999久久免费视频| 亚洲区一区二区三区无码久久| 无码人妻少妇久久中文字幕蜜桃| 99久久国产综合精品女不卡|

<tt id="gicem"><strong id="gicem"></strong></tt>
<xmp id="gicem">
  • <menu id="gicem"><menu id="gicem"></menu></menu>
  • <menu id="gicem"><tt id="gicem"></tt></menu>
    <nav id="gicem"><strong id="gicem"></strong></nav>
    1
    您現在的位置:
    首頁
    /
    /
    Fortify 軟件安全內容 2023 更新 4

    Fortify 軟件安全內容 2023 更新 4

    • 分類:新聞資訊
    • 作者:蘇州華克斯信息科技有限公司
    • 來源:蘇州華克斯信息科技有限公司
    • 發布時間:2023-12-18
    • 訪問量:0

    【概要描述】

    Fortify 軟件安全內容 2023 更新 4

    【概要描述】

    • 分類:新聞資訊
    • 作者:蘇州華克斯信息科技有限公司
    • 來源:蘇州華克斯信息科技有限公司
    • 發布時間:2023-12-18
    • 訪問量:0
    詳情

    Fortify 軟件安全內容 2023 更新 4

    關于 OpenText Fortify 軟件安全研究

    Fortify 軟件安全研究團隊將前沿研究轉化為安全情報,為 Fortify 產品組合提供支持——包括 OpenText系列Fortify 靜態代碼分析器(SCA)和WebInspect。如今,Fortify 軟件安全內容支持 33+ 種語言的 1,657 個漏洞類別,涵蓋超過 100 萬個單獨的 API。

    Fortify Software Security Research SSR) 很高興地宣布立即推出 Fortify Secure Coding Rulepacks(英語,版本 2023.4.0)、Fortify WebInspect SecureBase(通過 SmartUpdate 提供)和 Fortify Premium Content 的更新。

    Fortify 安全編碼規則包 [FortifySCA]

    在此版本中,Fortify Secure Coding Rulepack 可檢測 33+ 種語言的 1,432 個獨特類別的漏洞,并涵蓋超過 100 萬個單獨的 API。

    總之,此版本包括以下內容:

    改進了對 Python 的支持(支持的版本:3.12)    
    Python 是一種通用的、功能強大的編程語言,具有動態類型和高效的高級數據結構。它支持多種編程范式,包括結構化、面向對象和函數式編程。此版本將我們的覆蓋范圍擴大到最新版本的 Python,擴展了我們對 Python 標準庫 API 更改的支持。更新了以下模塊的現有規則覆蓋范圍:

    ·os

    ·pathlib

    ·tomllib 

    改進了對 Django 的支持(支持的版本:4.2)    
    Django 是一個用 Python 編寫的 Web 框架,旨在促進安全和快速的 Web 開發。通過框架中的高度抽象來實現開發的速度和安全性,其中代碼構造和生成用于大幅減少樣板代碼。在此版本中,我們更新了現有的 Django 覆蓋范圍以支持以下版本:4.0、4.1 4.2。

    改進的覆蓋范圍包括以下命名空間:asyncio、django.core.cache.backends.base.BaseCache、django.db.models.Model django.middleware.security.SecurityMiddleware。此外,我們還改進了弱點類別的覆蓋范圍,其中包括以下內容:

    ·Header Manipulation

    ·Insecure Cross-Origin Opener Policy

    ·Resource Injection

    ·Setting Manipulation

    PyCryptodome 和 PyCrypto(支持的版本:3.19.0)    
    PyCryptodome 是一個獨立的 Python 包,它提供了加密算法和協議的綜合集合。它是 PyCrypto 庫的擴展和更積極維護的版本。PyCryptodome 旨在提供廣泛的加密功能,使其成為需要在其 Python 應用程序中實現安全通信、數據保護和加密操作的開發人員的多功能選擇。

    弱點類別的初始覆蓋范圍包括以下內容:

