Fortify软件安全内容 2023 更新 2

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器 （SCA） 和 Fortify WebInspect。如今，Fortify 软件安全内容支持 31+ 种语言的 1，552 个漏洞类别，涵盖超过 100 万个单独的 API。

Fortify Software Security Research （SSR） 很高兴地宣布立即推出 Fortify Secure Coding Rulepacks（英语，版本 2023.2.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify Premium Content 的更新。

Fortify安全编码规则包 [Fortify静态代码分析器]

在此版本中，Fortify 安全编码规则包可检测 31+ 种语言中的 1，329 个独特类别的漏洞，并跨越超过 100 万个单独的 API。总之，此版本包括以下内容：

支持 Dart（支持的版本：2.19.6）[1] 由 Google 开发的 Dart 软件开发工具包 （SDK） 提供了一种强类型、基于类和垃圾回收的编程语言，用于构建桌面、移动和 Web 应用程序。Dart 允许将应用程序编译为特定于体系结构的机器代码、可移植模块或 JavaScript，具体取决于预期的用例，从而提供了多功能性。借助 Dart，开发人员可以创建带有图形用户界面 （GUI） 的应用程序，使其成为构建各种软件解决方案的灵活选择。支持的类别包括：

• Access Control: Database
• Command Injection
• Denial of Service
• Denial of Service:     Regular Expression
• Header Manipulation
• Insecure Transport
• Open Redirect
• Password Management:     Empty Password
• Password Management:     Hardcoded Password
• Path Manipulation
• Privacy Violation
• Resource Injection
• Server-Side Request     Forgery
• SQL Injection
• System Information Leak
• System Information Leak:     Internal

对 Flutter 的初始支持（支持的版本：3.7.11）[1] Flutter是由Google创建的开源用户界面（UI）SDK，它利用了Dart编程语言的强大功能。它为开发人员提供了一套全面的工具、库和包，以促进跨平台应用程序的创建。借助 Flutter，开发人员可以从单个代码库构建移动、Web 和桌面应用程序，从而简化开发过程并减少时间和精力。通过利用 Flutter 的功能，开发人员可以创建具有视觉吸引力和高性能的应用程序，这些应用程序可以在多个平台上无缝运行。对 Flutter 的支持包括跟踪用户提供的输入、检测 Dart 编程语言支持的所有类别，以及以下专门针对 Flutter GUI 的类别：

• Privacy Violation: Shoulder Surfing
• System Information Leak: Internal

Android13（API 级别：33） Android 平台是专为移动设备设计的开源软件堆栈。Android 的一个主要组件是 Java API 框架，它向应用程序开发人员公开 Android 功能。此版本扩展了利用 Android 的 Java API 框架的 Java 或 Kotlin 编写的原生 Android 应用程序中的漏洞检测。此版本中针对 Android 应用程序引入了五个新的弱点类别：

• Privacy Violation: Android Insecure Indexing
• Privilege Management: Android Nearby Devices
• Privilege Management: Android Notifications
• Privilege Management: Android Read Aural Media
• Privilege Management: Android Read Visual Media

包括其他 Android 更新，以支持检测以下命名空间中的现有弱点类别：

• app
• content
• net
• os
• util
• nio
• security
• security.interfaces

Java SE JDK （支持的版本： 17）Java Platform， Standard Edition （SE） Java Development Kit （JDK） 是一个软件开发包，包含用于开发 Java 应用程序和组件的工具和库。此版本更新了对 Java SE JDK 15、16 和 17 中引入的新 API 的以下命名空间中现有弱点类别的支持：

• io
• lang
• lang.reflect
• net
• nio.channels
• util
• util.random
• util.stream

改进的扫描覆盖范围可能包括在以下类别下确定的其他问题：

• Insecure Randomness
• Insecure Randomness: Hardcoded Seed
• Insecure Randomness: User-Controlled Seed
• Server-Side Request Forgery
• Setting Manipulation
• Unsafe Reflection

Kotlin 标准库更新（支持的版本：1.7.21） Kotlin 是一种具有 Java 互操作性的通用静态类型语言。此版本包括对 Kotlin 版本 1.6 和 1.7 中引入的面向 Java 虚拟机 （JVM） 的新标准库 API 的更新支持。

