Команда Fortify Software Security Research преобразует передовые исследования в аналитику безопасности, которая лежит в основе портфеля продуктов Fortify, включая Fortify Static Code Analyzer (SCA) и Fortify WebInspect. Сегодня контент по безопасности программного обеспечения Fortify поддерживает 1399 категорий уязвимостей на 30 языках, охватывая более 1 миллиона отдельных API.

Компания Fortify Software Security Research (SSR) рада сообщить о немедленной доступности обновлений для пакетов правил безопасного кодирования Fortify (английская версия, версия 2023.1.0), Fortify WebInspect SecureBase (доступно через SmartUpdate) и Fortify Premium Content.

Пакет правил безопасного кодирования Fortify [Fortify статический анализатор кода]

В этом выпуске пакет правил безопасного кодирования Fortify обнаруживает 1177 уникальных классов уязвимостей на 30 языках программирования и в более чем 1 миллионе отдельных API. Вкратце, этот выпуск включает в себя следующее:

Обновления GoLang (поддерживаемые версии: 1.17)

Обновлена ​​поддержка стандартной библиотеки Go до версии 1.17. Go — это статически типизированный язык с открытым исходным кодом, разработанный Google для упрощения создания простого, надежного и эффективного программного обеспечения. Go синтаксически похож на C, но имеет механизмы безопасности памяти, сборку мусора и типы структур. Это обновление улучшает покрытие пространства имен стандартной библиотеки и включает в себя следующие дополнительные категории:

• Header Manipulation: SMTP
• Mail Command Injection: SMTP

Поддержка улучшает обнаружение уязвимостей в рамках существующего пространства имен и распространяется на следующие новые пространства имен:

• io/fs
• math/big
• math/random
• net/smtp
• net/textproto
• text/template

Python Обновление (поддерживаемая версия: 3.10) Python Это мощный язык программирования общего назначения с динамической типизацией и эффективными структурами данных высокого уровня. Он поддерживает несколько парадигм программирования, включая структурированное, объектно-ориентированное и функциональное программирование. Эта версия расширяет Python стандартная библиотека API Изменена поддержка, добавлена ​​в нашу Python 3.10 покрытие. Обновленные категории включают в себя:

• операции пути
• Вторжение в частную жизнь
• Утечка системной информации

ECMAScript Обновлено (поддерживаемые версии: 2022 г.)[1] ECMAScript 2022, также известный как ES2022 или ES12, да JavaScript лингвистический ECMAScript Последняя версия стандарта. Ключевыми особенностями ES2022 являются частные методы и методы доступа, расширенные числовые литералы, логические операторы присваивания и улучшенная обработка ошибок. верно ES2022 Поддержка будет оказана всем соответствующим JavaScript Охват категорий уязвимостей расширен до последних версий ECMAScript стандарт.

Vue 2（поддерживатьиз Версия：2.7） верно Vue 2 первоначальная поддержка. Вю это адаптивная платформа с открытым исходным кодом для всех ECMAScript 5 Создавайте пользовательские интерфейсы и одностраничные приложения, совместимые с браузерами. Вю сосредоточиться на Web Уровень представления приложения служит как Angular и React Создан как минималистская альтернатива обычным фреймворкам.

Обновление iOS SDK (поддерживаемые версии: 16)[2]

Apple iOS SDK предоставляет ряд платформ, которые позволяют разработчикам Создавайте мобильные приложения для устройств iPhone и iPad. Эта версия содержит верно iOS SDK верно Swift и Objective-C из поддержки из приращения возобновить. Расширены новые правила изивозобновления iOS SDK 15 и 16 середина Swift iOS и iPadOS Приложение DataDetection、Foundation、Security、SwiftUI и UIKit в рамке API Покрытие. Эти обновления улучшают обнаружение проблем для многих существующих категорий уязвимостей, в том числе:

• Biometric Authentication: Insufficient Touch ID Protection
• Format String
• Insecure Transport: Weak SSL Protocol
• Log Forging
• Privacy Violation
• System Information Leak: External
• System Information Leak: Internal
• Weak Encryption: Inadequate RSA Padding