    ·Key Management: Empty Encryption Key

    ·Key Management: Empty PBE Password

    ·Key Management: Hardcoded Encryption Key

    ·Key Management: Hardcoded HMAC Key

    ·Key Management: Hardcoded PBE Password 

    ·Key Management: Unencrypted Private Key

    ·Password Management: Hardcoded Password

    ·Password Management: Lack of Key Derivation Function

    ·Password Management: Password in Comment

    ·Weak Cryptographic Hash

    ·Weak Cryptographic Hash: Hardcoded PBE Salt

    ·Weak Cryptographic Hash: Insecure PBE Iteration Count

    ·Weak Cryptographic Hash: Predictable Salt

    ·Weak Cryptographic Signature: Insufficient Key Size

    ·Weak Encryption

    ·Weak Encryption: Insecure Initialization Vector

    ·Weak Encryption: Insecure Mode of Operation

    ·Weak Encryption: Insufficient Key Size

    ·Weak Encryption: Stream Cipher

    ·Weak Encryption: User-Controlled Key Size

    檢測源自機器學習 ML) 和人工智能 (AI) 模型的風險

    隨著生成式人工智能和大型語言模型 LLM) 的使用迅速改變了軟件行業的解決方案空間,新的風險也隨之而來。最初的 Fortify 支持涵蓋使用 OpenAI API、Amazon Web Services (AWS) SageMaker 或 LangChain 的 Python 項目。支持可檢測因隱式信任來自 AI/ML 模型 API 的響應而導致的弱點,以及以下獨特功能:

    Python OpenAI API 的初始支持(支持的版本:1.3.8)    
    OpenAI Python 庫使開發人員能夠方便地訪問 OpenAI REST API,以與 GPT-4 DALL-E OpenAI 模型進行交互。OpenAI API 使應用程序能夠向 OpenAI 模型發送提示并接收生成的響應以及微調現有模型。OpenAI Python 模塊支持發送和接收由httpx提供支持的異步和同步請求的能力。支持包括識別模型的潛在危險輸出以及以下新類別: 

    ·跨站點腳本:AI

    Python AWS SageMaker (Boto3) 的初始支持(支持的版本:1.33.9)    
    AWS SageMaker Amazon AWS 大型服務旗下的一項產品。AWS SageMaker 提供了廣泛的工具來支持各種 ML 項目,從訓練自定義模型到設置完整的 MLOps 支持的開發管道。Amazon Python 開發工具包 (Boto3) 允許與各種 AWS 產品(包括 AWS SageMaker)進行通信。支持包括識別模型的潛在危險輸出以及以下新類別:

    ·跨站點腳本:AI

    Python LangChain 的初始支持(支持的版本:0.0.338[1]      
    LangChain是一個流行的開源編排框架,用于使用大型語言模型(LLM)開發應用程序。LangChain提供的工具和API可以更輕松地創建LLM驅動的應用程序,例如聊天機器人和虛擬代理。它們可作為基于 Python JavaScript 的庫使用。支持包括識別模型的潛在危險輸出、檢測路徑操作以及以下新類別:

    ·跨站點腳本:AI

    .NET 8 支持(支持的版本:8.0.0.NET 8 Support version supported8.0.0    
    作為 .NET 7 的繼任者,.NET 8 是一個跨平臺、免費和開源的開發框架,使程序員能夠使用一組標準化的 API 以不同的語言(如 C# 和 VB)編寫應用程序。此版本將我們的覆蓋范圍擴大到最新版本的 .NET,以改進對新 API 和現有 API 的弱點的檢測。 

    擴展的覆蓋范圍涵蓋以下命名空間:

    ·Collections.Frozen

    ·Net.Http.Json

    ·System

    ·Security

    ·Text

    ·Text.Unicode

    ·Net.Http

    Java 簡化加密 (Jasypt)(支持的版本:1.9.3   
    Java 簡化加密 (Jasypt) 是一個小型 Java 庫,用于執行基于密碼的加密以及創建用于存儲的密碼摘要。它與流行的 Java 框架(如 Spring、Wicket Hibernate)集成。

    弱點類別的初始覆蓋范圍包括以下內容:

    ·Insecure Randomness

    ·Key Management: Empty PBE Password

    ·Key Management: Hardcoded PBE Password

    ·Key Management: Null PBE Password

    ·Password Management: Lack of Key Derivation Function

    ·Privacy Violation: Heap Inspection

    ·Setting Manipulation

    ·Weak Cryptographic Hash

    ·Weak Cryptographic Hash: Empty PBE Salt

    ·Weak Cryptographic Hash: Hardcoded PBE Salt

    ·Weak Cryptographic Hash: Insecure PBE Iteration Count

    ·Weak Cryptographic Hash: User-Controlled PBE Salt

    ·Weak Encryption

    ·Weak Encryption: Insecure Mode of Operation 

    ECMAScript 2023    
    ECMAScript 2023,也稱為 ES2023 ES14,是 JavaScript 語言的 ECMAScript 標準的最新版本。ES2023 的主要功能包括新的數組函數,允許通過復制和從末尾搜索來更改它們。對 ES2023 的支持將所有相關 JavaScript 弱點類別的覆蓋范圍擴展到最新版本的 ECMAScript 標準。