Secret Scanning Update 是一种在源代码和配置文件中自动搜索机密的技术。在这种情况下，“机密”是指密码、API 令牌、加密密钥和应保密的类似工件。此版本包括对以下类别的秘密扫描的更新支持：

• Credential Management: Hardcoded API Credentials
• Key Management: Hardcoded Encryption Key
• Password Management: Hardcoded Password

此外，以下类别现在支持 PowerShell 脚本中的秘密扫描：

• Password Management: Hardcoded Password
• Privacy Violation

云基础结构即代码 （IaC） 基础结构即代码是通过代码管理和预配计算机资源的过程，而不是各种手动过程。支持技术的扩展覆盖范围包括用于部署到 Amazon Web Services （AWS） 和 Google Cloud Platform （GCP） 的 Terraform 配置，以及 AWS CloudFormation 的配置。与上述这些服务的配置相关的常见问题现在报告给开发人员。

AWS TerraformConfigurations Terraform 是一种开源 IaC 工具，用于构建、更改云基础设施并进行版本控制。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。Terraform 提供商支持 AWS 基础设施的配置和管理。在此版本中，我们报告了 Terraform 配置的以下附加类别：

• AWS Terraform 配置错误：已禁用 Aurora 自动升级
• AWS Terraform 配置错误：CloudWatch 缺少客户管理的加密密钥
• AWS Terraform 配置错误：数据库迁移服务自动升级已禁用
• AWS Terraform 配置错误：已禁用 DocumentDB 自动升级
• AWS Terraform 配置错误：ElastiCache 自动升级已禁用
• AWS Terraform 配置错误：不正确的 API 网关访问控制
• AWS Terraform 配置错误：EC2 网络访问控制不当
• AWS Terraform 配置错误：ECR 访问控制不当
• AWS Terraform 配置错误：不正确的 EKS 网络访问控制
• AWS Terraform 配置错误：ElastiCache 网络访问控制不当
• AWS Terraform 配置错误：不正确的 Lambda 访问控制
• AWS Terraform 配置错误：不正确的 MSK 网络访问控制
• AWS Terraform 配置错误：Neptune 访问控制不当
• AWS Terraform 配置错误：RDS 网络访问控制不当
• AWS Terraform 配置错误：S3 访问控制不当
• AWS Terraform 配置错误：不正确的 VPC 网络访问控制
• AWS Terraform 配置错误：不安全的 API 网关存储
• AWS Terraform 配置错误：不安全的 API 网关传输
• AWS Terraform 配置错误：不安全的应用程序同步存储
• AWS Terraform 配置错误：不安全的雅典娜存储
• AWS Terraform 配置错误：不安全的 CloudFront 传输
• AWS Terraform 配置错误：不安全的 DynamoDB 存储
• AWS Terraform 配置错误：不安全的 EC2 存储
• AWS Terraform 配置错误：不安全的 ECR 存储
• AWS Terraform 配置错误：不安全的 ECS 传输
• AWS Terraform 配置错误：不安全的 EKS 存储
• AWS Terraform 配置错误：不安全的弹性缓存存储
• AWS Terraform 配置错误：不安全的胶水存储
• AWS Terraform 配置错误：不安全的 Kinesis Storage
• AWS Terraform 配置错误：不安全的 MQ 存储
• AWS Terraform 配置错误：不安全的 OpenSearch Service     Storage
• AWS Terraform 配置错误：不安全的开放搜索服务传输
• AWS Terraform 配置错误：不安全的 RDS 传输
• AWS Terraform 配置错误：不安全的 S3 存储
• AWS Terraform 配置错误：不安全的 SageMaker 存储
• AWS Terraform 配置错误：API 网关日志记录不足
• AWS Terraform 配置错误：Aurora 备份不足
• AWS Terraform 配置错误：CloudFront 日志记录不足
• AWS Terraform 配置错误：CloudTrail 日志记录不足
• AWS Terraform 配置错误：EC2 日志记录不足
• AWS Terraform 配置错误：ELB 日志记录不足
• AWS Terraform 配置错误：弹性缓存备份不足
• AWS Terraform 配置错误：弹性缓存日志记录不足
• AWS Terraform 配置错误：全局加速器日志记录不足
• AWS Terraform 配置错误：防护值班监控不足
• AWS Terraform 配置错误：Lambda 日志记录不足
• AWS Terraform 配置错误：OpenSearch Service 日志记录不足
• AWS Terraform 配置错误：RDS 备份不足
• AWS Terraform 配置错误：红移日志记录不足
• AWS Terraform 配置错误：S3 备份不足
• AWS Terraform 配置错误：内存数据库自动升级已禁用
• AWS Terraform 配置错误：MQ 自动升级已禁用
• AWS Terraform 配置错误：Neptune 自动升级已禁用
• AWS Terraform 配置错误：RDS 自动升级已禁用
• AWS Terraform 配置错误：CloudFront 可用性降低
• AWS Terraform 配置错误：ELB 可用性降低
• AWS Terraform 配置错误：堆栈集可用性降低
• AWS Terraform 配置错误：弱认知身份验证
• AWS Terraform 配置错误：弱 IAM 密码策略

