在此版本中，Fortify 安全编码规则包可检测 33+ 种语言中的 1,403 个独特类别的漏洞，并跨越超过 100 万个单独的 API。总之，此版本包括以下内容：改进了对 Android 13 的支持（支持的版本：33）Android 平台是专为移动设备设计的开源软件堆栈。Android 的一个主要组件是 Java API 框架，它向应用程序开发人员公开 Android 功能。此版本扩展了利用 Android 的 Java API 框架的 Java 或 Kotlin 编写的原生 Android 应用程序中的漏洞检测。此版本中针对 Android 应用程序引入了以下三个新的弱点类别：Intent Manipulation: Implicit Internal IntentIntent Manipulation: Implicit Pending IntentIntent Manipulation: Mutable Pending IntentAndroid Jetpack （AndroidX）的初始支持 Android Jetpack 是一组库、工具和指南，可帮助开发人员更轻松地创建 Android 应用程序。Jetpack 涵盖 androidx.* 软件包，并且与平台 API 分离，这有助于促进向后兼容性并允许更频繁的更新。在此版本中，我们提供了此软件套件的初始覆盖范围。Android Jetpack 的初始覆盖范围支持检测以下库中的弱点：appsearch (version supported: 1.1.0-alpha03)compose.foundation (version supported: 1.5.1)compose.material (version supported: 1.5.1)compose.material3 (version supported: 1.1.2)compose.ui (version supported: 1.5.1)core (version supported: 1.12.0)credentials (version supported: 1.2.0-beta04)datastore (version supported: 1.0.0)security.crypto (version supported: 1.0.0)sqlite (version supported: 2.3.1)示例类别覆盖范围改进包括：访问控制：数据库命令注入拒绝服务拒绝服务：正则表达式标头操作不安全的运输打开重定向密码管理：空密码密码管理：硬编码密码路径操作侵犯隐私资源注入服务器端请求伪造SQL 注入系统信息泄露系统信息泄露：内部MySQL Connector/Python 支持（支持版本：8.1.0）MySQL Connector/Python 是一个软件库，可促进 Python 应用程序和 MySQL 数据库之间的交互。它充当 Python 编程语言和 MySQL 数据库管理系统之间的桥梁或连接器，使开发人员能够使用 Python 代码轻松连接、查询和操作 MySQL 数据库中的数据。改进的类别覆盖范围包括以下内容：访问控制：数据库拒绝服务不安全传输：客户端身份验证已禁用不安全的传输：数据库不安全的传输：弱 SSL 协议密码管理密码管理：空密码密码管理：硬编码密码密码管理：弱加密路径操作服务器端请求伪造SQL 注入改进了对Django的支持（支持的版本：3.2）Django是一个用Python编写的Web框架，旨在促进安全和快速的Web开发。开发的速度和安全性是通过框架中的高度抽象来实现的，其中代码构造和生成用于大幅减少样板代码。在此版本中，我们更新了现有的 Django 覆盖范围以支持 3.2 版本之前的版本。改进的覆盖范围包括以下命名空间：Django.contrib.auth.models，Django.db.models和Django.http.response。此外，改进的弱点类别覆盖范围包括以下内容：云基础结构即代码 （IaC）基础结构即代码是通过代码管理和预配计算机资源的过程，而不是各种手动过程。支持的技术的覆盖范围扩大，包括用于部署到 Azure Microsoft 的 Terraform 配置，以及用于 AWS Ansible 的配置。与上述这些服务的配置相关的常见问题现在报告给开发人员。Microsoft Azure Terraform 配置Terraform 是一个开源 IaC 工具，用于构建、更改和版本控制云基础架构。