1
您現在的位置:
首頁
/
/
Fortify軟件安全內容 2022 功能更新介紹

Fortify軟件安全內容 2022 功能更新介紹

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發布時間:2022-06-30
  • 訪問量:0

【概要描述】

Fortify軟件安全內容 2022 功能更新介紹

【概要描述】

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發布時間:2022-06-30
  • 訪問量:0
詳情

Fortify軟件安全內容 2022 更新 2

關于 CyberRes Fortify 軟件安全研究

Fortify 軟件安全研究團隊將前沿研究轉化為支持 Fortify 產品組合的安全情報,包括 Fortify 靜態代碼分析器 (SCA)  Fortify WebInspect。如今,Fortify Software Security Content 支持 30 種語言的 1,220 個漏洞類別,并跨越超過一百萬個單獨的 API。

Fortify 軟件安全研究 (SSR) 很高興地宣布 Fortify 安全編碼規則包(英語,版本 2022.2.0)、Fortify WebInspect SecureBase(可通過 SmartUpdate 獲得)和 Fortify 高級內容的更新立即可用。

Fortify安全編碼規則包 [SCA]

在此版本中,Fortify 安全編碼規則包可檢測 30 種編程語言中的 1,000 個獨特類別的漏洞,并跨越超過一百萬個單獨的 API??傊?,此版本包括以下內容:

.NET 改進(支持的版本:6.0

.NET 是一個通用編程平臺,它使程序員能夠使用 C#  VB.NET 等語言編寫代碼,并使用一組標準化的 API。此版本將我們的覆蓋范圍擴大到最新版本的 .NET 以改進數據流,并擴大以下類別的 API 覆蓋范圍:

Access Control: Database

Path Manipulation

Privacy Violation

Server-Side Request Forgery

SQL Injection

System Information Leak: External

Weak Cryptographic Hash: Insecure PBE Iteration Count

Weak Encryption: Insecure Mode of Operation

ASP.NET Core 改進(支持的版本:6.0

ASP.NET Core 是用于 .NET 的旗艦 Web 框架。該框架包括創建多種類型應用程序的功能,包括 MVC Web 應用程序和 Web API。此版本將我們的覆蓋范圍擴大到最新版本的 ASP.NET Core,包括最少的 API,并擴展了我們支持的類別,包括:

 

.NET Attribute Misuse: Authorization Bypass

 

ASP.NET Bad Practices: Compression Over Encrypted WebSocket Connection

 

ASP.NET Middleware Out of Order: Default Cookie Configuration

 

ASP.NET Middleware Out of Order: Insecure Transport

 

ASP.NET Middleware Out of Order: Insufficient Logging

 

ASP.NET Misconfiguration: Insecure Transport

 

Cookie Security: Missing SameSite Attribute

 

Cookie Security: Overly Permissive SameSite Attribute

 

弱加密實現

心理簽名 (CVE-2022-21449) 是橢圓曲線數字簽名算法 (ECDSA)  Java 實現中的一個弱點。此弱點允許攻擊者強制應用程序接受全零數字簽名為有效。易受攻擊的 Java 版本包括:15、16、17  18。如果使用易受攻擊的 Java 版本,攻擊者可以偽造某些類型的 SSL 證書、簽名的 JSON Web 令牌,甚至是 WebAuthn 身份驗證消息。此版本增加了對報告Java 中的弱加密實現的支持。

Jakarta EE 支持(支持的版本:9.0.0

Jakarta EE 以用于開發云原生 Java 應用程序的開源框架的形式提供了供應商中立的、開放的、全面的規范集。它以前被稱為 Java EE(或 J2EE),它是最知名的服務器端 Java 框架之一。此版本增加了對現有 Java EE 覆蓋范圍的改進,涵蓋 52 個弱點類別。

秘密掃描改進

秘密掃描是一種在源代碼和配置文件中搜索和檢測秘密的技術。有時,包含密碼或 API 令牌的配置文件可能會意外泄露到源代碼存儲庫。此版本包括對常見密碼哈希格式的支持。覆蓋范圍包括識別常見密碼哈希格式和產品配置文件中的秘密,包括以下產品:OpenVPN、Windows 遠程桌面、netrc、IntelliJ IDEA、DBeaver、FileZilla、Heroku  DigitalOcean doctl。

為以下類別提供了增強的覆蓋范圍:

Key Management: Empty Encryption Key

 

Key Management: Hardcoded Encryption Key

 

Key Management: Null Encryption Key

 

Password Management: Hardcoded Password

 

Password Management: Password in Configuration File

 

Password Management: Weak Cryptography

 

Express JS 改進(支持的版本:4.x[1]

Express 是一個使用 Node.js 構建 Web 應用程序的框架。它提供路由、錯誤處理、模板、中間件管理和 HTTP 相關實用程序的功能。

在此版本中,我們改進了對以下類別的 Express 4.x 的支持:

Cookie Security: Missing SameSite Attribute

 

Cookie Security: Overly Permissive SameSite Attribute

 

Insecure Transport

 

Path Manipulation

 

Privacy Violation

 

Process Control

 

Setting Manipulation

 

System Information Leak: External

 

JavaScript Handlebars(支持的版本:4.7.7

Handlebars 是一個 JavaScript 庫,旨在制作可重用的 Web 模板。這些模板是 HTML、文本和表達式的組合。表達式直接嵌入在 HTML 代碼中,并充當要由代碼插入的內容的占位符,從而使文檔易于重用。

在此版本中,我們增加了對 Handlebars 4.7.7 的支持,改進了數據流覆蓋范圍,并擴展了以下類別的 API 覆蓋范圍:

Cross-Site Scripting: Handlebars Helper

 

Handlebars Misconfiguration: Escaping Disabled

 

Handlebars Misconfiguration: Prototypes Allowed

 

Log Forging

 

Log Forging (debug)

 

Privacy Violation

 

System Information Leak

 

Template Injection

 

JavaScript Mustache(支持的版本:4.2.0

Mustache 是一個開源的無邏輯模板系統,它提供模板和視圖作為創建動態模板的基礎。模板包含演示格式和代碼,而視圖包含要包含在模板中的數據。

在此版本中,我們添加了對 Mustache 4.2.0 的支持,以識別模板注入的弱點。\

GraphQL.js(支持的版本:16.5.0

GraphQL.js  GraphQL  JavaScript 參考實現,廣泛用于 JavaScript 應用程序。此版本添加了初始 GraphQL 服務器支持,以檢測 GraphQL API 中的以下弱點類別:

Cross-Site Scripting: Inter-Component Communication

 

Cross-Site Scripting: Persistent

 

Cross-Site Scripting: Poor Validation

 

Cross-Site Scripting: Reflected

 

GraphQL Bad Practices: Introspection Enabled

 

GraphQL Bad Practices: GraphiQL Enabled

 

Privacy Violation

 

System Information Leak: External

 

Graphene-Python(支持的版本:3.0.0

Python-Graphene 是用于 Python 應用程序的流行 GraphQL 服務器框架。此版本改進了我們從 2022.1.0 開始的 GraphQL 服務器支持,以檢測 GraphQL API 中的以下弱點類別:

Cross-Site Scripting: Inter-Component Communication

 

Cross-Site Scripting: Persistent

 

Cross-Site Scripting: Poor Validation

 

Cross-Site Scripting: Reflected

 

Privacy Violation

 

System Information Leak: External

 

云基礎設施即代碼

基礎設施即代碼 (IaC) 是通過代碼而不是各種手動過程來管理和供應計算機資源的過程。此版本增加了對 IaC 的擴展支持。支持的技術包括用于部署到 Azure  AWS  Ansible 配置以及用于部署到 Azure  GCP  Terraform 配置?,F在向開發人員報告與上述服務配置相關的常見問題。

Terraform 配置:Terraform 是一種開源基礎設施即代碼工具,用于構建、更改和控制云基礎設施。它使用自己的聲明性語言,稱為 HashiCorp 配置語言 (HCL)。云基礎設施被編入配置文件以描述所需的狀態。

Terraform 提供程序支持Microsoft Azure基礎架構的配置和管理。在此版本中,我們報告了 Microsoft Azure 服務 Terraform 配置的以下類別:

Azure Terraform 配置錯誤:不安全的應用服務傳輸

 

Azure Terraform 配置錯誤:不安全的 CDN 終結點傳輸

 

Azure Terraform 配置錯誤:不安全的函數應用程序傳輸

 

Azure Terraform 配置錯誤:不安全的邏輯應用程序傳輸

 

Azure Terraform 配置錯誤:不安全的 MariaDB 傳輸

 