GCP Terraform 配置 Terraform 是一种开源基础架构即代码工具，用于构建、更改和版本控制云基础架构。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。地形提供程序支持 GCP 基础结构的配置和管理。在此版本中，我们报告了 GCP 地形配置的以下弱点类别：

• GCP Terraform Misconfiguration: Insufficient Cloud     Load Balancing Logging
• GCP Terraform Misconfiguration: Insufficient Cloud     NAT Logging
• GCP Terraform Misconfiguration: Insufficient Media     CDN Logging
• GCP Terraform Misconfiguration: Insufficient     Operations Suite Logging

AWS CloudFormation 配置 CloudFormation 是 Amazon 提供的一项服务，用于自动预置和配置 AWS 资源。CloudFormation 允许用户使用 JSON 或 YAML 模板管理 AWS 资源。在此版本中，我们报告了 AWS CloudFormation 配置的以下弱点类别：

• AWS CloudFormation 配置错误：AmazonMQ 可公开访问
• AWS CloudFormation 配置错误：备份缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：CloudTrail 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：DataBrew 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：DMS 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：DMS 可公开访问
• AWS CloudFormation 配置错误：DocDB 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：DocDB 弹性缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：DynamoDB 备份已禁用
• AWS CloudFormation 配置错误：EC2 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：ECR 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：EFS 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：ElastiCache 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：FinSpace 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：FSx 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：ImageBuilder 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：不当的 Athena 访问控制
• AWS CloudFormation 配置错误：代码之星访问控制不当
• AWS CloudFormation 配置错误：认知访问控制不当
• AWS CloudFormation 配置错误：ECS 网络访问控制不当
• AWS CloudFormation 配置错误：不正确的 EMR 访问控制
• AWS CloudFormation 配置错误：不正确的 KMS 访问控制
• AWS CloudFormation 配置错误：不正确的 Lambda 网络访问控制
• AWS CloudFormation 配置错误：光帆访问控制不当
• AWS CloudFormation 配置错误：M2 访问控制不当
• AWS CloudFormation 配置错误：不正确的 QLDB 访问控制
• AWS CloudFormation 配置错误：RDS 访问控制不当
• AWS CloudFormation 配置错误：红移访问控制不当
• AWS CloudFormation 配置错误：不正确的 S3 访问控制
• AWS CloudFormation 配置错误：不正确的 SageMaker 访问控制
• AWS CloudFormation 配置错误：不当的 SageMaker 网络访问控制
• AWS CloudFormation 配置错误：无服务器网络访问控制不当
• AWS CloudFormation 配置错误：传输网络访问控制不当
• AWS CloudFormation 配置错误：不安全的 API 网关传输
• AWS CloudFormation 配置错误：不安全的 CloudFront 传输
• AWS CloudFormation 配置错误：不安全的 DAX 存储
• AWS CloudFormation 配置错误：不安全的 ECR 供应链
• AWS CloudFormation 配置错误：不安全的 EFS 存储
• AWS CloudFormation 配置错误：不安全的 ELB 传输
• AWS CloudFormation 配置错误：不安全的弹性搜索存储
• AWS CloudFormation 配置错误：不安全的弹性搜索传输
• AWS CloudFormation 配置错误：不安全的工作区存储
• AWS CloudFormation 配置错误：API 网关日志记录不足
• AWS CloudFormation 配置错误：AppSync 日志记录不足
• AWS CloudFormation 配置错误：CloudFront 日志记录不足
• AWS CloudFormation 配置错误：CloudFront 监控不足
• AWS CloudFormation 配置错误：CloudTrail 监控不足
• AWS CloudFormation 配置错误：配置监控不足
• AWS CloudFormation 配置错误：ECR 监控不足
• AWS CloudFormation 配置错误：ELB 日志记录不足
• AWS CloudFormation 配置错误：弹性负载均衡日志记录不足
• AWS CloudFormation 配置错误：弹性搜索日志记录不足
• AWS CloudFormation 配置错误：防护值班监控不足
• AWS CloudFormation 配置错误：Lambda 日志记录不足
• AWS CloudFormation 配置错误：MQ 日志记录不足
• AWS CloudFormation 配置错误：MSK 日志记录不足
• AWS CloudFormation 配置错误：OpenSearch Service 日志记录不足
• AWS CloudFormation 配置错误：RDS 监控不足
• AWS CloudFormation 配置错误：路由 53 日志记录不足
• AWS CloudFormation 配置错误：无服务器日志记录不足
• AWS CloudFormation 配置错误：堆栈监控不足
• AWS CloudFormation 配置错误：Kinesis 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：Lambda 拒绝服务
• AWS CloudFormation 配置错误：位置缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：日志缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：M2 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：MemoryDB 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：Neptune 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：特权批处理容器
• AWS CloudFormation 配置错误：RDS 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：RDS 可公开访问
• AWS CloudFormation 配置错误：Redshift 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：EC2 可用性降低
• AWS CloudFormation 配置错误：弹性缓存可用性降低
• AWS CloudFormation 配置错误：堆栈可用性降低
• AWS CloudFormation 配置错误：重新识别缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：S3 备份已禁用
• AWS CloudFormation 配置错误：SQS 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：SageMaker 缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：密钥管理器缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：无服务器拒绝服务
• AWS CloudFormation 配置错误：时间流缺少客户管理的加密密钥
• AWS CloudFormation 配置错误：弱 API 网关身份验证
• AWS CloudFormation 配置错误：弱证书管理器身份验证
• AWS CloudFormation 配置错误：弱 IAM 身份验证
• AWS CloudFormation 配置错误：弱 Lambda 身份验证
• AWS CloudFormation 配置错误：RDS 身份验证较弱