также,этот Версиясередина Верните иглуверно iOS и iPadOS Для приложений введены две новые категории уязвимостей:

• Insecure Storage: Persistent Named Pasteboard
• Insecure Storage: Universal Clipboard

Salesforce Apex и Visualforce Обновления (поддерживаемая версия: v57)[3] Salesforce Apexиспользуется для создания приложений Salesforce (таких как бизнес-транзакции, управление базами данных, веб-службы и страницы Visualforce) и языка программирования. Это возобновлениелучушить нас верно Apex v57 API и Visualforce API из поддержки. В дополнение к улучшению существующих категорий уязвимостей, мы Apex Также была добавлена ​​поддержка следующего:

• Cross-Site Request Forgery
• Poor Error Handling: Empty Catch Block
• Unsafe Reflection

Кроме того, для приложений Apex были введены следующие новые категории уязвимостей:

Контроль доступа: правила общего доступа не соблюдаются.

использовать Java Apache Beam верно Google Dataflow Начальная поддержка (Поддерживаемые версии: 2.46.0) Apache Beam да Унифицированная модель программирования с открытым исходным кодом для построения конвейеров обработки данных, которые могут работать на различных серверных модулях обработки данных. верноApache Первоначальная поддержка Beam поддерживает конвейеры обработки данных, такие как Google. Dataflow, ограниченный языком программирования Java, распознает Apache. Источник данных серединаиз лучевого конвейера. Поддержка поддержки существования Apache Beam Конвертировать отчет середина, связанный с Java Категории уязвимостей, такие как внедрение команд, нарушение конфиденциальности и подделка журналов.

.NET 7 (Поддерживаемые версии: 7.0) .NET да — общая платформа программирования, которая позволяет программистам использовать набор стандартизированных API использовать C# и http://VB.NET Пишите код на других языках. В этом выпуске мы расширяем охват до последних версий .NET улучшает поток данных и расширяет следующие категории API Охват:

• Отказ в обслуживании: регулярные выражения
• операции пути
• операции пути：Zip Переопределение записи
• Разрешение операции
• Вторжение в частную жизнь
• Установить операцию
• Утечка системной информации

http://ASP.NET Core 7 (поддерживаемая версия: 7.0) http://ASP.NET Core используется для .NET флагман Web рамка. Фреймворк включает в себя функциональные возможности для создания нескольких типов из Приложения, включая MVC Web Приложения Web API. В этом выпуске мы расширяем охват до последних версий http://ASP.NET Core, расширяя категории, которые мы поддерживаем, включая:

• Отказ в обслуживании
• Вторжение в частную жизнь
• Установить операцию
• Утечка системной информации

Кроме того, для http://ASP.NET Для приложений введены следующие новые категории уязвимостей:

• http://ASP.NET Ошибка конфигурации: регистрация конфиденциальной информации.

Облачная инфраструктура как код （IaC） IaC дапроходить код вместо различных ручных процессов для управленияконфигурацией компьютерных ресурсов из процесса. поддержка улучшения включает в себя развертывание на AWS и Azure из Terraform Конфигурация, скачать Azure Исследователь （ARM） Покрытие. Часто задаваемые вопросы, связанные с этими сервисами, доводятся до разработчиков.

Amazon AWS и Microsoft Azure Terraform Конфигурация Terraform да Инструмент с открытым исходным кодом «инфраструктура как код» для создания, изменения и управления облачной инфраструктурой. Он использует декларативный язык конфигурации HashiCorp (HCL). Облачная инфраструктура существует. Файл конфигурации середина закодирован для описания желаемого состояния. Терраформировать Поддержка провайдера Microsoft Azure Инфраструктура и Amazon Web Services （AWS） из Конфигурацияуправлатив.Существовать кву Версияседина, отчитываемся Terraform Конфигурацияиз следующих категорий:

• Ошибка конфигурации AWS Terraform: в AMI отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в Aurora отсутствует ключ управления шифрованием клиента.
• AWS Terraform Конфигурацияошибка：Aurora общедоступный
• Ошибка конфигурации AWS Terraform: в CloudTrail отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: общедоступныйиз Служба миграции базы данных
• Ошибка конфигурации AWS Terraform: в DocumentDB отсутствует ключ управления шифрованием клиента
• AWS Terraform Конфигурацияошибка：DocumentDB общедоступный
• Ошибка конфигурации AWS Terraform: в EBS отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в сборщике образов EC2 отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в EFS отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: в Elasticache отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: в кэше файлов отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в FSx Lustre отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: в FSx отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: в FSx ONTAP отсутствует ключ управления клиентом
• Ошибка конфигурации AWS Terraform: в FSx OpenZFS отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: в FSx Windows отсутствует ключ управления шифрованием клиента
• AWS Terraform Ошибка конфигурации: Небезопасно из AMI хранилище
• AWS Terraform Ошибка конфигурации: Небезопасно из Aurora хранилище
• AWS Terraform Ошибка конфигурации: Небезопасно избаза данных документовхранилище
• AWS Terraform Ошибка конфигурации: Небезопасно из EC2 Image Builderхранилище
• AWS Terraform Ошибка конфигурации: Небезопасно из EFS хранилище
• AWS Terraform Ошибка конфигурации: Небезопасно из Neptune хранилище
• AWS Terraform Ошибка конфигурации: Небезопасно изкрасное смещениехранилище
• AWS Terraform Конфигурацияошибка：Aurora Недостаточный мониторинг
• AWS Terraform Ошибка конфигурации: База данных документов Недостаточный. мониторинг
• AWS Terraform Конфигурацияошибка：RDS Недостаточный мониторинг
• Ошибка конфигурации AWS Terraform: в Kinesis отсутствует ключ управления шифрованием клиента
• AWS Terraform Конфигурацияошибка：Lightsail общедоступный
• Ошибка конфигурации AWS Terraform: в службе определения местоположения отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: у Neptune отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в RDS отсутствует ключ управления шифрованием клиента.
• AWS Terraform Конфигурацияошибка：RDS общедоступный
• Ошибка конфигурации AWS Terraform: в Redshift отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации AWS Terraform: в SageMaker отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: отсутствует ключ управления, ключ управления шифрованием клиента
• Ошибка конфигурации AWS Terraform: отсутствует клиент S3 для управления ключом шифрования
• Ошибка конфигурации AWS Terraform: в потоке времени отсутствует ключ управления шифрованием клиента.
• Azure Terraform Ошибка конфигурации: неверная в службе приложений. CORS Стратегия
• Azure Terraform Конфигурацияошибка：когнитивные услуги Неправильный контроль доступа к сети
• Azure Terraform Ошибка конфигурации: Неправильно CosmosDB CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильнофункция CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильно Здравоохранение CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильно IoT серединацентральныйконтроль доступа к сети
• Azure Terraform Ошибка конфигурации: Неправильно IoT середина Сердцеконтроль доступа к сети
• Azure Terraform Ошибка конфигурации: контроль Key Vault доступа к сеть указана неверно
• Azure Terraform Ошибка конфигурации: Неправильное приложение логики CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильномедиа-услугиконтроль доступа к сети
• Azure Terraform Ошибка конфигурации: контроль служебной шины доступа к сеть указана неверно
• Azure Terraform Ошибка конфигурации: Неправильно SignalR CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильно SignalR контроль доступа к сети
• Azure Terraform Ошибка конфигурации: Неправильно Spring Apps CORS Стратегия
• Azure Terraform Ошибка конфигурации: Неправильнохранилище CORS Стратегия
• Azure Terraform Конфигурацияошибка：хранилище Неправильный контроль доступа к сети
• Azure Terraform Ошибка конфигурации: Неправильно Web PubSub Network контроль доступа
• Azure Terraform Ошибка конфигурации: Небезопасно изсобытиесередина Сердцепередача инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно извходная дверьпередача инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно изфункцияпередача инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно из Redis передача инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно изService Busпередачи инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно из SQL База данных передач инфекции
• Azure Terraform Ошибка конфигурации: Небезопасно из SQL Управляемая передача данных инфекции