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。地形提供程序支持Microsoft Azure 基础结构的配置和管理。改进的弱点类别覆盖范围包括 Terraform 配置的以下内容：2023 Common Weakness Enumeration (CWETM) Top 25常见的弱点枚举（CWE） 2019 年推出了 25 大最危险的软件弱点（CWE 前 25 名），取代了 SANS 前 25 名。2023 年 CWE 前 25 名于2023 年 6 月发布，使用启发式公式确定，该公式规范化了过去两年向国家漏洞数据库 （NVD） 报告的漏洞的频率和严重性。为了支持希望围绕NVD中最常报告的关键漏洞进行审核的客户，添加了Fortify分类法与2023年CWE Top 25的相关性。OWASP API Security Top 10 20232023 年全球开放应用程序安全项目 （OWASP） API 安全 10 强提供了 2023年影响 API 的主要安全风险列表。它旨在提高对 API 安全弱点的认识，并教育参与 API 开发和维护的人员，例如需要保护 Web API 的开发人员、设计人员、架构师、经理和/或组织。OWASP API 安全性 Top 10 侧重于影响 Web API 的弱点，它不打算单独使用，而是旨在与其他标准和最佳实践结合使用，以便彻底捕获所有相关风险。例如：它应与OWASP Top 10结合使用，以识别与输入验证（如注入）相关的问题。为了支持希望降低 Web 应用程序风险的客户，添加了强化分类法与新发布的 OWASP API 安全 2023 年 10 强的关联。互联网安全中心 （CIS） 基准互联网安全中心 （CIS） 基准是社区开发的安全配置建议的集合，这些建议映射到 CIS 关键安全控制。这些建议旨在实现保护云基础架构的安全，并证明符合行业标准。CIS 基准不断更新，以适应所涵盖的 25+ 供应商产品系列不断变化的网络安全状态。支持的产品系列包括：Amazon Elastic Kubernetes Service （EKS） Benchmark v1.3.0亚马逊云科技基础基准测试v2.0.0Azure Kubernetes Service （AKS） Benchmark v1.3.0谷歌云计算平台基准测试版 v2.0.0Google Kubernetes Engine （GKE） Benchmark v1.4.0Kubernetes Benchmark v1.7.1Microsoft Azure 基础基准测试版本 2.0.0智能合约弱点分类（SWC）[3]智能合约弱点分类（SWC）是一个系统框架，用于对智能合约中的漏洞进行分类和解释。它提供了一种标准化的方式来理解和解决在以太坊等区块链上运行的这些自动执行代码片段的弱点。值得注意的是，SWC 注册表的内容自 2020 年以来一直没有全面更新，导致已知的不完整、错误和重要遗漏。为了支持希望降低智能合约风险的客户，添加了强化分类法与当前版本的SWC的关联。其他勘误表在此版本中，已投入资源以确保我们可以减少误报问题的数量，重构一致性，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化：弃用 20.x之前的 Fortify 静态代码分析器 正如 2022.4 版本所观察到的，我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。因此，这将是支持 20.x 之前的 Fortify 静态代码分析器版本的规则包的最后一个版本。对于下一个版本，20.x 之前的 Fortify 静态代码分析器版本将不会加载最新的规则包。这将需要降级规则包或升级 Fortify 静态代码分析器的版本。对于未来的版本，我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。误报改进工作仍在继续，努力消除此版本中的误报。除了其他改进之外，客户还可以期望在以下方面进一步消除误报：不安全部署：未修补的应用程序CVE-2023-25135 已发现 vBulletin 版本 5.6.0 至 5.6.8 中的预授权远程执行代码 （RCE） 漏洞。 vBulletin 是一种用于构建动态在线社区和论坛的流行软件，它不正确地清理用户提供的输入以进行未经身份验证的反序列化。此问题使攻击者能够在服务器上执行任意代码、滥用应用程序逻辑或装载拒绝服务 （DoS） 攻击。此版本包括一项检查，用于检测目标服务器上的此漏洞。Prototype Pollution: Server-Side攻击者可以操纵对象的原型时，就会发生服务器端原型污染。这在基于原型的语言（如 JavaScript）中是可能的，它可以在运行时更改属性和方法。漏洞利用的严重性取决于污染对象在应用程序中的使用位置。攻击包括拒绝服务、更改应用程序配置，在某些情况下还包括远程代码执行。此版本包括检测 Web 应用程序中原型污染的检查。合规报告2023 年常见弱点枚举 （CWE） 前 25 名常见弱点枚举 （CWE） 前 25 个最危险的软件弱点 （CWE 前 25 名）于 2019 年推出，取代了 SANS 前 25 名。2023 年 CWE 前 25 名于 6 月发布，使用启发式公式确定，该公式规范化过去两年向国家漏洞数据库 （NVD） 报告的漏洞的频率和严重性。此 SecureBase 更新包括直接映射到 CWE 前 25 名标识的类别的检查，或通过“ChildOf”关系与前 25 名中的 CWE-ID 相关的 CWE-ID。OWASP API 安全 2023 年 10 强 2023 年全球开放应用程序安全项目 （OWASP） API 安全 10 强提供了 2023年影响 API 的主要安全风险列表。它旨在提高对 API 安全漏洞的认识，并教育参与 API 开发和维护的人员，例如需要保护 Web API 的开发人员、设计人员、架构师、经理和一般组织。OWASP API 安全性前 10 名侧重于影响 Web API 的弱点，它不打算单独使用。相反，它旨在与其他标准和最佳实践结合使用，以彻底捕获所有相关风险。例如：将 OWASP API 安全 2023 年前 10 名与 OWASP 前 10 名结合使用，以识别与输入验证（如注入）相关的问题。此 SecureBase 更新包括一个新的合规性报告模板，该模板提供 OWASP API 安全性 2023 年十大类别与 WebInspect 检查之间的关联。政策更新2023 年 CWE 前 25 名 自定义策略以包含与 2023 年 CWE 前 25 名相关的检查已添加到 WebInspect SecureBase 受支持策略列表中。OWASP API 安全性 2023 年 10 强 自定义策略以包含与 OWASP API 安全 2023年 10 强相关的检查，已添加到 WebInspect SecureBase 受支持策略列表中。此策略包含可用 WebInspect 检查的子集，使客户能够运行特定于合规性的 WebInspect 扫描。其他勘误表在此版本中，我们投入了资源来进一步减少误报的数量，并提高客户审核问题的能力。客户还可以期望看到与以下领域相关的报告结果的变化。LDAP 注入 此版本包括对 LDAP 注入检查的改进，以减少误报并提高结果的准确性。SSL 证书主机名差异 SSL 证书主机名差异检查报告内容现在包含更多详细信息，这些信息应帮助客户应用此安全问题的正确修复程序。通过检查输入实现主动覆盖对于某些 WebInspect 检查，可以启用主动覆盖，以指导 WebInspect 发送针对更广泛端点的更长的攻击列表。此版本包括对这些检查的改进，使客户能够通过更改检查输入来配置主动覆盖范围，而不是向扫描策略添加单独的检查。具有主动覆盖功能的检查包括：Log4Shell、JNDI 引用注入、服务器端请求伪造、操作系统命令注入和服务器端原型污染。启用主动覆盖的检查可提供更准确的扫描，但是，重要的是要考虑到请求数和扫描时间可能会急剧增加。因此，Fortify 强烈建议您在单独的策略中启用主动覆盖的情况下运行检查，而不进行其他检查。Web 服务器配置错误：未受保护的文件此版本包含一个小错误修复，以改进对 Java 相关配置文件的检测。Fortify优质内容研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。2023 年 CWE 前 25 名 为了配合新的相关性，此版本还包含 Fortify 软件安全中心的新报告包，支持 2023 年 CWE 前 25 名，可从 Fortify 客户支持门户的“高级内容”下下载。OWASP API 安全 2023 年 10 强 为了配合新的相关性，此版本还包含 Fortify 软件安全中心的新报告包，支持 OWASP API 安全前 10 名，可从 Fortify 客户支持门户的“高级内容”下下载。