Fortify 22.1.0 中的新增功能

admin 2022年6月8日15:27:24安全工具评论73 views4506字阅读15分1秒阅读模式

2022 6 Fortify,我们的目标是帮助组织从他们可以信任的合作伙伴那里建立软件弹性以实现现代开发。Fortify 继续涵盖当今环境中常见的各种 AppSec 用例。从DevSecOps云转型保护软件供应链大规模成熟Fortify 提供了一个全面、包容和可扩展的平台,支持您的软件组合的广度。

我们很高兴地宣布我们的 Fortify 22.1.0 版本全面上市!通过增强的产品来提高速度、准确性、可扩展性和易用性,这标志着 Fortify 提升应用程序和代码安全性的另一个重要篇章。此版本的一些亮点包括:

  • Fortify 继续我们的加速语言支持并投资于对我们的客户最重要的平台,例如 Java 17.NET 6,以及对 Terraform HCL 的新支持

  • 使用工作流宏进行扫描可确保扫描涵盖重要内容。现在 WebInspect 可以使用 HAR 文件进行工作流扫描。

  • 带外测试:WebInspect 能够测试称为带外或 OAST 漏洞的一类新漏洞。使用公共 Fortify OAST 服务器 WI 可以检测 OAST 漏洞,例如 Log4Shell

此版本包含对 Fortify 静态代码分析器  Fortify WebInspect  Fortify 软件安全中心 Fortify 软件组合分析的更新。新功能和特性的完整列表包括:

Fortify 软件安全中心

以下功能已添加到 Fortify 软件安全中心。

问题关联详细信息

如果您在应用程序版本中有关联问题,则可以使用关联问题图标的标题,根据它们是否与其他问题相关来对列出的问题进行排序(请参阅 AUDIT 页面上查看关联问题中的Fortify 软件安全中心用户指南)。您还可以选择性地列出与给定问题相关的问题(请参阅 Fortify Software Security Center 用户指南中的审核相关问题)。

目标规则包下载

以前,Fortify 软件安全中心忽略了规则包更新请求中的 clientType 参数。结果,Rulepack 客户端收到了所有可用的 RulepackFortify 静态代码分析器和 Fortify 安全助手 Rulepack)。现在,Fortify Software Security Center clientType 参数考虑到 Rulepack 更新请求。有关详细信息,请参阅 Fortify Software Security Center 用户指南中的 Micro Focus Fortify 更新服务器更新规则包

更新的处理规则:忽略在快速扫描模式下执行的 SCA 扫描 

忽略在快速扫描模式下执行的 Fortify 静态代码分析器扫描的处理规则现在还可以防止上传设置为小于四的 Fortify 静态代码分析器快速拨号结果。有关详细信息,请参阅 Fortify Software Security Center 用户指南中的设置应用程序版本的分析结果处理规则

报告维护:新的保留天数选项

在计划程序页面上,在新的报告维护部分添加了保留天数选项。此选项允许您指定 Fortify 软件安全中心保留生成的报告的天数。有关详细信息,请参阅 Fortify Software Security Center 用户指南中的配置作业计划程序设置

暂停作业执行

您现在可以通过使用维护页面(管理 > 维护)上的暂停作业执行选项暂停(然后恢复)作业执行来控制作业执行。暂停作业执行后,当前运行的作业(工件处理、报告生成、数据导出请求等)将继续完成。清除暂停作业执行复选框并恢复正常处理后,提交的任何新作业都会排队等待处理。

有关更多详细信息,请参阅 Fortify 软件安全中心用户指南中的暂停和恢复作业执行

要求对特定自定义标签值进行评论 

管理员现在可以要求对自定义标签进行评论。选中需要评论设置后,对自定义标签的任何更改都会导致为自定义标签显示一个额外的评论框,并且在输入评论之前,保存按钮将被禁用。有关详细信息,请参阅 Fortify Software Security Center 用户指南中的向系统添加自定义标签

扩展问题计数

以前,您可以在 AUDIT 页面上一次显示 2050 100 个问题。现在,每页最多可以显示 150 200 个问题。

Kubernetes 更新

  • 添加了对 Kubernetes 1.22 的支持

  • 添加了对 Helm 3.8 的支持

Fortify ScanCentral SAST 

Fortify ScanCentral SAST加了以下功能。

Kotlin for Android 支持

您现在可以使用 ScanCentral Client 打包 Kotlin for Android 项目,以便使用 Gradle 集成 (-bt gradle) 进行远程翻译。

更新 ScanCentral Client

的新命令使用新的更新命令,您可以将 ScanCentral Client 更新到 ScanCentral Controller 上的最新版本。

使用作业令牌获取 SSC 工件处理状态 

使用status 命令,ScanCentral Client 可以检索将 FPR 上传到 SSC 的作业的处理状态。

构建工具更新

  • Gradle 7.3

  • MSBuild 14.0, 17.0, 17.1, and 17.2


支持控制器上的多个客户端版本以进行自动更新

自动更新功能现在支持多个版本的客户端。传感器和嵌入式客户端将根据控制器中可用的版本进行更新,而不是根据控制器的版本进行更新。

Fortify SCA (Fortify SAST)

Fortify 静态代码分析器添加了以下功能。

操作系统更新

Fortify 增加了对以下操作系统和版本的支持:

  • macOS 12

  • Windows 11


编译器更新Fortify 

添加了对以下编译器版本的支持:

  • Clang 13.1.6

  • OpenJDK javac 17

  • Swiftc 5.6

  • cl (MSVC) 2015 and 2022


构建工具更新Fortify 

增加了对以下构建工具版本的支持:

  • Gradle 7.4.x

  • MSBuild 14.0, 17.0, 17.1 and 17.2

  • Xcodebuild 13.3 and 13.3.1


语言和框架更新

  • C# 10

  • .NET 6.0

  • C/C++ 20

  • HCL 2.0

  • Java 17

  • TypeScript 4.4 and 4.

