的檢測。此修復(fù)有助于減少與檢查 ID 11496、11498 和 11661 相關(guān)的結(jié)果中的誤報。

Fortify優(yōu)質(zhì)內(nèi)容

研究團(tuán)隊(duì)在我們的核心安全智能產(chǎn)品之外構(gòu)建、擴(kuò)展和維護(hù)各種資源。

DISA STIG 5.2、PCI SSF 1.2 和 PCI DSS 4.0 為了配合新的相關(guān)性，此版本還包含 Fortify 軟件安全中心的新報告包，支持 DISA STIG 5.2、PCI DSS 4.0 和 PCI SSF 1.2，可從 Fortify 客戶支持門戶的“高級內(nèi)容”下下載。

Fortify分類：軟件安全錯誤

Fortify分類網(wǎng)站（包含新添加的類別支持的說明）可在 vulncat.fortify.com上找到。尋找具有上次受支持更新的舊站點(diǎn)的客戶可以從 Fortify 支持門戶獲取它。

附錄 A：IaC 弱點(diǎn)類別重命名

已刪除的類別已添加類別訪問控制：Azure Blob 存儲Azure Ansible 配置錯誤：不正確的 blob 存儲訪問控制訪問控制：Azure Blob 存儲Azure ARM 配置錯誤：不正確的 Blob 存儲訪問控制訪問控制：Azure 網(wǎng)絡(luò)組Azure Ansible 配置錯誤：安全組網(wǎng)絡(luò)訪問控制不正確訪問控制：Azure 網(wǎng)絡(luò)組Azure ARM 配置錯誤：安全組網(wǎng)絡(luò)訪問控制不正確訪問控制：Azure 存儲Azure Ansible 配置錯誤：存儲帳戶網(wǎng)絡(luò)訪問控制不正確訪問控制：Azure 存儲Azure ARM 配置錯誤：存儲網(wǎng)絡(luò)訪問控制不當(dāng)訪問控制：EC2AWS Ansible 配置錯誤：EC2 網(wǎng)絡(luò)訪問控制不當(dāng)訪問控制：EC2AWS CloudFormation 配置錯誤：EC2 網(wǎng)絡(luò)訪問控制不當(dāng)訪問控制：過于寬泛的 IAM 委托人AWS CloudFormation 配置錯誤：不正確的 S3 訪問控制策略訪問控制：過于寬松的 S3 策略AWS Ansible 配置錯誤：不正確的 S3 存儲桶網(wǎng)絡(luò)訪問控制訪問控制：過于寬松的 S3 策略AWS CloudFormation 配置錯誤：不正確的 S3 存儲桶網(wǎng)絡(luò)訪問控制AKS 不良做法：缺少 Azure 監(jiān)視器集成Azure Ansible 配置錯誤：AKS 監(jiān)視不足AKS 不良做法：缺少 Azure 監(jiān)視器集成Azure ARM 配置錯誤：AKS 監(jiān)視不足Ansible 不良做法：缺少 CloudWatch 集成AWS Ansible 配置錯誤：CloudTrail 日志記錄不足Ansible 配置錯誤：日志驗(yàn)證已禁用AWS Ansible 配置錯誤：缺少 CloudTrail 日志驗(yàn)證AWS Ansible 不良做法：不正確的 IAM 訪問控制策略AWS Ansible 配置錯誤：不正確的 IAM 訪問控制策略AWS Ansible 配置錯誤：Amazon RDS 可公開訪問AWS Ansible 配置錯誤：RDS 可公開訪問AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：CloudTrail 日志記錄不足AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：文檔數(shù)據(jù)庫日志記錄不足AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：Neptune 日志記錄不足AWS CloudFormation 不良做法：Redshift 可公開訪問AWS CloudFormation 配置錯誤：紅移網(wǎng)絡(luò)訪問控制不當(dāng)AWS CloudFormation 不良做法：用戶綁定的 IAM 策略AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略AWS CloudFormation 配置錯誤：API 網(wǎng)關(guān)未經(jīng)身份驗(yàn)證的訪問AWS CloudFormation 配置錯誤：不正確的 API 網(wǎng)關(guān)訪問控制AWS Cloudformation 配置錯誤：不安全的 EC2 AMI 存儲AWS Ansible 配置錯誤：不安全的 EC2 AMI 存儲AWS Cloudformation 配置錯誤：不安全的 EFS 存儲AWS Ansible 配置錯誤：不安全的 EFS 存儲AWS Cloudformation 配置錯誤：不安全的 Kinesis 數(shù)據(jù)流存儲AWS Ansible 配置錯誤：不安全的 Kinesis 數(shù)據(jù)流存儲AWS CloudFormation 配置錯誤：不安全的傳輸AWS CloudFormation 配置錯誤：不安全的紅移傳輸AWS CloudFormation 配置錯誤：RedShift 日志記錄不足AWS CloudFormation 配置錯誤：紅移日志記錄不足AWS CloudFormation 配置錯誤：S3 日志記錄不足AWS CloudFormation 配置錯誤：S3 存儲桶日志記錄不足AWS CloudFormation 配置錯誤：日志驗(yàn)證已禁用AWS CloudFormation 配置錯誤：缺少 CloudTrail 日志驗(yàn)證AWS CloudFormation 配置錯誤：根用戶訪問密鑰AWS CloudFormation 配置錯誤：IAM 訪問控制不當(dāng)AWS CloudFormation 配置錯誤：不受限制的 Lambda 委托人AWS CloudFormation 配置錯誤：不正確的 Lambda 訪問控制策略AWS Terraform 配置錯誤：Amazon API Gateway 可公開訪問AWS Terraform 配置錯誤：API 網(wǎng)關(guān)可公開訪問AWS Terraform 配置錯誤：Amazon EBS 不安全存儲AWS Terraform 配置錯誤：不安全的 EBS 存儲AWS Terraform 配置錯誤：Amazon ElastiCache 不安全傳輸AWS Terraform 配置錯誤：不安全的 ElastiCache 傳輸AWS Terraform 配置錯誤：Amazon MQ 可公開訪問AWS Terraform 配置錯誤：MQ 可公開訪問AWS Terraform 配置錯誤：Amazon Neptune 可公開訪問AWS Terraform 配置錯誤：Neptune 可公開訪問AWS Terraform 配置錯誤：Amazon RDS 不安全存儲AWS Terraform 配置錯誤：不安全的 RDS 存儲AWS Terraform 配置錯誤：Amazon RDS 代理不安全傳輸AWS Terraform 配置錯誤：不安全的 RDS 代理傳輸AWS Terraform 配置錯誤：Amazon Redshift 可公開訪問AWS Terraform 配置錯誤：Redshift 可公開訪問AWS Terraform 配置錯誤：Amazon SNS 不安全存儲AWS Terraform 配置錯誤：不安全的 SNS 存儲Azure ARM 配置錯誤：存儲帳戶網(wǎng)絡(luò)訪問控制不正確Azure ARM 配置錯誤：存儲網(wǎng)絡(luò)訪問控制不當(dāng)Azure 監(jiān)視器配置錯誤：日志記錄不足Azure ARM 配置錯誤：應(yīng)用程序見解監(jiān)視不足Azure 資源管理器配置錯誤：允許公共訪問Azure ARM 配置錯誤：存儲網(wǎng)絡(luò)訪問控制不當(dāng)Azure 資源管理器配置錯誤：允許公共訪問Azure ARM 配置錯誤：允許公共訪問Azure Terraform 不良做法：Azure 磁盤快照缺少客戶管理的密鑰Azure Terraform 配置錯誤：Azure 磁盤快照缺少客戶管理的密鑰Azure Terraform 不良做法：容器注冊表缺少客戶管理的密鑰Azure Terraform 配置錯誤：容器注冊表缺少客戶管理的密鑰Azure Terraform 不良做法：Cosmos DB 缺少客戶管理的密鑰Azure Terraform 配置錯誤：Cosmos DB 缺少客戶管理的密鑰Azure Terraform 不良做法：共享映像缺少客戶管理的密鑰Azure Terraform 配置錯誤：共享映像缺少客戶管理的密鑰Azure Terraform 不良做法：SQL 數(shù)據(jù)庫缺少客戶管理的密鑰Azure Terraform 配置錯誤：SQL 數(shù)據(jù)庫缺少客戶管理的密鑰Azure Terraform 不良做法：存儲帳戶缺少客戶管理的密鑰Azure Terraform 配置錯誤：存儲帳戶缺少客戶管理的密鑰Azure Terraform 不良做法：存儲加密范圍缺少客戶管理的密鑰Azure Terraform 配置錯誤：存儲加密范圍缺少客戶管理的密鑰Azure Terraform Misconfiguration： Insecure PostgresSQL TransportAzure Terraform Misconfiguration： Insecure PostgreSQL TransportGCP 地形不良做法：過于寬松的服務(wù)帳戶GCP Terraform 不良做法：過于寬松的服務(wù)帳戶GCP Terraform 不良做法：Apigee 缺少客戶管理的加密密鑰GCP 地形配置錯誤：缺少客戶管理的加密密鑰GCP Terraform 不良做法：BigQuery 缺少客戶管理的加密密鑰GCP 地形配置錯誤：BigQuery 缺少客戶管理的加密密鑰GCP Terraform 不良做法：云大表缺少客戶管理的加密密鑰GCP 地形配置錯誤：云大表缺少客戶管理的加密密鑰GCP Terraform 不良做法：云函數(shù)缺少客戶管理的加密密鑰GCP 地形配置錯誤：云函數(shù)缺少客戶管理的加密密鑰GCP Terraform 不良做法：云扳手缺少客戶管理的加密密鑰GCP 地形配置錯誤：云扳手缺少客戶管理的加密密鑰GCP Terraform 不良做法：文件存儲缺少客戶管理的加密密鑰GCP 地形配置錯誤：文件存儲缺少客戶管理的加密密鑰GCP Terraform 不良做法：發(fā)布/訂閱缺少客戶管理的加密密鑰GCP 地形配置錯誤：發(fā)布/訂閱缺少客戶管理的加密密鑰GCP Terraform 不良做法：機(jī)密管理器缺少客戶管理的加密密鑰GCP 地形配置錯誤：機(jī)密管理器缺少客戶管理的加密密鑰不安全的 SSL：證書驗(yàn)證不足Kubernetes 配置錯誤：證書驗(yàn)證不足不安全的 SSL：過于廣泛的證書信任Kubernetes 配置錯誤：過于廣泛的證書信任不安全的 SSL：服務(wù)器身份驗(yàn)證已禁用Kubernetes 配置錯誤：缺少 API 服務(wù)器身份驗(yàn)證不安全的存儲：缺少 DocumentDB 加密AWS CloudFormation 配置錯誤：不安全的文檔數(shù)據(jù)庫存儲不安全的存儲：缺少 EBS 加密AWS Ansible 配置錯誤：不安全的 EBS 存儲不安全的存儲：缺少 EBS 加密AWS CloudFormation 配置錯誤：不安全的 EBS 存儲不安全的存儲：缺少彈性緩存加密AWS CloudFormation 配置錯誤：不安全的彈性緩存存儲不安全的存儲：缺少海王星加密AWS CloudFormation 配置錯誤：不安全的 Neptune DB 存儲不安全的存儲：缺少 RDS 加密AWS Ansible 配置錯誤：不安全的 RDS 存儲不安全的存儲：缺少 RDS 加密AWS CloudFormation 配置錯誤：不安全的 RDS 存儲不安全的存儲：缺少紅移加密AWS Ansible 配置錯誤：不安全的紅移存儲不安全的存儲：缺少紅移加密AWS CloudFormation 配置錯誤：不安全的 Redshift 存儲不安全的存儲：缺少 S3 加密AWS Ansible 配置錯誤：不安全的 S3 存儲桶存儲不安全的存儲：缺少 S3 加密AWS CloudFormation 配置錯誤：不安全的 S3 存儲桶存儲不安全的存儲：缺少 SNS 主題加密AWS CloudFormation 配置錯誤：不安全的 SNS 主題存儲不安全的傳輸：Azure 存儲Azure Ansible 配置錯誤：不安全的存儲帳戶傳輸不安全的傳輸：Azure 存儲Azure ARM 配置錯誤：不安全的存儲帳戶傳輸不安全的傳輸：數(shù)據(jù)庫AWS CloudFormation 配置錯誤：不安全的文檔數(shù)據(jù)庫傳輸不安全的傳輸：數(shù)據(jù)庫Azure Ansible 配置錯誤：不安全的 MySQL 服務(wù)器傳輸不安全的傳輸：數(shù)據(jù)庫Azure Ansible Misconfiguration： Insecure PostgreSQL Server Transport不安全的傳輸：數(shù)據(jù)庫Azure ARM 配置錯誤：不安全的 MySQL 服務(wù)器傳輸不安全的傳輸：數(shù)據(jù)庫Azure ARM 配置錯誤：不安全的 PostgreSQL 服務(wù)器傳輸不安全的傳輸：缺少彈性緩存加密AWS CloudFormation 配置錯誤：不安全的彈性緩存?zhèn)鬏敳话踩膫鬏敚喝?SSL 協(xié)議Azure ARM 配置錯誤：不安全的活動目錄域服務(wù)傳輸密鑰管理：過期時間過長AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略密鑰管理：過期時間過長Azure ARM 配置錯誤：不正確的密鑰保管庫訪問控制策略Kubernetes 不良做法：禁用自動 iptables 管理Kubernetes 配置錯誤：自動 iptables 管理已禁用Kubernetes 不良做法：默認(rèn)命名空間Kubernetes 配置錯誤：默認(rèn)命名空間Kubernetes 不良做法：主機(jī)寫入訪問Kubernetes 配置錯誤：主機(jī)寫入訪問Kubernetes 不良實(shí)踐：內(nèi)核默認(rèn)值被覆蓋Kubernetes 配置錯誤：內(nèi)核默認(rèn)值被覆蓋Kubernetes 不良做法：Kubelet 流連接超時已禁用Kubernetes 配置錯誤：Kubelet 流連接超時已禁用Kubernetes 不良做法：缺少 API 服務(wù)器授權(quán)Kubernetes 配置錯誤：缺少 API 服務(wù)器授權(quán)Kubernetes 不良實(shí)踐：缺少 Kubelet 授權(quán)Kubernetes 配置錯誤：缺少 Kubelet 授權(quán)Kubernetes 不良實(shí)踐：缺少節(jié)點(diǎn)授權(quán)Kubernetes 配置錯誤：缺少節(jié)點(diǎn)授權(quán)Kubernetes 