OpenText 应用程序安全内容 （Fortify） 更新 25.2

OpenText 软件安全研究（SSR）很高兴地宣布立即提供更新 OpenText SAST 应用程序安全内容（英语，版本 2025.2.0）， OpenText DAST SecureBase（通过 SmartUpdate 提供）和 Fortify Premium 内容。

关于 OpenText 软件安全研究

新的 OpenText 软件安全研究（SSR）团队将前沿研究转化为安全情报，为 Fortify 产品组合（包括 OpenText）提供支持静态应用程序安全测试（SAST）和 OpenText动态应用程序安全测试（DAST）。今天， OpenText 应用程序安全内容支持 33+ 种语言的 1721 个漏洞类别，并涵盖超过 100 万个单独的 API。

OpenText SAST 应用程序安全内容

在此版本中，SAST 应用程序安全内容可检测 33+ 种语言的 1,495 个独特漏洞类别，并涵盖超过 100 万个单独的 API。总之，此版本包括以下内容：

人工智能（AI）和机器学习（ML）改进
随着生成式 AI 和大型语言模型（LLM）的使用不断改变软件行业的解决方案空间，新的风险也随之出现。以下添加和改进扩展了 OpenText SAST 检测因隐式信任 AI/ML 模型 API 的响应而导致的弱点的能力，以及以下独特功能：

[新增] 支持 Python AutoGen（支持的版本：0.4.x）
AutoGen 是一个开源编程框架，用于构建 AI 代理并促进多个代理之间的合作以解决任务。AutoGen 旨在提供一个易于使用且灵活的框架，以加速代理 AI 的开发和研究，例如用于深度学习的 PyTorch。它提供的功能包括可以与其他代理对话的代理、LLM 和工具使用支持、自主和人机协同工作流程以及多代理对话模式。支持包括检测以下新类别的能力：过度代理。

[新增] 支持 Python Faiss（支持的版本：1.10.x）
Faiss 是一个用于高效相似性搜索和密集向量聚类的库。它包含可在任何大小的向量集中进行搜索的算法，最高可达 RAM 中可能不适合的向量。它还包含用于评估和参数调整的支持代码。Faiss 是用 C++ 编写的，具有完整的 Python/numpy 包装器。一些最有用的算法是在 GPU 上实现的。它由 Facebook AI Research 开发。支持包括检测以下新类别的能力：嵌入和数据暴露。

[新增] 支持 Python Hugging Face（支持版本：0.30.x）
Hugging Face 是一个开源 Python 库，可轻松访问最先进的预训练模型、数据集和工具，用于自然语言处理（NLP）、机器学习和 AI 开发。支持包括检测以下新类别的能力：Unbounded Consumption Misconfiguration。

Python LangChain 改进（支持的版本：0.3）
LangChain 是一个开源编排框架，用于使用大型语言模型（LLM）开发应用程序。适用于 Python 的 LangChain 库提供了用于创建 LLM 驱动的应用程序的工具和 API，例如聊天机器人和虚拟代理。改进包括检测以下新类别的能力：Unbounded Consumption Misconfiguration。

Python OpenAI 改进（支持的版本：1.43）
适用于 Python 的 OpenAI 库提供了将 AI 功能集成到各种应用程序中的工具。该库支持一系列功能，例如自然语言处理、文本生成和对话式 AI。改进包括检测以下新类别的能力：

OpenAI 配置错误：未指定的令牌限制
无限消耗配置错误

Python TensorFlow 改进（支持的版本：2.16。x）
TensorFlow 是 Google 领先的开源机器学习框架，为创建和部署机器学习模型提供了一套强大的工具。借助内置库和预先训练的模型，它简化了深度学习应用程序的构建。TensorFlow 可针对各种项目进行扩展，从研究原型到大规模生产系统。改进包括检测以下新类别的能力：嵌入和数据公开。

Spring AI 改进（支持的版本：1.0.0-M5）
Spring AI 库提供了通过将各种语言模型和矢量数据库与应用程序集成来增强具有 AI 功能的 Spring 应用程序的工具。改进的支持跨越两个命名空间，并更新了两个现有的弱点类别。

Python 标准库改进（支持的版本：3.13）
Python 是一种通用的、强大的编程语言，具有动态类型和高效的高级数据结构。它支持多种编程范式，包括结构化、面向对象和函数式编程。此版本增加了我们对 Python 最新版本的覆盖范围，扩展了我们对 Python 标准库 API 中更改的支持，跨三个模块的改进，以及对路径作等类别的现有支持的更新。

[新增] Pandas （支持的版本：2.2.3）
Pandas 是一个强大的 Python 库，专为高效的数据作和分析而设计。它提供灵活的数据结构，例如 Series 和 DataFrame、强大的数据对齐、轻松处理缺失数据以及与其他科学库的无缝集成。主要功能包括支持各种数据格式（CSV、Excel、SQL、JSON、HTML）、数据重塑和透视功能以及用于时间序列分析的综合工具，使其成为数据科学工作流的关键。支持涵盖 12 个现有的弱点类别，例如动态代码评估：代码注入、跨站点脚本和 SQL 注入。

Django 改进（支持的版本：5.1.6）
Django 是一个用 Python 编写的 Web 框架，旨在促进安全和快速的 Web 开发。开发的速度和安全性是通过框架中的高级抽象来实现的，其中代码构造和生成用于大幅减少样板代码。在这个版本中，我们更新了现有的 Django 覆盖率，以支持 5.1.6 之前的版本。改进涵盖八个现有的弱点类别，包括跨站点脚本和 SQL 注入。

ECMAScript 2024 （ES15）ECMAScript 2024 （ES15）
引入了对 JavaScript 语言的几项新功能和改进，包括对 ArrayBuffers、正则表达式、字符串、临时 API 和其他实用程序方法的增强。对 ECMAScript 2024 的支持将所有相关 JavaScript 弱点类别的覆盖范围扩展到最新版本的 ECMAScript 标准。

Spring 框架和 Spring 安全性改进
Spring 是一个强大的开源软件开发框架，它为基于 Java 的现代应用程序提供了全面的编程和配置模型。Spring 旨在简化复杂的开发过程，并代表了为开发堆栈的每一层提供支持的平台范围计划。改进包括跨 8 个命名空间的更新覆盖范围、19 个现有弱点类别以及添加以下新类别：

OAuth2 配置错误：不安全的密码授予

[新增] Spring for GraphQL （支持的版本：1.3.3）
Spring for GraphQL 是 GraphQL Java Spring 项目的后继者，是一个支持使用 GraphQL 构建 Spring 应用程序的库。GraphQL 是一个开源项目，具有强类型查询语言和适用于 API 的服务器端运行时引擎。支持涵盖 10 个现有弱点类别，并添加了以下新类别：

GraphQL Bad Practices: Schema Printer Enabled

Apache Commons 改进
Apache Commons 是一组可重用、轻量级和开源的 Java 组件和实用程序，为常见编程任务提供解决方案，并提供了一种扩展基本 Java API 的简便方法。Apache Commons 项目的主要目标是为开发人员提供现成的、经过充分测试的和有据可查的 Java 库，用于各种目的。改进包括跨 6 个命名空间和 25 个现有弱点类别的更新覆盖范围，包括命令注入、路径作和不安全反射。

gRPC-Java 和 gRPC for .NET 改进（支持的版本：1.70.0 for Java，2.70.0 for .NET）
Google 远程过程调用（gRPC）是一个基于 HTTP/2 和协议缓冲区（protobuf）消息格式的跨平台开源 RPC 框架。gRPC 库可用于各种编程语言，除了基本的客户端-服务器 gRPC 通信外，还支持负载平衡、跟踪和身份验证。gRPC-Java 的改进跨越了九个现有的弱点类别，包括不安全的传输和服务器端请求伪造，而 gRPC for .NET 的改进跨越了八个现有的弱点类别。

Golang 改进（支持的版本：1.23）
Golang 是由 Google 开发的一种开源编程语言，旨在实现简单性、效率和并发性，非常适合构建快速、可靠和可扩展的软件。我们更新了现有的 Golang 覆盖范围，以支持 1.23 版之前的版本，并扩大了包括路径作在内的三个现有弱点类别的覆盖范围。

PHP 核心改进（支持的版本：8.4）
PHP 是一种通用的脚本语言，用于构建动态和交互式网页。它是为服务器端设计的，具有处理多种文件类型（HTML、CSS 和 JavaScript）的好处。我们扩展了支持，包括最新版本的 PHP 标准库 API，并增加了对四个附加模块的支持。

云基础设施即代码（IaC）[3]
基础结构即代码是通过代码管理和预配计算机资源的过程，而不是各种手动过程。与上述服务的配置相关的常见问题现在报告给开发人员。

Amazon Web Services （AWS） CloudFormation 配置
CloudFormation 是 Amazon 提供的一项服务，用于自动预置和配置 AWS 资源。CloudFormation 使用户能够使用 JSON 或 YAML 模板管理 AWS 资源。利用这些模板，用户可以将资源集合（称为堆栈）作为一个单元创建、删除和修改。在此版本中，我们报告了 AWS CloudFormation 配置的以下 27 个新弱点类别：

AWS CloudFormation 配置错误：Athena WorkGroup 缺少客户管理的加密密钥
AWS CloudFormation 配置错误：CodeArtifact 域缺少客户管理的加密密钥
AWS CloudFormation 配置错误：CodeCommit 存储库缺少客户管理的加密密钥
AWS CloudFormation 配置错误：DynamoDB 缺少客户管理的加密密钥
AWS CloudFormation 配置错误：EKS 集群缺少客户管理的加密密钥
AWS CloudFormation 配置错误：Glue 数据目录缺少客户管理的加密密钥
AWS CloudFormation 配置错误：HealthLake 缺少客户管理的加密密钥
AWS CloudFormation 配置错误：不安全的 AppMesh 传输
AWS CloudFormation 配置错误：不安全的 DataSync 传输
AWS CloudFormation 配置错误：不安全的 Glue DataCatalog 存储
AWS CloudFormation 配置错误：不安全的 MemoryDB 传输
AWS CloudFormation 配置错误：不安全的 MSK 传输
AWS CloudFormation 配置错误：不安全的 OpenSearch 传输
AWS CloudFormation 配置错误：RDS 传输不安全
AWS CloudFormation 配置错误：不安全的 S3 存储桶传输
AWS CloudFormation 配置错误：不安全的 VpcLattice 传输
AWS CloudFormation 配置错误：AppMesh 日志记录不足
AWS CloudFormation 配置错误：CloudTrail Insights 日志记录不足
AWS CloudFormation 配置错误：CodeBuild 日志记录不足
AWS CloudFormation 配置错误：Cognito 日志记录不足
AWS CloudFormation 配置错误：ConfigurationRecorder 日志记录不足
AWS CloudFormation 配置错误：ECS TaskDefinition 日志记录不足
AWS CloudFormation 配置错误：EKS 集群日志记录不足
AWS CloudFormation 配置错误：SSM 关联日志记录不足
AWS CloudFormation 配置错误：Step Functions 日志记录不足
AWS CloudFormation 配置错误：LookoutEquipment 缺少客户管理的加密密钥
AWS CloudFormation 配置错误：S3 存储桶缺少客户管理的加密密钥
AWS CloudFormation 配置错误：StepFunctions 缺少客户管理的加密密钥

Azure 资源管理器（ARM）配置
ARM 是 Azure 的部署和管理服务。ARM 提供了一个管理层，使您能够在 Azure 账户中创建、更新和删除资源。在此版本中，我们报告了 ARM 配置的以下 10 个新弱点类别：

Azure ARM 配置错误：AKS 访问控制不当
Azure ARM 配置错误：不安全的应用程序网关传输
Azure ARM 配置错误：Data Box Edge 设备传输不安全
Azure ARM 配置错误：不安全的数据工厂传输
Azure ARM 配置错误：不安全的 Front Door 传输
Azure ARM 配置错误：不安全的 Grafana SMTP 传输
Azure ARM 配置错误：不安全的主机名绑定传输
Azure ARM 配置错误：不安全的机器学习传输
Azure ARM 配置错误：不安全的 MariaDB 服务器传输
Azure ARM 配置错误：私有云 LDAP 传输不安全

Google Cloud Platform Terraform 配置
Terraform 是一种开源基础设施即代码工具，用于构建、更改和版本控制云基础设施。它使用自己的声明性语言，称为 HashiCorp 配置语言（HCL）。云基础设施编纂在配置文件中以描述所需状态。Terraform 提供商支持 Google Cloud Platform 基础架构的配置和管理。在此版本中，我们提供了四个现有的配置弱点[4]，我们报告了 Google Cloud Platform Terraform 配置的以下九个新弱点类别：

GCP Terraform 配置错误：AlloyDB 缺少客户管理的加密密钥
GCP Terraform 配置错误：构件注册表缺少客户管理的加密密钥
GCP Terraform 配置错误：可公开访问的 Artifact Registry
GCP Terraform 配置错误：备份 GKE 缺少客户管理的加密密钥
GCP Terraform 配置错误：备份 GKE 可公开访问
GCP Terraform 配置错误：不安全的 Access Context Manager 存储
GCP Terraform 配置错误：不安全的内存存储 Redis 传输
GCP Terraform 配置错误：不安全的内存存储传输
GCP Terraform 配置错误：工作流日志记录不足

国防信息系统局（DISA）应用程序安全和开发安全技术实施指南（STIG）版本 6.2
为了支持我们联邦客户的合规性需求，添加了 OpenText Fortify Taxonomy 与 DISA 应用程序安全和开发 STIG 版本 6.2 的关联。

其他勘误
表在此版本中，我们投入了资源来减少误报问题的数量，重构一致性，并提高客户审核问题的能力。客户还可以看到与以下内容相关的报告问题的变化：

减少误报和其他显著的检测改进

访问控制：缺少授权检查 – 在使用 CALL TRANSACTION 的 ABAP 应用程序中删除了误报...WITH AUTHORITY-CHECK 语句
AWS Terraform 配置错误：EKS 网络访问控制不当 – 删除了误报
AWS Terraform 配置错误：S3 备份不足 – 已删除误报
Cookie 安全性 – 在使用 Net.Cookie API 的 .NET 应用程序中检测到的新问题
跨站点请求伪造 – 在使用 HTTP GET 端点的 JavaScript 应用程序中删除了误报
跨站点脚本：反射 – 在 J2EE/Jakarta EE 应用程序中删除了误报，这些应用程序涉及针对 XSS（如 ContentType 和 CharacterEncoding）进行清理的 HTTP 请求标头值。
跨站点脚本：反射 – 在 Python Django 应用程序中删除了误报
函数返回堆栈地址 – 在 C/C++ 应用程序中检测到的新问题
不安全的存储：缺少数据库加密 – 在使用 Realm 库的 iOS 应用程序中消除了误报
密码管理：空密码 – 在涉及属性 setter 的 .NET 应用程序中检测到的新问题
密码管理：硬编码密码 – 在涉及属性 setter 的 .NET 应用程序中检测到新问题
密码管理：空密码 – 在涉及属性 setter 的 .NET 应用程序中检测到的新问题
隐私侵犯 – 当密码值被 replace（）调用屏蔽时，JavaScript 应用程序中的误报已删除
争用条件：单例成员字段 – 当成员字段是线程私有局部变量时，在 Java 应用程序中删除了误报
未发布的资源：数据库 – 在面向对象的 ABAP 应用程序中消除了误报
未发布的资源：套接字 – 在面向对象的 ABAP 应用程序中消除了误报
未发布的资源：流 – 当流对象通过关闭其封闭对象隐式关闭时，Java 应用程序中会删除误报
经常被误用：异常处理 – 在与 _alloca 相关的情况下，C 应用程序中的误报被删除。