Microsoft Azure Resource Manager （ARM） Конфигурация ARM да Azure из развернуть иуправлять сервисом. РУКА Предоставляет уровень управления, который можно использовать для создания, возобновления и удаления. Azure Аккаунт серединаиз RESOURCES. существует эта Версиясередина, мы сообщили ARM Конфигурация следующих категорий слабых мест:

• Azure ARM Ошибка конфигурации: Автоматическиизменять Отсутствует ключ управления шифрованием клиента
• Ошибка конфигурации Azure ARM: в пакете отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: в Cognitive Services отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: отсутствует блок данных клиента, управляющий ключом шифрования.
• Ошибка конфигурации Azure ARM: в событии серединасердце отсутствует ключ управления шифрованием клиента.
• Azure ARM Ошибка конфигурации: Небезопасно из CDN передача инфекции
• Ошибка конфигурации Azure ARM: хранилище MySQL небезопасно.
• Ошибка конфигурации Azure ARM: хранилище PostgreSQL небезопасно.
• Azure ARM Ошибка конфигурации: Небезопасно из DataBricks хранилище
• Azure ARM Ошибка конфигурации: Небезопасно изсобытиесередина Сердцехранилище
• Azure ARM Ошибка конфигурации: Небезопасно изсобытиесередина Сердцепередача инфекции
• Azure ARM Ошибка конфигурации: Небезопасно из IoT центрпередача инфекции
• Azure ARM Ошибка конфигурации: Небезопасно из Восстановление сервисной резервной копиихранилище
• Azure ARM Ошибка конфигурации: Небезопасно из Хранилище служб восстановленияхранилище
• Azure ARM Ошибка конфигурации: Небезопасно из Redis предприятиепередача инфекции
• Azure ARM Ошибка конфигурации: Небезопасно из Redis передача инфекции
• Azure ARM Ошибка конфигурации: Небезопасно изслужебный автобусхранилище
• Azure ARM Ошибка конфигурации: Небезопасно изService Busпередачи инфекции
• Azure ARM Ошибка конфигурации: Небезопасно изхранилищесчетхранилище
• Ошибка конфигурации Azure ARM: в середине IoT отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: в NetApp отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: в служебной шине отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: в учетной записи хранилища отсутствует ключ управления шифрованием клиента.
• Ошибка конфигурации Azure ARM: слабая аутентификация службы приложений
• Azure ARM Ошибка конфигурации: слабый сигнал R Аутентификация

Настраиваемый пароль Управление ключом Управление регулярным выражением [4] иногда,существует исходный код середина Единственный способ сопоставлять пароли и шифрование ключей из даиспользовать регулярные выражения, чтобы делать обоснованные предположения. Эти текущие существующие свойства могут быть настроены с помощью физических свойств.,и более единообразным на разных языках,А регулярные выражения по умолчанию были ограничены, чтобы максимизировать ложные срабатывания.

Вы можете использовать одно из следующих свойств Конфигурация глобального регулярного выражения:

com.fortify.sca.rules.key_regex.global или com.fortify.sca.rules.password_regex.global Вы можете установить более конкретные варианты для каждого языка со следующими свойствами:

com.fortify.sca.rules.key_regex.abap com.fortify.sca.rules.key_regex.actionscript com.fortify.sca.rules.key_regex.cfml com.fortify.sca.rules.key_regex.cpp com.fortify.sca.rules.key_regex.golang com.fortify.sca.rules.key_regex.java com.fortify.sca.rules.key_regex.javascript com.fortify.sca.rules.key_regex.jsp com.fortify.sca.rules.key_regex.objc com.fortify.sca.rules.key_regex.php com.fortify.sca.rules.key_regex.python com.fortify.sca.rules.key_regex.ruby com.fortify.sca.rules.key_regex.sql com.fortify.sca.rules.key_regex.swift com.fortify.sca.rules.key_regex.vb com.fortify.sca.rules.password_regex.abap com.fortify.sca.rules.password_regex.actionscript com.fortify.sca.rules.password_regex.cfml com.fortify.sca.rules.password_regex.cobol com.fortify.sca.rules.password_regex.config com.fortify.sca.rules.password_regex.cpp com.fortify.sca.rules.password_regex.docker com.fortify.sca.rules.password_regex.dotnet com.fortify.sca.rules.password_regex.golang com.fortify.sca.rules.password_regex.java com.fortify.sca.rules.password_regex.javascript com.fortify.sca.rules.password_regex.json com.fortify.sca.rules.password_regex.jsp com.fortify.sca.rules.password_regex.objc com.fortify.sca.rules.password_regex.phpcom.fortify.sca.rules.password_regex.properties com.fortify.sca.rules.password_regex.python com.fortify.sca.rules.password_regex.ruby com.fortify.sca.rules.password_regex.sql com.fortify.sca.rules.password_regex.swift com.fortify.sca.rules.password_regex.vbcom.fortify.sca.rules.password_regex.yaml