Azure Terraform 配置錯誤:不安全的 MySQL 傳輸

 

Azure Terraform 配置錯誤:不安全的網絡監視器傳輸

 

Azure Terraform 配置錯誤:不安全的 PostgresSQL 傳輸

 

Azure Terraform 配置錯誤:不安全的 Redis 緩存傳輸

 

Azure Terraform 配置錯誤:不安全的 Spring Cloud Redis 傳輸

 

Azure Terraform 配置錯誤:不安全的 Spring Cloud 傳輸

 

Azure Terraform 配置錯誤:不安全的存儲帳戶傳輸

 

Terraform 提供程序支持Google Cloud Platform (GCP)基礎架構的配置和管理。在此版本中,我們報告了 Google Cloud Platform Terraform 配置的以下類別:

GCP Terraform 不良做法:過于寬松的服務帳戶

 

GCP Terraform 配置錯誤:BigQuery 數據集可公開訪問

 

GCP Terraform 配置錯誤:Cloud DNS DNSSEC 已禁用

 

GCP Terraform 配置錯誤:Cloud KMS CryptoKey 可公開訪問

 

GCP Terraform 配置錯誤:Cloud SQL 備份已禁用

 

GCP Terraform 配置錯誤:可公開訪問的云存儲桶

 

GCP Terraform 配置錯誤:計算引擎訪問控制

 

GCP Terraform 配置錯誤:Compute Engine 默認服務帳號

 

GCP Terraform 配置錯誤:Compute Engine 項目范圍的 SSH

 

GCP Terraform 配置錯誤:Google 項目網絡訪問控制

 

GCP Terraform 配置錯誤:不安全的 Cloud SQL 傳輸

 

GCP Terraform 配置錯誤:不安全的負載均衡器傳輸

 

GCP Terraform 配置錯誤:云存儲桶日志記錄不足

 

GCP Terraform 配置錯誤:GKE 集群日志記錄不足

 

GCP Terraform 配置錯誤:GKE 集群監控不足

 

GCP Terraform 配置錯誤:VPC 流日志記錄不足

 

GCP Terraform 配置錯誤:GKE 集群管理界面訪問控制

 

GCP Terraform 配置錯誤:基于 GKE 集群證書的身份驗證

 

GCP Terraform 配置錯誤:GKE 集群舊版授權

 

GCP Terraform 配置錯誤:GKE 集群 HTTP 基本身份驗證

 

GCP Terraform 配置錯誤:未使用 GKE     Container-Optimized OS

 

GCP Terraform 配置錯誤:GKE 節點自動升級已禁用

 

GCP Terraform 配置錯誤:弱加密云 DNS 簽名

 

GCP Terraform 配置錯誤:GKE 集群網絡管理薄弱

 

GCP Terraform 錯誤配置:弱密鑰管理

 

Ansible 配置:Ansible 是一個開源自動化工具,可為各種環境提供配置管理、應用程序部署、云供應和節點編排。

Ansible 包括支持配置和管理Amazon Web Services (AWS)的模塊。在此版本中,我們報告了 AWS Ansible 配置的以下類別:

AWS Ansible 錯誤配置:Amazon RDS 可公開訪問

 

AWS Ansible 錯誤配置:不安全的 CloudFront 分配傳輸

 

AWS Ansible 配置錯誤:CloudTrail 日志記錄不足

 

Ansible 還包括支持Microsoft Azure 云計算服務的配置和管理的模塊。在此版本中,我們報告了 Microsoft Azure Ansible 配置的以下類別:

Azure Ansible 錯誤配置:過于寬松的 Azure SQL 數據庫防火墻

 

其他勘誤表

在此版本中,我們繼續投入資源以確保我們可以減少誤報問題的數量并提高客戶審核問題的能力??蛻暨€可以期望看到與以下相關的已報告問題的變化:

Log4j(支持的版本:2.17

 Log4j 的支持現在包括檢測新類別拒絕服務:堆棧耗盡。

Oslo.config(支持的版本:8.8.0

 Python  oslo.config 的初始支持包括檢測新類別Privacy Violation: Unobfuscated Logging。

Objective-C 錯誤修復和性能改進

使用 2022R1 規則包掃描包含 Objective-C 文件的項目的客戶可能會遇到以下問題:

在掃描階段,“[error] Unexpected     exception during dataflow analysis...”形式的錯誤消息可能會出現在 SCA 輸出或日志文件中