Fortify Static Code Analyzer Tools

以下功能已添加到 Fortify 静态代码分析器工具中。

Visual Studio 2022 支持

Visual Studio Fortify 扩展现在支持 Visual Studio 2022

IntelliJ 2021.x 支持 

IntelliJ Fortify 分析插件现在支持 IntelliJ 2021.x 2021.3

从文件系统导入标准 Fortify Rulepacks

使用Fortify Audit WorkbenchFortify Eclipse Complete Plugin Fortify Extension for Visual Studio 中的选项菜单导入从客户门户下载的 Fortify Rulepacks

比较两个 FPR 之间已扫描文件的LOC 

查看 FPR 中分析文件的 LOC 计数 (-loc) 或使用 FPRUtility (-loc, -compareTo) 比较两个 FPR 之间的 LOC 计数。

fortifyupdate的可配置超时使用

server.properties 文件中的 rulepackupdate.SocketReadTimeoutSeconds 属性配置 fortifyupdate 的套接字超时。默认值为 180

新搜索修饰符:shortfilename

Fortify Audit Workbench Fortify Plugins for Eclipse 中,您可以使用 shortfilename 作为问题模板中的搜索修饰符来过滤或隐藏与文件名匹配的问题。对于完整路径匹配,继续使用文件搜索修饰符。

新的 OWASP 2021

年前 10 名报告使用以下工具生成新的 OWASP 10 名报告(2021 年):

  • Fortify Audit Workbench

  • 用于 Visual Studio     Fortify 扩展

  • 用于 Eclipse     Fortify 修复插件

  • BIRT报告生成器

Fortify ScanCentral DAST

以下功能已添加到 Fortify ScanCentral DAST

用户配置限制

  • 新权限允许您禁止扫描特定域或 IP 地址。

  • 允许用户修改扫描需要新的修改用户权限。没有此权限的用户只能配置扫描 URL、登录宏、工作流宏和网络凭据。使用此有限角色,用户可以开始扫描、从基本设置创建扫描以及查看设置但不能更改它们。

PostgresSQL 支持

  • 支持使用 PostgresSQL 数据库。

扫描导入

  • Fortify WebInspect     Fortify WebInspect Enterprise 将扫描导入 ScanCentral PostgresSQL 数据库。

自动化部署(基础设施即代码)

  • 支持 ScanCentral DAST 的全自动部署。

重新扫描按钮

  • 重新扫描按钮允许您重新扫描和现有扫描。


Fortify WebInspect (Fortify DAST)
Fortify WebInspect添加了以下功能。

使用工作流宏支持 HAR 文件扫描可确保扫描涵盖重要内容。WebInspect 现在可以使用 HAR 文件进行工作流扫描。

带外测试WebInspect现在可以测试一类称为带外或 OAST 漏洞的新漏洞。使用公共 Fortify OAST 服务器,WebInspect 可以检测 OAST 漏洞,例如 Log4Shell

引擎 7.0 更新Fortify 继续增强其引擎以提高扫描覆盖率和性能。WebInspect 22.1.0 提供了更快的抓取和审核,以及来自带有宏引擎 7.0 Web 宏记录器的更好的应用程序支持。

MS SQL AD 身份验证支持WebInspect 22.1.0 现在可以通过 AD 身份验证使用 MS SQL 数据库。

Windows 11 支持Windows 11 操作系统现在支持 WebInspect 22.1.0

Azure SQL 数据库支持WebInspect 22.1.0 现在可以使用 Azure SQL 数据库来存储扫描数据。

Fortify WebInspect Enterprise 21.2.0 的传感器支持WebInspect 22.1.0 可以配置为 Fortify WebInspect 21.2.0 的传感器。

联系 Micro Focus Fortify 客户支持如果您对使用本产品有任何疑问或意见,请使用以下选项之一联系 Micro Focus Fortify 客户支持。管理您的支持案例、获取许可证和管理您的帐户https://www.microfocus.com/support

关于苏州华克斯信息科技有限公司

联系方式:400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan

SonarQube | 极狐GitLab 

LoadRunner | UFT(QTP) | ALM(QC)

 

Micro Focus 铂金合作伙伴

SonarQube中国总代理

极狐GitLab铂金级合伙伴

HCL中国合作伙伴


原文始发于微信公众号(华克斯):Fortify 22.1.0 中的新增功能

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月8日15:27:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Fortify 22.1.0 中的新增功能 http://cn-sec.com/archives/1097880.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: