Fortify安全编码规则包更新--2020.1.0

Fortify软件安全研究团队将前沿研究转化为增强Fortify产品组合（包括Fortify静态代码分析器（SCA），Fortify WebInspect和Fortify Application Defender）的安全情报。如今，MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别，涵盖了超过一百万个单独的API。

Fortify软件安全研究（SSR）欣然宣布Fortify安全编码规则包（英语，版本2020.1.0），Fortify WebInspect SecureBase（可通过SmartUpdate获得）和Fortify Premium Content的更新立即可用。

Micro Focus Fortify安全编码规则包[SCA]

在此版本中，Fortify安全编码规则包检测26种编程语言中的810个独特类别的漏洞，并覆盖了超过一百万个单独的API。

总而言之，此版本包括以下内容：

GoLang标准库支持[1]

扩展了对Go标准库的支持。Go是Google™设计的一种静态类型的开源语言，旨在使构建简单，可靠和高效的软件变得容易。Go在语法上类似于C，但是具有内存安全机制，垃圾回收和结构化类型。此更新涵盖标准库名称空间，并支持53种弱点类型，包括以下19种其他类别：

Denial of Service: Regular Expression

Formula Injection

Insecure Randomness

JSON Injection

Key Management: Empty HMAC Key

Key Management: Hardcoded HMAC Key

Log Forging

Log Forging (debug)

Resource Injection

Weak Cryptographic Hash

Weak Cryptographic Hash: Hardcoded Salt

Weak Cryptographic Hash: User-Controlled Salt

Weak Cryptographic Signature: Insufficient Key Size

Weak Cryptographic Signature: User-Controlled Key     Size

Weak Encryption: Inadequate RSA Padding

Weak Encryption: Insecure Initialization Vector

Weak Encryption: Stream Cipher

Weak Encryption: User-Controlled Key Size

XML Injection

各种勘误

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量，并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化：

在JavaScript中，更精确地标识为self-XSS的“ Cross-Site Scripting：DOM”实例已更改为新的子类别“ Cross-Site Scripting：Self”，并且现在以较低的优先级进行标记。

在Java中，由于建模引擎的改进，死代码误报的数量无意中增加了，尤其是在if条件周围。规则得到了改进，因此消除了许多无效问题。

解决了与JSP和Spring MVC应用程序有关的罕见性能问题。

更新了外部元数据，以改进与Micro Focus Fortify的通用弱点枚举（CWE™）相关性：软件安全错误分类法（也称为7个有害王国）。改进包括在软件安全错误分类法中的935个类别中对齐了41个其他CWE-ID，从而更新了CWE和CWE Top 25 2019映射。必要时，CWE的任何相关报告功能或“分组依据”过滤都将受到影响。

其他CWE ID包括以下内容：

CWE-88，CWE-97，CWE-119，CWE-147，CWE-192，CWE-203，CWE-212，CWE-266，CWE-267，CWE-276，CWE-279，CWE-280，CWE- 346，CWE-347，CWE-436，CWE-506，CWE-527，CWE-529，CWE-530，CWE-531，CWE-536，CWE-540，CWE-541，CWE-548，CWE-550，CWE-705，CWE-775，CWE-799，CWE-917，CWE-921，CWE-923，CWE-925，CWE-926，CWE-937，CWE-942，CWE-1004，CWE-1021，CWE- 1069，CWE-1173，CWE-1188，CWE-1236，

Fortify SecureBase[Fortify WebInspect]

Fortify SecureBase将对数千个漏洞的检查与策略结合在一起，这些策略可指导用户立即通过SmartUpdate获得以下更新：

漏洞支持

危险文件包含：本地

严重影响Tomcat的漏洞利用AJP协议功能来获取对服务器端文件的访问，并允许攻击者读取或包括Apache Tomcat webapp目录中的任何文件。此漏洞称为GhostCat，由CVE-2020-1938识别。此外，任意代码执行攻击都是可能的。此问题影响ApacheTomcat 9.x（9.0.31之前的版本），8.x（8.5.51之前的版本），7.x（7.0.100之前的版本）以及所有早期版本。此Securebase更新包括检查此漏洞的检查。

常见弱点枚举（CWE™）映射：

通用弱点枚举（CWE™）是可能导致软件漏洞的软件错误的分类法。该分类法提供了一种方法，可以在SDLC的各个阶段合并软件风险和漏洞评估中各种方法的输出。在此版本中，Securebase包括支票到CWE中最新更新的更新映射。CWE是一种层次分类法。支票被映射到与支票意图匹配的最近的叶子节点。

合规报告

常见弱点枚举（CWE™）前25名：

常见弱点枚举（CWE™）排名前25位的最危险软件错误（CWE排名前25位）是由MITRE创建的列表。该列表展示了最常见的25个软件弱点类别，这些类别可能导致软件漏洞。此Securebase更新包括到这些CWE类别的映射。我们已经包括了那些直接映射到CWE Top 25所标识类别的检查，或者通过“ ChildOf”关系映射到前25名与CWE-ID相关的CWE-ID。

政策更新

常见弱点枚举（CWE™）前25名

常见弱点枚举（CWE™）排名前25位的最危险软件错误（CWE排名前25位）是由MITRE创建的列表。该列表展示了最常见的25个软件弱点类别，这些类别可能导致软件漏洞。此版本包含一个策略，其中包含检查列表，以评估CWE Top 25中映射的漏洞。

其他勘误表：

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量，并提高客户审计问题的能力。客户还可以期望看到与以下内容相关的已报告问题的变化：

HTTP请求走私检查中的错误修复减少了与使用检查ID 11621进行查找有关的误报。检查将不再将HTTP 405视为对该漏洞的有效验证。

不安全的传输：弱的SSL密码报告内容现在包括一个示例，该示例通过在配置字符串中包含！SHA246和！SHA384来排除CBC模式密码。但是，我们建议您咨询服务器管理员以使用白名单的强密码套件选择创建配置。

不安全传输中的其他修复程序：如果服务器仅支持TLS1.2和强密码，则检查无法检测到正确的密码时，将进行弱SSL密码检测以改进配置检测。