關於 OpenText Fortify 軟體安全研究
Fortify 軟體安全研究團隊通過將前沿研究轉化為安全情報來為 Fortify 產品組合提供支援——包括 OpenText Fortify 靜態分析器 (SCA) 系列和 WebInspect。 如今,Fortify 軟體安全內容支援 33+ 種語言的 1,657 個漏洞類別,涵蓋超過 100 萬個單獨的 API。
Fortify Software Security Research (SSR) 很高興地宣布 Fortify Secure Coding RulePacks(英文版,2023 版)現已推出。4.0)、Fortify WebInspect SecureBase(通過 SmartUpdate 提供)和 Fortify Premium Content。
Fortify 安全編碼規則包 [FortifySCA]。
在此版本中,Fortify Secure Coding Rulepack 可檢測 33+ 種語言的 1,432 個獨特類別的漏洞,涵蓋超過 100 萬個單獨的 API。
總之,此版本包括以下內容:
改進了對 python 的支援(支援的版本:3.)12)
Python 是一種通用的、功能強大的程式語言,具有動態型別和高效的高階資料結構。 它支援各種程式設計正規化,包括結構化、物件導向和函式式程式設計。 此版本將我們的覆蓋範圍擴充套件到最新版本的 Python,擴充套件了我們對 Python 標準庫 API 更改的支援。 更新了以下模組的現有規則覆蓋率:
ospathlib
tomllib
改進了對 Django 的支援(支援的版本:4。2)
Django 是乙個用 Python 編寫的 Web 框架,用於促進安全和快速的 Web 開發。 開發的速度和安全性是通過框架中的高度抽象來實現的,其中構造和生成用於大幅減少樣板。 在此版本中,我們更新了現有的 Django 覆蓋範圍以支援以下版本。 1 和 42。
改進的覆蓋範圍包括以下命名空間:asyncio、djangocore.cache.backends.base.basecache、django.db.models.模型和 Djangomiddleware.security.securitymiddleware。此外,我們還改進了“弱點”類別的覆蓋範圍,其中包括以下內容:
header manipulation
insecure cross-origin opener policy
resource injection
setting manipulation
PyCryptoDome 和 PyCrypto(支援的版本:3.)19.0)
PyCryptoDome 是乙個獨立的 Python 包,它提供了全面的加密演算法和協議集合。 它是 pycrypto 庫的擴充套件且更積極維護的版本。 PyCryptoDOME 旨在提供廣泛的加密功能,使其成為需要在其 Python 應用程式中進行安全通訊、資料保護和加密操作的開發人員的多功能選擇。
漏洞類別的初始覆蓋範圍包括以下內容:
key management: empty encryption key
key management: empty pbe password
key management: hardcoded encryption key
key management: hardcoded hmac key
key management: hardcoded pbe password
key management: unencrypted private key
password management: hardcoded password
password management: lack of key derivation function
password management: password in comment
weak cryptographic hash
weak cryptographic hash: hardcoded pbe salt
weak cryptographic hash: insecure pbe iteration count
weak cryptographic hash: predictable salt
weak cryptographic signature: insufficient key size
weak encryption
weak encryption: insecure initialization vector
weak encryption: insecure mode of operation