Дополнительные сведения о регулярном выражении по умолчанию см. в разделе Fortify Руководство пользователя статического анализа кода.

DISA STIG 5.2

Чтобы поддержать наших федеральных клиентов в области соблюдения требований, добавил Fortify Агентство таксономии и оборонных информационных систем （DISA） Безопасность и разработка приложений STIG Версия 5.2 из ассоциации.

PCI DSS 4.0 Чтобы поддержать наших клиентов в сфере электронной коммерции и финансовых услуг с точки зрения действующего соответствия, эта версия поддерживает нас и устанавливает классификация категории по последним версиям стандартов безопасности данных индустрии платежных карт 4.0 Версия середина определяет связь между требованиями.

PCI SSF 1.2 Чтобы существующие области соответствия поддерживали нас среди клиентов электронной коммерции и финансовых услуг, эта версия поддерживает нас и устанавливает Категории классификации и индустрия платежных карт （PCI） стандарты безопасного программного обеспечения （SSS） середина Определение из Нового раздела «Требования к безопасному программному обеспечению и процедура оценки» середина определяет связи между целями контроля как новую структуру безопасности программного обеспечения. （SSF） из части, Версия 1.2。

Другие ошибки существоватьэтот Версиясередина,Ресурсы были инвестированы для того, чтобы мы могли уменьшить количество ложноположительных ошибок.,Согласованность рефакторинга,И улучшите способность клиентов анализировать проблемы. Клиенты также могут ожидать увидеть изменения «Сообщить о проблеме», связанные с:

Удалить «Отказ в обслуживании：Разбор двойника" Отказ в обслуживании удален:проанализировать двойнойкатегория,Потому что эта уязвимость существует толькосуществовать В Java Версия 6 возобновлять 23 Предыдущая версиясередина. использовать Они уязвимы из-за Java Клиенты версии по-прежнему могут скачивать с Fortify Загрузите отдельный пакет правил середина из удаленных правил на Портале поддержки клиентов в разделе «Расширенный контент».

Ложное срабатываниеулучшать Работа продолжается,Приложите все усилия, чтобы устранить это ложное срабатывание Версиясередина. Помимо других улучшений,Клиенты также могут рассчитывать на дальнейшее устранение ложных срабатываний за счет:

• контроль доступ: база данных – Ложные срабатывания уменьшаются, когда данные поступают из базы данных.
• Android Плохая практика: раскрытие ненужных компонентов – когда Android Ресивер отмечен как android：exported=“false” Когда количество ложных срабатываний снижается
• NET MVC Плохая практика: операции контроллера не ограничиваются POST – когдаконтрольустройство操作将其输入直接传递到视图而不更改状态Когда количество ложных срабатываний снижается
• Реквизиты для входауправлять：жестко закодированныйиз API Реквизиты для входа – уже нет на момент предложения google-services.json серединаоказаться
• Реквизиты для входауправлять：жестко закодированныйиз API Реквизиты для входа – уменьшенный Facebook Ложное срабатывание ключа редакции
• межсайтовый скриптинг – удалено в VB6 Windows Приложение Forms середина вызывает ложное срабатывание
• Мертвый код: безымянные поля – Java lambda серединаиз Ложное срабатываниеуменьшать
• Dockerfile Ошибка конфигурации: запутанные зависимости. – использовать ложное срабатывание, когда определение локальной библиотеки уменьшается
• Удалены ложные срабатывания при сообщении о проблемах с потоком данных для существующей логической переменной для всех поддерживаемых языков в нескольких категориях.
• Передача WinAPI Когда функция получает информацию о файле, приложения C/C++ могут быть удалены из нескольких категорий.
• HTTP Загрязнение параметров – уменьшать URL Закодированное значение из ложного срабатывания
• Небезопасный случайный：жестко закодированныйсемяиНебезопасная случайность: начальные значения, контролируемые пользователем – существовать Java приложениесерединаиспользовать Random и SplittableRandom Официальный отчет о времени занятий
• не безопаснохранилище：Неуказанный доступ к связке ключей. Стратегия, небезопасная хранилище: доступная извне связка ключей и Небезопасное хранилище: Пароль Стратегия Не применяется – При применении предложенных средств Свифт iOS Приложение серединаизложного позитива уменьшить
• утечка памяти – Ложное срабатывание при добавлении указателя в описание опции подъемника уменьшенный
• утечка памяти – использовать std：：unique_ptr ложная тревога
• нулевое разыменование – существовать .NET Приложение середина будет 0 Убраны ложные срабатывания при приведении к байтам.
• парольуправлять：жестко закодированныйпароль - самый короткий отзывсерединапарольизложное срабатывание
• Вторжение в частную жизнь：Android внутреннийхранилище – существовать Android приложениесерединаиспользовать EncryptedSharedPreferences вернослонложная тревога
• SOQL-инъекцияиконтроль доступ: база данных – существовать Salesforce Apex приложениесерединаиспользовать getQueryLocator（） При изменении категории уменьшенного ложного срабатывания При изменении имени категории уязвимостей результаты анализа приведут к добавлению/удалению категорий при объединении предыдущих сканирований с новыми.

Для улучшения единообразия были переименованы следующие категории:

• NET Неправильная практика: оставшийся код отладки теперь отображается как существующий. .NET Код середина срабатывает, когда из Ошибка .NET: оставшийся код отладки。

Кроме того, для улучшения межкатегорийного IaC Отчет об ошибке из-за согласованности, эта версиясередина была снова переименована. 121 категории (см. приложение A）。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase Сочетая проверку тысяч уязвимостей со Стратегией, эта Стратегия помогает пользователям SmartUpdate Сейчас доступно следующее возобновление:

Поддержка уязвимостей

Небезопасное развертывание: неисправленное приложение[5]

Кактусы в рамке,Обеспечьте логирование для пользователейи Функция рисования для мониторинга сетиизоборудование。remote_agent.phpфайлы подвержены 1.2.23 до Cacti Версиясередина CVE-2022-46169 Определение удаленного выполнения кода （RCE） Уязвимость от воздействия. использовать Данные опроса пользовательского ввода передаются при вызове метода proc_open poller_id параметр. Поскольку это значение не очищается, злоумышленник может выполнять команды на целевом компьютере. Внедрите эту команду в проблемы с использованием X-Forwarded-For Комбинация заголовка из Аутентификация может привести к тому, что несанкционированный злоумышленник Аутентификацияз скомпрометирует все приложение. Эта версия включает проверку существующих запусков, затронутых Cacti Версияиз обнаруживает эту уязвимость на целевом сервере.

SAML Плохая практика: небезопасное преобразование SAMLновости прошлишифрованиезнак,Обеспечить достоверность и полноту утверждений. Поставщик услуг должен выполнить один из шагов проверки подписи для конвертации. Reference Элемент указывает на данные. Обычно операции преобразования предназначены для выбора только подмножества справочных данных. Но да, злоумышленник может использовать определенные типы преобразований, что приведет к Отказу. в обслуживания, существуют определенные среды середина, даже выполняющие произвольный код. Эта версия включает проверку, разрешает ли поставщик услуг существование XML Эта проверка срабатывает при ссылке на серединаиспользовать небезопасное преобразование типов.

Отчет о соответствии

DISA STIG 5.2 Для поддержки требований соответствия требованиям наших федеральных клиентов этот документ содержит WebInspect Ознакомьтесь с последней версией Агентства оборонных информационных систем Безопасность и разработка приложений STIG 5.2 версияиз ассоциации.

