Fortify 22.2.0 中的新增功能 2022年11月

Fortify SSC软件安全中心

以下功能已添加到 Fortify 软件安全中心。

优先级覆盖功能

管理员现在可以允许用户更改或覆盖分配给问题的优先级值。随着优先级覆盖功能的引入，引擎优先级选项被添加到分组依据菜单中。此分组选择根据标识问题的引擎分配的原始优先级值返回问题。

确定ScanCentral SAST 作业的优先级

在此版本中，您可以从 SCANCENTRAL SAST 选项卡将挂起的扫描请求移动到作业队列中的第一个位置。有关详细信息，请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的优先级”。

支持 Kubernetes 部署的 Tomcat 访问日志模式

Fortify Software Security Center 现在支持更改 Kubernetes 部署的 Tomcat 访问日志模式。有关详细信息，请参阅用户指南中的“为 Docker 镜像上的其他字段配置 Apache Tomcat 访问日志”。

ScanCentral SAST 选项卡增强功能

对 SCANCENTRAL 视图中的 SAST 选项卡进行了以下更改：

“状态”列现在是“状态”列，现在显示符号以指示当前扫描状态。

“扫描请求”表现在包括“优先级”列，该列显示挂起的扫描请求作业的运行顺序。您可以通过选择优先级标题对列出的作业进行排序。扩展扫描请求的详细信息现在包括“确定扫描优先级”按钮，您可以选择该按钮将扫描请求移动到池的作业队列顶部。您还可以单击“扫描请求”表中的箭头图标，将请求移动到队列顶部。有关详细信息，请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的优先级”。

查看和审核已消除的漏洞结果

现在，您可以在 Fortify 软件安全中心查看和审核应用程序的 Debricked 扫描结果，这样，除了查看源代码中的漏洞外，您还可以查看来自第三方库的开源漏洞。有关详细信息，请参阅用户指南中的“查看开源数据”。

在错误跟踪模板中创建可点击的链接

从版本 22.1.1 开始，您可以在错误跟踪器的速度模板中使用新的 HtmlUtil 类来创建指向 Fortify 软件安全中心中特定问题的链接。有关如何使用此类的信息，请选择“编辑模板”对话框中的“编辑提示”链接（请参阅用户指南中的“自定义 Bug 跟踪器插件的速度模板”）。

对“关于Fortify SSC”框的更改

“管理”视图的“配置”部分现在包括“关于”页，您可以从中配置“关于”框中的“支持”链接。有关如何更改“支持”链接的信息，请参阅用户指南中的“自定义 Fortify 软件安全中心关于框”。

对 SAML SSO 配置的更改

用于配置 Fortify 软件安全中心以使用 SAML SSO 的过程已更改（请参阅用户指南中的“配置 Fortify 软件安全中心以使用符合 SAML 2.0 的单点登录解决方案”）

阻止启动时刷新 LDAP /启用持久缓存的 LDAP 数据

以前，LDAP 数据驻留在内存缓存中，并在服务器关闭时丢失。现在，您可以启用缓存的数据在关机后保留，以便重新启动 Fortify 软件安全中心的速度要快得多，尤其是对于大型 LDAP 环境。更多信息请参阅用户指南中的“启用 LDAP 缓存的持久性”。

更新了 Kubernetes 支持

支持 Kubernetes 1.23 和 1.24

支持 Helm 3.9

 

Fortify SCA更新

以下功能已添加到强化静态代码分析器中。

操作系统支持更新

Fortify增加了对以下操作系统和版本的支持：

·macOS 12 Apple silicon

·Ubuntu 22.04.1 LTS

编译器更新

Fortify添加了对以下编译器版本的支持:

·Clang 14.0.0

·Swiftc 5.7

构建工具更新：

Fortify添加了对以下编译器版本的支持:

·Xcodebuild 14 and 14.0.1

语言和框架更新

·COBOL

IBMEnterprise COBOL for zOS 6.2 and 6.3

Micro Focus Visual COBOL 7.0 and 8.0

·Apex 55

·Kotlin 1.6

·PHP 8.1

·TypeScript / JavaScript

React 17.0

React Native .68

Vue 2

Note:Rules for Vue 2 will be part of the Fortify Software Security Content 2022 R4 release.

Fortify SCA 相关工具更新

以下功能已添加到 Fortify 静态代码分析器工具中.

Fortify Analysis Plugin for IntelliJ and Android Studio

IntelliJ IDEA 和 Android Studio 的Fortify Analysis 插件现在支持:

· IntelliJ 2022.2

· Android Studio 2021.3

Eclipse 支持

Fortify Eclipse Complete 插件现在支持 Eclipse 2022-06和 2022-09。

更新 CWETop 2022 Report

更新后，纳入了Fortify软件安全内容2022更新3的内容。

自定义规则编辑器更新

包括以下通用模板和特定于类别的模板，用于生成自定义配置、正则表达式和基础结构即代码 （IaC） 规则:

· Configuration Rule for PropertyMatch

· Configuration Rule for XPathMatch

· Docker Bad Practices: Untrusted Base Image in Use

· Credential Management: Hardcoded API Credential

· Regex Rule for ContentRegex

· Regex Rule for FileNameRegex

· Regex Rule for FileNameRegex and ContentRegex

· Structural Rule for Cloud Configuration in Nested Objects

· Structural Rule for Cloud Configuration in Single Object

· Structural Rule for Terraform Configuration in Nested Blocks

· Structural Rule for Terraform Configuration in Single Block

· Terraform Bad Practices: Untrusted Module in Use

语言支持更新:

· Apex

· Go

· HCL

· JavaScript/TypeScript

· JSON

· Kotlin

· PHP

· Python

· YAML

其他配置文件类型支持:

· configuration

· docker

· xml

Fortify WebInspect更新

以下是Fortify WebInspect新增的功能。

GraphQL原生支持

WebInspect 现在支持本地扫描 GraphQL。获得全面的GraphQL 扫描不再需要 Postman 收集或工作流。

gRPC 扫描

WebInspect 已增加了对 gRPC 扫描的支持。现在可以对这个流行的服务器到服务器的框架进行安全漏洞扫描。

引擎7.1更新

Fortify继续增强其引擎，以提高扫描范围和性能。WebInspect 22.2.0 提供了更快的抓取和审计，并通过 Macro Engine 7.1 的 Web Macro Recorder 提供更好的应用程序支持。

Linux版本

WebInspect 现在可用于轻量级 Linux 容器。当WebInspect通过其API使用时，这个容器化版本的WebInspect是自动化场景的一个很好的选择。

更新的 SOAP 扫描

WebInspect 将通过 Web Service Test Designer 工具废除其旧的 SOAP 扫描选项。在准备过程中，可通过 API 扫描选项来扫描 SOAP 应用程序的新机制。

原文始发于微信公众号（利刃信安）：Fortify 22.2.0