可自定义的密码管理正则表达式更新 现在可以使用以下属性指定 Salesforce Apex、Dart 和 PowerShell 脚本的可自定义密码管理正则表达式：

• fortify.sca.rules.password_regex.apex
• fortify.sca.rules.password_regex.dart
• fortify.sca.rules.password_regex.powershell

这些属性可用于覆盖扫描 Salesforce Apex 源代码、Dart 源代码或 PowerShell 脚本时用于标识密码的默认正则表达式。

OWASP 移动应用程序安全验证标准 （MASVS） v2.0.0 OWASP MASVS v2.0.0 标准于 2023 年 4 月发布，作为 OWASP 移动应用程序安全 （MAS） 项目的一部分。它为移动应用程序安全要求提供了基线，旨在供移动软件架构师、开发人员和测试人员使用。OWASP MASVS 2.0旨在关注在移动设备上运行的“客户端”移动应用程序的应用程序安全性。因此，应将其与 OWASP ASVS 结合使用，以评估与远程终结点控制相关的服务器端应用程序安全风险。为了支持我们的客户开发安全的移动应用程序并评估移动应用程序的安全控制覆盖范围和风险缓解，添加了强化分类法与OWASP MASVS v2.0.0的关联。

其他勘误表 在此版本中，已投入资源以确保我们可以减少误报问题的数量，重构一致性，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化：

弃用“访问控制”类别 此版本中删除了 Salesforce Apex 的访问控制类别。缺少字段级安全检查现在通过其他类别间接捕获，例如访问控制：数据库和 SOQL 注入。

弃用“Link Injection: Auto Dial”类别

Link Injection: Auto Dial由于已过时而被删除。引入该类别是为了解决CVE-2017-2484，攻击者可以利用iOS应用程序中未经净化的用户输入来自动拨打电话号码或Facetime通话。此漏洞已在 iOS 10.3 更新中修复，因此不再与当前的 iOS 应用程序相关。

已弃用的标准映射 以下标准和最佳实践已标记为已过时，因此默认情况下不会显示：

• CWE Top 25 2019
• CWE Top 25 2020
• DISA STIG 4.9
• DISA STIG 4.10
• OWASP Top 10 2004
• OWASP Top 10 2007
• OWASP Top 10 2010
• SANS Top 25 2009
• SANS Top 25 2010
• WASC 24 + 2

PHP 动态函数[2] 最新的 Fortify 静态代码分析器包括更新的 PHP 支持，支持针对未经净化的外部输入引用的动态函数报告动态代码评估：代码注入问题。

Java 不安全类 在 Java JDK 中，有一个隐藏类 用于执行本质上不安全的操作，这些操作通常对开发人员不可用，需要反射才能实例化。现在，在 Java 项目中使用 sun.misc.Unsafe 类时，扫描结果会将任何用法报告为经常误用：sun.misc.Unsafe。

误报改进 工作仍在继续，努力消除此版本中的误报。除了其他改进之外，客户还可以期望在以下方面进一步消除误报：

• 访问控制：未强制执行的共享规则 – 在     Salesforce 触发器、Visualforce 页面和组件中删除误报
• 命令注入 – 在     JavaScript 中标记正则表达式时删除了误报
• Cookie 安全性：Cookie 未通过 SSL 发送 – 在应用建议的补救措施时，在 Swift 中删除了误报
• 凭据管理：硬编码的 API 凭据 – 在识别持有者令牌时消除误报
• 死代码：表达式始终为假 – 在 Java     switch 语句中出现时删除了误报
• Dockerfile 配置错误：依赖混淆 – dockerfile 中的“apt”和“apt-get”命令删除了误报
• 日志伪造（调试）– 打印 HTTP 请求标头值时，在 Salesforce Apex 应用程序中删除了误报
• 争用条件：信号处理 – 调用 sigaction（） 时在 C/C++ 中删除了误报
• 字符串终止错误 – 在C++中触发基元类型时删除了误报
• 未使用的方法 – 在 Java 代码中删除误报，其中方法由实现的可序列化方法调用
• 已删除 JavaScript 中可能触发布尔值的数据流误报

类别更改 当弱点类别名称发生更改时，将以前的扫描与新扫描合并时的分析结果将导致添加/删除类别。

为了提高一致性，已重命名以下类别：

• Azure Terraform 配置错误：不正确的 CosmosDB CORS Policy 现在报告为 Azure Terraform 错误配置：不正确的 Cosmos DB CORS 策略
• Kubernetes 配置错误：缺少服务帐户准入控制器现在报告为 Kubernetes 配置错误：缺少服务帐户准入控制器
• NoSQL注入：CosmosDB现在报告为NoSQL注入：Cosmos DB

Fortify SecureBase [FortifyWebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即提供以下更新：

漏洞支持

不安全部署：未修补的应用程序： ZK Framework 是一个用于创建企业移动和 Web 应用程序的开源 Java 库，其中包含由 CVE-2022-36537 识别的安全漏洞。攻击者可利用此漏洞检索位于 Web 上下文中的文件内容。成功利用此漏洞可使攻击者获取敏感信息或以无法访问的终结点为目标。此版本包括一项检查，用于在使用受影响的 ZK 框架版本的目标服务器上检测此漏洞。

其他勘误表 在此版本中，我们投入了资源来进一步减少误报的数量，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告结果的变化：

命令注入： 已添加由 ID 11722 和 11723 标识的检查，以使用支持带外应用程序安全测试 （OAST） 功能的有效负载[3].它们减少了误报，提高了 WebInspect 扫描结果的准确性。

Fortify优质内容

研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。

OWASP MASVS v2.0.0为了配合新的相关性，此版本还包含支持 OWASP MASVS v2.0.0 的 Fortify 软件安全中心的新报告包，可从 Fortify 客户支持门户的“高级内容”下下载。

强化分类：软件安全错误 强化分类网站包含新添加的类别支持的说明，可在 https://vulncat.fortify.com 上找到。 与上述实时站点一致的 Fortify 分类站点的新云外版本现在可供客户从 Fortify 支持门户下载。

[1] 需要Fortiyf静态代码分析器 23.1.0。为获得最佳结果，请使用Fortify静态代码分析器 23.1.1。 [2]需要 SCA 23.1 及更高版本 [3] 由于 11723 检查会发送大量请求，因此它被排除在标准策略之外。使用“所有检查”策略，自定义现有策略以包含检查，或创建自定义策略以运行此检查。