Fortify 软件安全内容更新 25.1

关于 OpenText Fortify Software Security Research

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合（包括 OpenText）提供支持TMFortify Static Code Analyzer 和 OpenTextTM强化 WebInspect。如今，Fortify Software Security Content 支持 33+ 种语言的 1,669 个漏洞类别，并涵盖超过 100 万个单独的 API。

Fortify 软件安全研究 （SSR） 很高兴地宣布立即推出 Fortify 安全编码规则包（英语，版本 2025.1.0）、Fortify WebInspect SecureBase（通过 SmartUpdate 提供）和 Fortify Premium Content 的更新。

 Fortify 安全编码规则包 [Fortify Static Code Analyzer]

在此版本中，Fortify Secure Coding Rulepacks 可检测 33+ 种语言的 1,443 种独特漏洞类别，并涵盖超过 100 万个单独的 API。总之，此版本包括以下内容：

.NET 改进（支持的版本：9）

.NET 9 是一个免费的开源开发框架，用于构建跨平台应用程序，旨在提供生产力、性能、安全性和可靠性。作为 .NET 8 框架的继任者，此新版本包括性能、安全性和功能改进的增强功能。此版本的安全内容改进特别侧重于 .NET for Web Applications，并为 9 个现有类别以及以下 4 个新类别提供更新：

.NET 不良做法：已启用 BinaryFormatter

未发布的资源：Handle Leak

未发布的资源：Handle Owner

未发布的资源：无效的句柄

Entity Framework Core 改进（支持的版本：9）

实体框架 （EF） Core 是常用实体框架数据访问技术的跨平台、轻量级、可扩展、开源版本。它充当对象关系映射器 （ORM），使 .NET 开发人员能够使用 .NET 对象处理数据库，无需编写应用程序所需的大部分数据访问代码。改进将对 EF Core 的支持提高到版本 9，并提供跨三个现有类别的更新。

Jinja 改进（支持的版本：3.1）

Jinja 是一个模板引擎，用于使用类似 python 的语法创建网页。它可以独立使用，也可以作为更大的 Web 框架（如 Django 或 Flask）的一部分。对 Jinja 的支持已得到改进，以更好地查找与数据泄漏相关的两个现有类别的安全问题，这些问题在独立上下文中使用 Jinja 时存在。

PySpark （支持的版本：3.5）

PySpark 是 Apache Spark 数据分析引擎的 Python 库。它旨在使开发人员能够执行分布式计算，以便对大规模数据集进行实时数据处理和分析。对 PySpark 的初步支持涵盖五个现有类别。

Android KTX（支持的版本：1.13）

Android KTX 代表 Android Kotlin 扩展，这是一组 Kotlin 扩展函数和属性，为使用 Kotlin 编写 Android 应用程序提供了一种更简洁、更富有表现力的方式。当在其 Android 应用程序中使用 Android KTX 时，客户可以预期所有数据流类别的结果都得到改善。

Salesforce Apex 和 Visualforce 改进（支持的版本：60）

Salesforce Apex 是用于创建 Salesforce 应用程序（如业务事务、数据库管理、Web 服务和 Visualforce 页面）的编程语言。对类别覆盖范围的改进涵盖 10 个现有类别，包括以下新类别：

设置作：用户控制的审批作

ABAP 改进（支持的版本：7.58）

ABAP（高级业务应用程序编程）是 SAP 的主要编程语言，用于在 SAP 生态系统中开发强大的业务应用程序。它支持程序和面向对象的范式，与 SAP 的数据和应用程序框架无缝集成，并支持广泛的企业级解决方案。对类别覆盖范围的改进涵盖 11 个现有类别，并在 ABAP 应用程序中增加了对以下类别的支持：

拒绝服务：正则表达式

不安全的运输

缺少 XML 验证

路径作：Zip 条目覆盖

服务器端请求伪造

设置作

未发布的资源：数据库

未发布资源：套接字

XML 实体扩展注入

XML 外部实体注入

XML 注入

OkHttp（支持的版本：4.12）

OkHttp 是一个 Java/Kotlin/Android 库，用于建立客户端 HTTP 会话。它支持 HTTP/2 协议（或在 HTTP/2 不可用时使用连接池）并执行透明的 GZIP作;所有这些都是为了优化网络性能。该库还提供易于使用的请求/响应 API，支持现代 TLS 加密功能，并允许同步或异步响应处理。初始支持检测到跨越 10 个现有类别的弱点。

提示注入：持续

“Prompt Injection：Persistent”类别已作为 Prompt Injection 的扩展引入，其中提示输入源自持久性数据存储。当使用具有潜在危险的输入来构建 AI 模型的系统提示符，从而导致意外和潜在危险的行为时，将报告此类别。这个新类别的覆盖范围涵盖多个 AI 相关库和框架，包括 Java、JavaScript、Kotlin、Python、Scala 和 TypeScript。

PCI DSS 4.0.1

支付卡行业 （PCI） 数据安全标准 （DSS） 是一套旨在保护持卡人数据和账户信息的指南。为了在合规性方面支持我们的电子商务和金融服务客户，此版本支持将我们的 Fortify 分类类别与最新版本的支付卡行业数据安全标准版本 4.0.1 中指定的要求相关联。

2024 CWE Top 25

常见弱点枚举 （CWE） 前 25 名最危险的软件弱点（CWE 前 25 名）于 2019 年推出，取代了 SANS 前 25 名。2024 年 CWE 前 25 名于 2024 年 11 月发布，使用启发式公式确定，该公式将过去两年中报告给国家漏洞数据库 （NVD） 的漏洞的频率和严重性标准化。为了支持希望围绕 NVD 中最常报告的关键漏洞进行优先审计的客户，我们添加了 Fortify 分类与 2024 年 CWE 前 25 名的相关性。

MISRA C++ 2023 支持

MISRA 是制造商、组件供应商、学术界和工程咨询公司之间的合作，旨在推广跨安全和安保相关电子系统以及其他软件密集型应用的最佳实践。MISRA C++ 2023 指南为 C++ 编程提供了指导，以帮助识别将对程序安全性、安全性和可靠性产生负面影响的代码和编码实践。为了支持寻求符合 MISRA C++ 2023 的客户，添加了 Fortify 分类法与具有安全影响的 MISRA C++ 2023 指南的关联。

其他勘误表

在此版本中，我们投入了资源来减少误报问题的数量，重构以实现一致性，并提高客户审核问题的能力。客户还可以看到与以下内容相关的报告问题的变化：

减少误报和其他显著的检测改进

在此版本中，我们仍在努力消除误报。客户可以期待进一步消除误报，以及与以下方面相关的其他显著改进：

动态代码评估：不安全的反序列化 – 减少 Android 应用程序中的误报

不安全随机性 – 减少 Golang 应用程序中 TLS 配置的误报

不安全的传输：弱 SSL 协议 – 使用 OpenSSL 减少 C/C++ 应用程序中的误报

隐私侵犯 – 在 Visual Basic 应用程序中检测到的新问题

系统信息泄漏 – Salesforce Apex/Visualforce 应用程序中的误报减少

未发布的资源：数据库 – 在使用 SQLite 数据库的 Android 应用程序中检测到的新问题

未发布的资源：Streams – 减少了 Java 应用程序中的误报

 Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将对数千个漏洞的检查与策略相结合，这些策略可指导客户使用 SmartUpdate 立即获得以下更新。

漏洞支持

动态代码评估：不安全的反序列化

使用 Python Pickle 库反序列化用户提供的或不受信任的数据可能会导致在反序列化过程中执行动态代码。此版本包括一项检查，用于检测受影响的 Web 应用程序中 Python Pickle 库的不安全使用。

HTML5：已弃用的标头

HTTP 标头是在客户端和服务器之间发送的键值对，用于提供其他信息来处理 HTTP 请求和响应。当浏览器供应商不再维护、支持或增强某些 HTTP 标头的实现时，它们会将这些标头标记为已弃用。使用这些标头可能会产生虚假的安全感并增加网站的漏洞。该版本新增 X-XSS-Protection 头是否开启检查。

不安全部署：未修补的应用程序 （2024-38474）

Apache HTTP Server 容易受到 CVE-2024-38474 识别的文件名混淆攻击。Apache HTTP Server 2.4.59 及更早版本中的 mod_rewrite 中存在替换编码问题，使攻击者能够在配置允许但无法通过任何 URL 访问的目录中执行脚本，或公开应仅作为 CGI 运行的脚本的源代码。这会导致代码执行或源代码泄露。此版本包含用于检测 Apache HTTP Server 中的此漏洞的检查。

合规性报告

PCI DSS 4.0.1

支付卡行业 （PCI） 数据安全标准 （DSS） 是一套旨在保护持卡人数据和账户信息的指南。为了支持我们的电子商务和金融服务客户的合规性需求，此版本包含 WebInspect 检查与最新版本的支付卡行业数据安全标准 4.0.1 版中指定的要求的关联。

2024 CWE Top 25

常见弱点枚举 （CWE） 前 25 名最危险的软件弱点（CWE 前 25 名）于 2019 年推出，取代了 SANS 前 25 名。2024 年 CWE 前 25 名于 11 月发布，使用启发式公式确定，该公式对过去两年中向国家漏洞数据库 （NVD） 报告的漏洞的频率和严重性进行了标准化。此 SecureBase 更新包括直接映射到 CWE 前 25 名标识的类别的检查，或通过“ChildOf”关系与前 25 名中的 CWE-ID 相关的 CWE-ID。

策略更新

PCI DSS 4.0.1

已将自定义策略以包括与 PCI DSS 4.0.1 相关的检查添加到受支持策略的 WebInspect SecureBase 列表中。

2024 CWE Top 25

已将自定义策略以包括与 2024 年 CWE 前 25 名相关的检查添加到受支持策略的 WebInspect SecureBase 列表中。

其他勘误表

在此版本中，我们投入了资源来进一步减少误报的数量并提高客户审计问题的能力。客户还可以看到与以下方面相关的报告结果发生变化。

RubyCE_Audit_Mode

RubyCE_Audit_Mode 的显示名称从 Aggressive_Audit 更改为 RubyCE_Audit_Mode。

启用 DoS 测试

AllowDenialOfServiceTesting 的显示名称已从“启用 DoS 测试”更改为“允许拒绝服务 （DoS） 测试”。

Fortify Premium 内容

研究团队构建、扩展和维护我们核心安全情报产品之外的各种资源。

PCI DSS 4.0.1 和 2024 CWE 前 25 名

为了配合新的相关性，此版本还包含 Fortify Software Security Center 的新报告包，支持 PCI DSS 4.0.1、MISRA C++ 2023 和 2024 CWE Top 25，可从 OpenText 应用程序安全客户门户的优质内容下下载。

OpenText Fortify 分类法：软件安全错误

OpenText Fortify Taxonomy 站点包含新添加的类别支持的描述，可在网站获取。