不良實(shí)踐：缺少節(jié)點(diǎn)限制準(zhǔn)入控制器Kubernetes 配置錯誤：缺少節(jié)點(diǎn)限制準(zhǔn)入控制器Kubernetes Bad Practices： Missing PodSecurityPolicy Admission ControllerKubernetes 配置錯誤：缺少 PodSecurityPolicy 準(zhǔn)入控制器Kubernetes 不良實(shí)踐：缺少 RBAC 授權(quán)Kubernetes 配置錯誤：缺少 RBAC 授權(quán)Kubernetes 不良實(shí)踐：缺少安全上下文Kubernetes 配置錯誤：缺少安全上下文Kubernetes 不良實(shí)踐：缺少 SecurityContext拒絕準(zhǔn)入控制器Kubernetes 配置錯誤：缺少 SecurityContextDeny Admission ControllerKubernetes 不良做法：缺少服務(wù)帳戶準(zhǔn)入控制器Kubernetes 配置錯誤：缺少服務(wù)帳戶準(zhǔn)入控制器Kubernetes 不良做法：命名空間生命周期強(qiáng)制實(shí)施已禁用Kubernetes 配置錯誤：命名空間生命周期強(qiáng)制已禁用Kubernetes 不良實(shí)踐：啟用 readOnlyPortKubernetes 配置錯誤：啟用 readOnlyPortKubernetes 不良做法：服務(wù)帳戶令牌自動掛載Kubernetes 配置錯誤：服務(wù)帳戶令牌自動掛載Kubernetes 不良做法：共享服務(wù)帳戶憑據(jù)Kubernetes 配置錯誤：共享服務(wù)帳戶憑據(jù)Kubernetes 不良做法：靜態(tài)身份驗(yàn)證令牌Kubernetes 配置錯誤：靜態(tài)身份驗(yàn)證令牌Kubernetes 不良做法：未配置的 API 服務(wù)器日志記錄Kubernetes 配置錯誤：未配置 API 服務(wù)器日志記錄Kubernetes配置錯誤：不安全的傳輸Kubernetes 配置錯誤：不安全的 kubelet 傳輸Kubernetes 配置錯誤：服務(wù)器身份驗(yàn)證已禁用Kubernetes 配置錯誤：缺少 Kubelet 身份驗(yàn)證經(jīng)常被誤用：弱SSL證書Kubernetes 配置錯誤：弱 etcd SSL 證書不良日志記錄實(shí)踐：過多的云日志保留AWS CloudFormation 配置錯誤：日志組日志記錄不足不良日志記錄實(shí)踐：云日志保留不足Azure ARM 配置錯誤：應(yīng)用程序見解日志記錄不足不良日志記錄實(shí)踐：云日志保留不足Azure ARM 配置錯誤：SQL Server 日志記錄不足不良日志記錄實(shí)踐：云日志保留不足Kubernetes 配置錯誤：API 服務(wù)器日志保留不足不良日志記錄實(shí)踐：云日志輪換不足Kubernetes 配置錯誤：云日志輪換不足不良日志記錄實(shí)踐：云日志大小不足Kubernetes 配置錯誤：云日志大小不足權(quán)限管理：過于寬泛的訪問策略AWS Ansible 配置錯誤：不正確的 IAM 訪問控制策略權(quán)限管理：過于寬泛的訪問策略AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略系統(tǒng)信息泄漏：Kubernetes ProfilerKubernetes 配置錯誤：API 服務(wù)器分析系統(tǒng)信息泄漏：Kubernetes ProfilerKubernetes 配置錯誤：控制器管理器分析[1] Requires Fortify Static Code Analyzer 23.1.[2] New rules for iOS SDK 16 require Fortify Static Code Analyzer 22.2 or later.[3] Requires Fortify Static Code Analyzer 23.1 or later for some new rules that target the Apex v57 APIs.[4] Requires Fortify Static Code Analyzer 23.1.[5] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.[6] Requires WebInspect 23.1 or later.

關(guān)于蘇州華克斯信息科技有限公司

聯(lián)系方式：400-028-4008 0512-62382981

專業(yè)的測試及安全產(chǎn)品服務(wù)提供商

Fortify | Webinspect | AppScan |SonarQube | 極狐GitLab

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus 鉑金合作伙伴 | SonarQube中國總代理

極狐GitLab鉑金級合伙伴 | HCL中國合作伙伴