PCI DSS 4.0 Для поддержки наших клиентов в сфере электронной коммерции и финансовых услуг, а также для обеспечения соответствия требованиям этот документ содержит WebInspect Ознакомьтесь с последними версиями стандартов безопасности данных индустрии платежных карт. 4.0 Версия середина указывает, что требуется ассоциация.

PCI SSF 1.2 Для поддержки наших клиентов в сфере электронной коммерции и финансовых услуг, а также для обеспечения соответствия требованиям этот документ содержит WebInspect Свяжитесь с индустрией платежных карт （PCI） стандарты безопасного программного обеспечения （SSS） середина Определение новых «Требований к программному обеспечению безопасности и процедуры оценки» середина Определяет цели контроля из ассоциаций как новую структуру безопасности программного обеспечения （SSF） из части, Версия 1.2。

политикавозобновлять

DISA STIG 5.2 Чтобы включить и DISA STIG 5.2 Похожие из ПРОВЕРКА И НАСТРОЙКА из Стратегия добавлена ​​в WebInspect SecureBase Список поддерживаемых Стратегиисередина.

PCI DSS 4.0 Настройте политику, включив в нее PCI DSS 4.0 Связано с чеками, добавлено в WebInspect SecureBase поддерживатьиз Стратегиясписоксередина。

PCI SSF 1.2 Настройте политику, включив в нее PCI SSF 1.2 Связано с чеками, добавлено в WebInspect SecureBase поддерживатьиз Стратегиясписоксередина。

Другие ошибки существоватьэтот Версиясередина,Мы вложили ресурсы для дальнейшего увеличения количества ложных срабатываний,И улучшите способность клиентов анализировать проблемы. Клиенты также могут ожидать изменений в результатах отчетности, связанных с:

Пароль управляет: Слабый пароль Стратегия[6] Эта версия включает в себя надежную проверку энтропии паролей с тонким улучшением, ее серединное поле пароля/имени пользователя с обнаружением точного пользовательского имени пользователя и поля пароля. Это исправление помогает сократить проверку ID 11496、11498 и 11661 Связанные результаты серединаиз ложных срабатываний.

Укрепляйте премиум-контент

Исследовательская группа существует Мы создаем, расширяем и поддерживаем различные ресурсы в дополнение к нашим основным продуктам для анализа безопасности.

DISA STIG 5.2、PCI SSF 1.2 и PCI DSS 4.0 В соответствии с новой актуальностью эта версия также содержит Fortify Безопасность программного обеспечения середина Сердцеиз Новый пакет отчетов, поддержка DISA STIG 5.2、PCI DSS 4.0 и PCI SSF 1.2, доступно по адресу Fortify Портал поддержки клиентов можно скачать в разделе «Премиум-контент».

Укрепить классификацию:Ошибка безопасности программного обеспечения.

Укрепить классификациювеб-сайт（Содержит новые дополненияизкатегорияподдерживатьизиллюстрировать）Можетсуществовать https://vulncat.fortify.com найден на . Клиенты, ищущие старый сайт с последним поддерживаемым возобновлением, могут сделать это с помощью Fortify Портал поддержки, чтобы получить его.

Приложение A. Переименование категории уязвимостей IaC

[1] Requires Fortify Static Code Analyzer 23.1. [2] New rules for iOS SDK 16 require Fortify Static Code Analyzer 22.2 or later. [3] Requires Fortify Static Code Analyzer 23.1 or later for some new rules that target the Apex v57 APIs. [4] Requires Fortify Static Code Analyzer 23.1. [5] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later. [6] Requires WebInspect 23.1 or later.

О компании Suzhou Walkers Information Technology Co., Ltd.

Контактная информация: 400-028-4008 0512-62382981

Профессиональный поставщик услуг по тестированию и безопасности продукции

Fortify | Webinspect | AppScan | SonarQube | Джиху GitLab

LoadRunner | UFT（QTP) | ALM（QC）

Платиновый партнер Micro Focus | SonarQubeseredinaВся страна закончилась

Джиху Платиновый партнер GitLab | Страновые партнеры HCLсередина