    原型污染    
    原型污染是 JavaScript 應用程序中的一個漏洞,它使惡意用戶能夠繞過或影響業務邏輯,并可能運行自己的代碼。

    Rulepack 更新可檢測攻擊者是否可以在以下 NPM 包中污染對象的原型:

    ·assign-deep

    ·deap

    ·deep-extend

    ·defaults-deep

    ·dot-prop

    ·hoek

    ·lodash

    ·merge

    ·merge-deep

    ·merge-objects

    ·merge-options

    ·merge-recursive

    ·mixin-deep

    ·object-path

    ·pathval

        
    Kubernetes 配置    
    Kubernetes 是一種開源容器管理解決方案,用于自動部署、擴展和管理容器化應用程序。它提供了以容器為中心的基礎架構抽象,消除了對底層基礎架構的依賴,實現了可移植部署,并簡化了復雜分布式系統的管理。改進的弱點類別覆蓋范圍包括: 

    ·Kubernetes 配置錯誤:API 服務器網絡訪問控制不當

    ·Kubernetes 配置錯誤:CronJob 訪問控制不當

    ·Kubernetes 配置錯誤:DaemonSet 訪問控制不當

    ·Kubernetes 配置錯誤:部署訪問控制不當

    ·Kubernetes 配置錯誤:作業訪問控制不當

    ·Kubernetes 配置錯誤:Pod 訪問控制不當

    ·Kubernetes 配置錯誤:RBAC 訪問控制不當

    ·Kubernetes 配置錯誤:不正確的 ReplicaSet 訪問控制

    ·Kubernetes 配置錯誤:不正確的復制控制器訪問控制

    ·Kubernetes 配置錯誤:有狀態副本集訪問控制不當

    ·Kubernetes 配置錯誤:不安全的機密傳輸

    ·Kubernetes 配置錯誤:Kubelet 日志記錄不足

    ·Kubernetes 配置錯誤:調度程序系統信息泄露

    ·Kubernetes 配置錯誤:不受控制的 Kubelet 資源消耗

    ·Kubernetes Terraform 配置錯誤:守護進程設置訪問控制不當

    ·Kubernetes Terraform 配置錯誤:部署訪問控制不當

    ·Kubernetes Terraform 配置錯誤:作業訪問控制不當

    ·Kubernetes Terraform 配置錯誤:Pod 訪問控制不當

    ·Kubernetes Terraform 配置錯誤:Pod 網絡訪問控制不當

    ·Kubernetes Terraform 配置錯誤:RBAC 訪問控制不當 

    ·Kubernetes Terraform 配置錯誤:不正確的復制控制器訪問控制

    ·Kubernetes Terraform 配置錯誤:不正確的有狀態集訪問控制

    ·Kubernetes Terraform 配置錯誤:不安全的秘密傳輸

    DISASTIG 5.3    
    為了在合規性領域支持我們的聯邦客戶,我們添加了 Fortify 分類法與美國國防信息系統局 (DISA) 應用程序安全和開發 STIG 版本 5.3 的關聯。

    OWASP Mobile 2023 10 大風險

    2023 年開放全球應用安全項目 (OWASP) 移動十大風險旨在提高人們對移動安全風險的認識,并教育參與移動應用開發和維護的人員。為了支持希望降低 Web 應用程序風險的客戶,我們添加了 Fortify 分類法與 OWASP Mobile Top 10 2023 初始版本的相關性。

    其他勘誤表    
    在此版本中,我們投入了資源,以確保我們可以減少誤報問題的數量,重構一致性,并提高客戶審核問題的能力??蛻暨€可以看到與以下內容相關的報告問題的更改:

    棄用 20.x    
    之前的 Fortify Static Code Analyzer 版本正如我們的 2023.3 版本公告中所述,這是支持 20.x 之前的靜態代碼分析器版本的規則包的最后一個版本。對于此版本,20.x 之前的靜態代碼分析器版本將不會加載規則包。這將需要降級規則包或升級靜態代碼分析器的版本。對于將來的版本,我們將繼續支持 Static Code Analyzer 的最后四個主要版本。 