weak encryption: insufficient key size
weak encryption: stream cipher
weak encryption: user-controlled key size
檢測源自機器 習 (ML) 和人工智慧 (AI) 模型的風險
隨著生成式人工智慧和大型語言模型 (LLM) 的使用迅速改變了軟體行業的解決方案空間,新的風險也隨之而來。 初始 Fortify 支援涵蓋使用 OpenAI API、Amazon Web Services (AWS) SageMaker 或 Langchain 的 Python 專案。 支援檢測由 AI ML 模型 API 響應中的隱式信任導致的弱點,以及以下獨特功能:
對 Python OpenAI API 的初始支援(支援的版本:1.)3.8)
OpenAI Python 庫使開發人員能夠方便地訪問 OpenAI REST API,以與 GPT-4 和 DALL-E 等 OpenAI 模型進行互動。 OpenAI API 使應用程式能夠向 OpenAI 模型傳送提示並接收生成的響應,以及微調現有模型。 OpenAI Python 模組支援傳送和接收由 HTTPX 提供支援的非同步和同步請求的能力。 支援包括識別模型的潛在危險輸出以及以下新類別:
跨站點指令碼:AI
對 Python AWS SageMaker (BOTO3) 的初始支援(支援的版本:1。33.9)
AWS SageMaker 是 Amazon AWS Large Services 的產品。 AWS SageMaker 提供了廣泛的工具來支援各種 ML 專案,從訓練自定義模型到設定完整的 MLoP 支援的開發管道。 Amazon 的 Python 開發工具包 (BOTO3) 允許與各種 AWS 產品(包括 AWS SageMaker)進行通訊。 支援包括識別模型的潛在危險輸出以及以下新類別:
跨站點指令碼:AI
對 Python Langchain 的初始支援(支援的版本:0..)0.338
LangChain 是乙個流行的開源編排框架,用於使用大型語言模型 (LLM) 開發應用程式。 LangChain提供的工具和API可以更輕鬆地建立LLM驅動的應用程式,例如聊天機械人和虛擬應用程式**。 它們可作為基於 Python 和 J**Ascript 的庫使用。 支援包括識別模型的潛在危險輸出、檢測路徑操作以及以下新類別:
跨站點指令碼:AI
.NET 8 支援(支援的版本:8。0.0).net 8 support (version supported:8.0.0)
如。.NET 7 的後繼者,.NET 8 是乙個跨平台、免費和開源的開發框架,使程式設計師能夠使用一組標準化的 API 以不同的語言(如 C 和 VB)編寫應用程式。 此版本將我們的覆蓋範圍擴充套件到最新版本的.NET 改進了對新 API 和現有 API 中弱點的檢測。
擴充套件覆蓋範圍涵蓋以下命名空間:
collections.frozen
net.http.json
system
security
texttext.unicode
net.http
j**a 簡化加密 (Jasypt) (支援的版本: 1.)9.3)
J**A 簡化加密 (Jasypt) 是乙個小型的 J**A 庫,用於執行基於密碼的加密和建立用於儲存的密碼摘要。 它與流行的 J**A 框架(如 Spring、Wicket 和 Hibernate)整合。
insecure randomness
key management: null pbe password
privacy violation: heap inspection
setting manipulation
weak cryptographic hash: empty pbe salt
weak cryptographic hash: user-controlled pbe salt
weak encryption
ecmascript 2023
eMascript 2023,也稱為 es2023 或 es14,是 j**ascript 語言的 ecmascript 標準的最新版本。 ES2023 的主要功能包括新的陣列函式,允許通過從末尾複製和搜尋來更改它們。 對 ES2023 的支援將所有相關 j**ascript 漏洞類別的覆蓋範圍擴充套件到最新版本的 eMascript 標準。
原型汙染
原型汙染是 j**ascript 應用程式中的乙個漏洞,它使惡意使用者能夠繞過或影響業務邏輯,並可能執行自己的邏輯。
此規則包更新可檢測攻擊者是否可以汙染以下 npm 包中的物件原型:
assign-deep
deapdeep-extend
defaults-deep
dot-prop
hoeklodash
mergemerge-deep
merge-objects
merge-options
merge-recursive
mixin-deep
object-path
pathval
Kubernetes 配置
Kubernetes 是一種開源容器管理解決方案,用於自動部署、擴充套件和管理容器化應用程式。 它提供了以容器為中心的基礎設施抽象,消除了對底層基礎設施的依賴,支援可移植部署,並簡化了複雜分布式系統的管理。 改進的漏洞類別覆蓋範圍包括:
Kubernetes 配置錯誤:對 API 伺服器的網路訪問控制不當。
Kubernetes 配置錯誤:CronJob 的訪問控制不當。
Kubernetes 配置錯誤:Daemonset 訪問控制不當。
Kubernetes 配置錯誤:部署訪問控制不當。
Kubernetes 配置錯誤:作業訪問控制不當。
Kubernetes 配置錯誤:Pod 訪問控制不當。
Kubernetes 配置錯誤:RBAC 訪問控制不當。
Kubernetes 配置錯誤:ReplicaSet 訪問控制不正確。
Kubernetes 配置錯誤:複製控制器訪問控制不正確。
Kubernetes 配置錯誤:對有狀態副本集的訪問控制不當。
Kubernetes 配置錯誤:不安全的機密傳輸。
Kubernetes 配置錯誤:kubelet 日誌記錄不足。
Kubernetes 配置錯誤:排程程式系統資訊洩露。
Kubernetes 配置錯誤:kubelet 資源消耗不受控制。
Kubernetes terraform 配置錯誤:守護程式設定了不正確的訪問控制。
kubernetes terraform
kubernetes terraform
Kubernetes terraform 配置錯誤:Pod 訪問控制不當。
Kubernetes Terraform 配置錯誤:對 Pod 網路的訪問控制不當。
Kubernetes Terraform 配置錯誤:RBAC 訪問控制不當
kubernetes terraform
Kubernetes Terraform 配置錯誤:有狀態集訪問控制不正確。
Kubernetes Terraform 配置錯誤:機密傳輸不安全。
disastig 5.3
為了在合規性領域為我們的聯邦客戶提供支援,我們已將 Fortify 分類法新增到美國國防資訊系統局 (DISA) 應用程式安全和開發 STIG 版本 5 中三、
OWASP MOBILE 2023 年十大風險
開放全球應用安全專案 (OWASP) 2023 年十大移動風險旨在提高對移動安全風險的認識,並教育參與移動應用程式開發和維護的人員。 為了支援希望降低其 Web 應用程式風險的客戶,我們在 OWASP Mobile TOP 10 2023 的初始版本中新增了 Fortify 分類法的相關性。
其他勘誤表
在此版本中,我們投入了資源,以確保能夠減少誤報數量、重構一致性並提高客戶審查問題的能力。 客戶還可以檢視與以下方面相關的報告問題的更改:
棄用 20x
Fortify Static Code Analyzer 的早期版本正如我們在 2023 年所寫的如 3 發布公告中所述,20 支援此功能x 之前的靜態分析器版本的規則包的最後乙個版本。 對於此版本,20x 之前的靜態分析器版本不會載入規則包。 這將需要降級規則包或公升級靜態分析器的版本。 對於將來的版本,我們將繼續支援靜態程式碼分析器的最後四個主要版本。
減少誤報和其他重大檢測改進
我們一直在努力消除此版本中的誤報。 客戶可以期待進一步消除誤報,以及與以下方面相關的其他重大改進:
.NET 錯誤配置:ASP 中的持久身份驗證。 使用 Forms 身份驗證服務在 .NET 應用程式中刪除了誤報。
憑據管理:硬編碼的 API 憑據可消除與 HTTP 持有者令牌相關的機密掃瞄中的誤報。
憑據管理:硬編碼的 API 憑據 檢測到 Ature API 金鑰的新問題。
使用“express”進行跨站點請求偽造js“ j**ascript 框架。
跨站點指令碼 在使用“HTML 模板”包的 Go 應用程式中檢測到乙個新問題。
跨站點指令碼:使用“ListControl”類反映在 asp 中在 .NET 應用程式中刪除了誤報。
拒絕服務:格式字串錯誤地對映到 OWASP 的前 10 個類別。
ASP 中的不安全傳輸。 與處理專用使用者資料的控制器方法相關在 .NET 應用程式中刪除了誤報。
不安全的傳輸:使用“smtplib”進行郵件傳輸。smtp'類。
金鑰管理:硬編碼加密金鑰 在使用“rsakeygenparameterspec”類的 J**A 應用程式中刪除了誤報。
鏈結注入:缺少驗證 使用“wkn**igationdelegate”協議[2]刪除了 SWIFT 和 Objective-C 應用程式中的誤報。
批量分配:不安全的 Binder 配置 使用 Jakarta EE API 從 J**A 應用程式中刪除了誤報
密碼管理:配置檔案中的密碼 誤報將從配置檔案中刪除。
路徑操作 在上載檔案的 PHP 應用程式中檢測到乙個新問題。
SQL 注入:在使用 MarsDB 資料庫的 nodejs 應用程式中檢測到的新問題。
SQL 注入:MyBatis Mapper 在 MyBatis Mapper XML 檔案中檢測到的新問題。
字串終止錯誤 刪除了使用“printf()”及其變體的 C C++ 應用程式中的誤報。
系統資訊洩漏:不完整的 Servlet 錯誤處理 刪除了 j**a 應用程式中的誤報。
弱加密:不安全的初始化向量 刪除了使用“pycryptodome”庫的 python 應用程式中的誤報。
未發布的資源:流使用“j**a”。nio.file“API。
與 VisualForce 應用程式中的使用者配置檔案資訊相關的各種資料流誤報。
類別名稱更改
當漏洞類別名稱發生更改時,將先前掃瞄的分析結果與新掃瞄合併可能會導致類別的新增和刪除。
為了提高一致性,重新命名了以下兩個類別:
fortify securebase [fortify webinspect]
Fortify SecureBase 將對數千個漏洞的審查與指導使用者立即通過 SmartUpdate 獲取以下更新的策略相結合。
漏洞支援
訪問控制:管理介面
此版本包括一項檢查,用於在閘道器執行程式端點啟用、公開且不安全時檢測 Spring Cloud Gateway 的不安全配置。 在這種情況下,攻擊者可以建立新路由並代表應用程式訪問內部或敏感資產。 這可能導致雲元資料金鑰盜竊、內部應用程式洩露或拒絕服務 (DoS) 攻擊。
表示式語言注入:spring
Spring Cloud Gateway 版本。 0.0 到 30.6 及以下 30.版本 0 包含由 CVE-2022-22947 標識的安全漏洞。 當閘道器執行器端點啟用、公開且不安全時,此漏洞允許注入攻擊。 此版本包括一項檢查,用於在使用受影響的 Spring Cloud Gateway 版本的目標伺服器上檢測此漏洞是否存在。
不安全的部署:未修補的應用程式
TeamCity 本地伺服器版本 202305.3 及更早版本容易繞過身份驗證,使未經身份驗證的攻擊者能夠在伺服器上獲取遠端執行 (RCE)。 該漏洞已被CVE-2023-42793識別。 此版本包括一項檢查,用於在目標伺服器上檢測此漏洞。
資訊發現:未記錄的 API
未記錄或有限的 API 端點文件可能會為攻擊者提供未充分測試安全漏洞的攻擊面。 攻擊者可能會執行偵測,以發現已棄用、未修補和未維護的終結點,這些終結點可以訪問敏感資訊或危險功能。 此版本包括一項檢查,用於發現可訪問但未在 API 規範文件中定義的受版本控制的 API 端點。
合規報告
disastig 5.3
為了支援我們的聯邦客戶合規性需求,此版本包括使用最新版本的國防資訊系統局應用程式安全和開發 (DISA) STIG 版本 5 進行 WebInspect 檢查三、
政策更新
disastig 5.3
自定義策略以包含與 Disa stig 5 相同的策略3 個相關檢查,已新增到支援的策略的 WebInspect SecureBase 列表中。
其他勘誤表
在此版本中,我們投入了資源來進一步減少誤報數量,並提高客戶檢視問題的能力。 客戶還可以檢視與以下方面相關的報告結果的更改:
不安全的傳輸:SSLV3 TLS 重新協商流
tls1.3 不支援重新協商。 此版本包括對重新協商流注入檢查的改進,以減少誤報並提高結果的準確性。
HTML5:跨站點指令碼保護
x-xss-protection 標頭在所有現代瀏覽器中均已棄用。 在此版本中,我們嘲笑了標頭檢查是否缺少或配置錯誤。
強化優質內容
研究團隊在我們的核心安全情報產品之外構建、擴充套件和維護各種資源。
disa stig 5.3 和 OWASP Mobile Top 10 2023 為了與新的相關性相吻合,此版本還包括乙個新的報告包, OpenTextFortify 軟體安全中心支援 Disa STIG 53 和 OWASP Mobile Top 10 2023,5 月從 Fortify 客戶支援門戶的“高階內容**”下。
Fortify 分類法:軟體安全錯誤
1] Langchain還很新。生產使用前必須仔細考慮安全性。
2] Fortify 原始碼分析器 231 或更高版本。
聯絡 Fortify 客戶支援