 

數據流分析中的掃描時間異常長,可能導致數據流丟失問題

 

向受影響的客戶提供了一個 Objective-C 修補程序規則包來解決這些問題。此官方 R2 版本中包含相同的修復程序。使用修補程序規則包的客戶應在更新到 R2 版本規則包時刪除修補程序規則包。

誤報改進:

繼續努力消除此版本中的誤報。除了其他改進之外,客戶還可以期望在以下方面進一步消除誤報:

 

SQL 注入:iBatis 數據映射遇到文字“$”字符時防止誤報

 

密碼管理:配置文件中的密碼當值是變量占位符時防止誤報

 

NET MVC 不良做法:具有必需的不可為空屬性的模型使用 [BindRequired] 屬性時,在 C# ASP.NET 應用程序中防止誤報

 

經常被誤用:身份驗證- Java 應用程序中的誤報減少

 

XSS:內容嗅探- Java Spring 應用程序中的誤報減少

 

隱私違規- .NET 應用程序中的誤報減少

 

SOQL 注入SOSL 注入語義分析器發現的問題現在將以低強化優先級順序報告

 

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 結合了對數千個漏洞的檢查與指導用戶通過 SmartUpdate 立即獲得以下更新的策略:

漏洞支持

OGNL 表達式注入:雙重評估

CVE-2022-26134 發現的一個嚴重的 OGNL 表達式注入漏洞會影響 Atlassian Confluence Server  Data Center。此漏洞允許未經身份驗證的攻擊者在易受攻擊的應用程序上執行任意代碼。Confluence Server  Data Center 受影響的版本是從 1.3.0  7.4.16,從 7.13.0  7.13.6,從 7.14.0  7.14.2,從 7.15.0  7.15.1,從 7.16.0 7.16.3、從 7.17.0  7.17.3  7.18.0。此版本包括一項檢查,以檢測受影響的 Confluence 和數據中心服務器中的此漏洞。

動態代碼評估:代碼注入

已發現 Pivotal  Spring Framework 容易受到 CVE-2022-22965 標識的遠程代碼執行 (RCE) 漏洞的攻擊。遠程攻擊者可以提供可導致任意代碼執行的特制請求參數。此版本包括一項檢查,以檢測受影響 Spring Framework 版本的 Web 應用程序中的此漏洞。

不安全的部署:OpenSSL

OpenSSL 是一種廣泛用于支持 SSL/TLS 連接的流行加密庫,已被發現容易受到 CVE-2022-0778 識別的拒絕服務 (DoS) 漏洞的攻擊。通過制作具有無效顯式橢圓曲線參數的證書,可以在受影響的系統上觸發無限循環 DoS。此版本包括檢測目標 Web 服務器上的 CVE-2022-0778 漏洞的檢查。由于此檢查有可能在受影響的系統上導致 DoS 條件導致其無法提供服務,因此此檢查不包含在標準策略中。使用所有檢查策略、自定義現有策略以包含檢查,或創建自定義策略來運行此檢查。

其他勘誤表

在此版本中,我們繼續投入資源以減少誤報的數量并提高客戶審核問題的能力??蛻暨€可以期望看到與以下相關的報告結果的變化:

密碼管理:弱密碼策略

此版本包括對密碼策略檢查的細微改進,當輸入類型為文本框時,密碼/用戶名字段的識別精度更高。

Fortify優質內容

研究團隊在我們的核心安全情報產品之外構建、擴展和維護各種資源。

強化分類:軟件安全錯誤

Fortify Taxonomy 站點包含對新添加的類別支持的描述,可在網站上找到。尋找具有最新支持更新的舊站點的客戶可以從 Fortify 支持門戶獲取它。

聯系 Fortify 技術支持

關于蘇州華克斯信息科技有限公司

聯系方式:400-028-4008

                0512-62382981

專業的測試及安全產品服務提供商

Fortify | Webinspect | AppScan

SonarQube | 極狐GitLab 

LoadRunner | UFT(QTP) | ALM(QC)

 

Micro Focus 鉑金合作伙伴

SonarQube中國總代理

極狐GitLab鉑金級合伙伴

HCL中國合作伙伴

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發布時間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388號
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這是描述信息

頁面版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved. 

欧美极品少妇做受_色戒完整版在线观看_捏胸吃奶gif动态图
<蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>