    減少誤報和其他顯著的檢測改進    
    我們一直在努力消除此版本中的誤報??蛻艨梢云诖M一步消除誤報,以及與以下方面相關的其他顯著改進:

    ·NET 配置錯誤:持久身份驗證 – 在使用表單身份驗證服務的 ASP.NET 應用程序中刪除了誤報

    ·憑據管理:硬編碼的 API 憑據 –從與 HTTP 持有者令牌相關的機密掃描中刪除誤報

    ·憑據管理:硬編碼的 API 憑據– 檢測到 Avature API 密鑰的新問題

    ·跨站點請求偽造– 在使用“Express.js”JavaScript 框架的 NodeJS應用程序中檢測到的新問題

    ·跨站點腳本– 在使用“html/template”包的 Go 應用程序中檢測到的新問題

    ·跨站點腳本:反映 –在使用“ListControl”類的 ASP.NET 應用程序中刪除了誤報

    ·拒絕服務:格式字符串– 與 OWASP 前 10 個類別的映射不正確

    ·不安全的傳輸 –在與處理私有用戶數據的控制器方法相關的 ASP.NET 應用程序中刪除了誤報

    ·不安全的傳輸:郵件傳輸 –從使用“smtplib.SMTP' 類

    ·密鑰管理:硬編碼加密密鑰 在使用“RSAKeyGenParameterSpec”類的 Java 應用程序中刪除了誤報

    ·鏈路注入:缺少驗證 –在使用“WKNavigationDelegate”協議的 Swift 和 Objective-C 應用程序中刪除了誤報[2]

    ·批量分配:不安全的 Binder 配置 –從使用 Jakarta EE API 的 Java 應用程序中刪除了誤報  

    ·密碼管理:配置文件中的密碼 –配置文件中刪除了誤報

    ·路徑操作– 在文件上傳的 PHP 應用程序中檢測到的新問題

    ·SQL 注入– 在使用 marsdb 數據庫的 NodeJS 應用程序中檢測到的新問題

    ·SQL 注入:MyBatis Mapper – 在 MyBatis Mapper XML 文件中檢測到的新問題

    ·字符串終止錯誤– 在使用“printf()”及其變體的 C/C++ 應用程序中刪除了誤報

    ·系統信息泄漏:不完整的 Servlet 錯誤處理 –在 Java 應用程序中刪除了誤報

    ·弱加密:不安全的初始化向量 –在使用“Pycryptodome”庫的 Python 應用程序中刪除了誤報

    ·未發布的資源:流– 在使用“java.nio.file”API 的 Java 應用程序中識別的漏報

    ·Visualforce 應用程序中與用戶配置文件信息相關的各種數據流誤報

    類別名稱更改    
    當弱點類別名稱發生更改時,將先前掃描的分析結果與新掃描合并可能會導致添加/刪除類別。

    為了提高一致性,重命名了以下兩個類別:

    已刪除的類別

    添加類別

    Azure ARM 配置錯誤:DataBricks 存儲不安全

    Azure ARM 配置錯誤:Databricks 存儲不安全

    Azure ARM 配置錯誤:不安全的 Redis 企業傳輸

    Azure ARM 配置錯誤:不安全的 Redis 傳輸

     

    Fortify SecureBase [Fortify WebInspect]

    Fortify SecureBase 將對數千個漏洞的檢查與指導用戶通過 SmartUpdate 立即獲得以下更新的策略相結合。

    漏洞支持

    訪問控制:管理界面     
    此版本包括一項檢查,用于在網關執行器端點啟用、公開且不安全時檢測 Spring Cloud Gateway 的不安全配置。在這種情況下,攻擊者可以創建新路由并代表應用程序訪問內部或敏感資產。這可能會導致云元數據密鑰被盜、內部應用程序泄露或拒絕服務 (DoS) 攻擊。

    表達式語言注入:Spring     
    Spring Cloud Gateway 版本 3.1.0、3.0.0 3.0.6 以及低于 3.0.0 的版本包含由 CVE-2022-22947 標識的安全漏洞。當網關執行器端點處于啟用、公開且不安全狀態時,此漏洞允許代碼注入攻擊。此版本包括一項檢查,用于檢測使用受影響的 Spring Cloud Gateway 版本的目標服務器上是否存在此漏洞。

    不安全的部署:未修補的應用程序     
    TeamCity On-Premises 服務器版本 2023.05.3 及更早版本容易出現身份驗證繞過,這使未經身份驗證的攻擊者能夠在服務器上獲得遠程代碼執行 (RCE)。該漏洞已被CVE-2023-42793識別。此版本包括一項檢查,用于在目標服務器上檢測此漏洞。 

    信息發現:未記錄的 API     
    API 端點的未記錄或有限文檔可能會為攻擊者提供未充分測試安全漏洞的攻擊面。攻擊者可能會執行偵測以發現已棄用、未修補和未維護的終結點,從而訪問敏感信息或危險功能。此版本包括一項檢查,旨在發現可訪問但未在 API 規范文檔中定義的受版本控制的 API 端點。

    合規報告

    DISASTIG 5.3     
    為了支持我們的聯邦客戶合規性需求,此版本包含 WebInspect 檢查與最新版本的國防信息系統局應用程序安全和開發 (DISA) STIG 版本 5.3 的關聯。

    政策更新

    DISASTIG 5.3     
    自定義策略以包含與 DISA STIG 5.3 相關的檢查,已添加到支持的策略的 WebInspect SecureBase 列表中。

    其他勘誤表

    在此版本中,我們投入了資源來進一步減少誤報數量,并提高客戶審核問題的能力??蛻暨€可以看到與以下領域相關的報告結果的變化。    
        
    不安全的傳輸:SSLv3/TLS 重新協商流     
    TLS1.3 不支持重新協商。此版本包括對重新協商流注入檢查的改進,以減少誤報并提高結果的準確性。 

    HTML5:跨站點腳本保護     
    X-XSS-Protection 標頭在所有現代瀏覽器中均已棄用。在此版本中,我們棄用了缺失或錯誤配置的 X-XSS-Protection 標頭檢查。

    Fortify 高級內容

    研究團隊在我們的核心安全情報產品之外構建、擴展和維護各種資源。

    DISA STIG 5.3 和 OWASP Mobile Top 10 2023為了配合新的相關性,此版本還包含一個新的報告包 OpenTextFortify 軟件安全中心支持 DISA STIG 5.3 OWASP Mobile Top 10 2023,可 Fortify 客戶支持門戶的“高級內容”下下載。

    Fortify 分類法:軟件安全錯誤     
    Fortify 分類站點包含對新添加的類別支持的說明,可在https://vulncat.fortify.com上找到。

    [1]LangChain仍然很新。在生產使用之前,必須仔細考慮安全性。    
    [2]需要 Fortify Source Code Analyzer 23.1 或更高版本

    聯系 Fortify 客戶支持

     

    掃二維碼用手機看

    更多資訊

    聯系我們

    聯系我們

    發布時間:2020-09-16 13:55:16
    地址:蘇州市工業園區新平街388號
              騰飛創新園塔樓A617
    電話:400-028-4008
              0512-62382981

    關注我們

    這是描述信息

    頁面版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved. 

    精品国产的AV在线|日本一卡2卡三卡4卡乱码免|免费无码AⅤ片在线观看最新| P久久精品国产99国产精品亚洲| 一道夲mV一区二区高清|亚洲AⅤ中文无码字幕色|精品国产不卡一二三区看片|一本无码人妻在中文字幕| 疯狂做受dvd播放免费|久久99热东京热亲亲热|国产真实强奷网站在线播放|欧美日韩国产精品777| 中文字幕在线观看w| 亚洲一区二区三区高清在线观看|久久A级毛片毛片免费观着| 久久精品aⅴ无码中文字字幕重口| 日韩久久久精品首页| a亚洲欧美中文日韩在线v日本|热久久国产欧美一区二区精品| 国产老熟女精品一区免费观看全集| 久久久精品国产∨A| 亚洲最大AV资源站无码AV网址| 中文字幕亚洲欧美日韩在线不卡| 国产a真人一级无码毛片一区二区三区| 亚洲爆乳无码专区www|国产欧美现场va另类|精品国产一级中文免费不卡|免费A片视频成年黄毛片| 令人滿意的无码视频一区|最大免费国产色片网址|国产熟睡乱子一级A片免费|在线观看视频a免播放器|
    <tt id="gicem"><strong id="gicem"></strong></tt>
    <xmp id="gicem">
  • <menu id="gicem"><menu id="gicem"></menu></menu>
  • <menu id="gicem"><tt id="gicem"></tt></menu>
    <nav id="gicem"><strong id="gicem"></strong></nav>