常见弱点枚举（CWE）改进
为了在合规性领域支持所有客户，OpenText Fortify 分类法与常见弱点枚举 （CWE）的相关性得到了改进。此更新删除了 OpenText Fortify 分类法和 CWE 类别类型之间的任何映射，因为它们不再适合映射目的。此外，受删除影响的 OpenText Fortify 分类法条目被重新映射到相应的 CWE 弱点类型，从而扩大了对现有 CWE 覆盖范围的支持，并增加了对以下 CWE ID 的新支持：

CWE ID 286（用户管理不正确）
CWE ID 344（在动态变化的上下文中使用不变值）
CWE ID 499（包含敏感数据的可序列化类）
CWE ID 573（调用方对规范的遵循不当）
CWE ID 590（堆上没有可用内存）
CWE ID 624（可执行正则表达式错误）
CWE ID 668（将资源暴露于错误的领域）
CWE ID 672（过期或发布后对资源执行的作）
CWE ID 684（指定功能的错误提供）
CWE ID 697（错误比较）
CWE ID 758（依赖于未定义、未指定或实现定义的行为）
CWE ID 912（隐藏功能）
CWE ID 1024（不兼容类型的比较）
CWE ID 1061（封装不足）
CWE ID 1070（包含不可序列化 Item 元素的可序列化数据元素）
CWE ID 1076（对预期约定的遵守不足）
CWE ID 1390（弱身份验证）

旧标准和最佳实践的过时映射
以下针对我们的 OpenText Fortify 分类法的标准和最佳实践映射已被标记为“过时”，因为它们不再被视为当前。

CWE Top 25 2021
CWE Top 25 2022
OWASP Top 10 2013
STIG 4.11
STIG 5.1
STIG 5.2

更新强化优先级顺序
显示结果时，默认情况下，OpenText SAST 使用 4 框严重性模型将项目分桶到 Critical、High、Medium 或 Low 的优先级中。这部分由规则中的 3 条元数据决定：Impact、Probability 和 Accuracy。尽管这些会定期维护，但随着时间的推移，网络安全形势会发生变化。发现了新的攻击媒介，漏洞类型或多或少变得突出，并且制定了立法或政策，使某些风险比以前更需要缓解。

此版本包括对所有规则的元数据的全面审查，以使值与当前的网络安全形势保持一致。由于这些更改，某些弱点将出现在 Lower severity （较低严重性）或 High severe （较高严重性）优先级视图中。具有基于这些值的复杂筛选器的用户也可能会遇到更改。

OpenText DAST （WebInspect）

OpenText DAST SecureBase 将对数千个漏洞的检查与策略相结合，这些策略可指导客户使用 SmartUpdate 立即进行以下更新。

漏洞支持

动态代码评估：不安全反序列化
CVE-2025-24813 是在 Apache Tomcat 中发现的路径等效漏洞，Apache Tomcat 是一种广泛使用的开源 Web 服务器和 Java servlet 容器，支持基于 Java 的应用程序。此缺陷特别影响服务器内部处理文件路径的方式。当 Apache Tomcat 的默认 servlet 配置为允许写入功能（默认禁用）时，CVE-2025-24813 可能会产生严重后果。结合允许部分 PUT 请求的默认行为，攻击者可以将特制的序列化会话文件上传到可写目录。上传文件后，后续的 HTTP 请求会强制 Tomcat 反序列化文件的内容，从而触发嵌入式有效负载的执行。利用此漏洞可能会导致任意代码执行、重要信息泄露、恶意内容注入或关键服务器配置文件损坏。受影响的 Apache Tomcat 版本包括 11.0.0-M1 到 11.0.2、10.1.0-M1 到 10.1.34 以及 9.0.0-M1 到 9.0.98。此版本包括检测目标服务器上漏洞的机制。

不安全部署：未修补的应用程序（CVE-2024-45195）
Apache OFBiz 是一个专为企业资源规划（ERP）设计的开源框架。它为一系列对各种业务功能至关重要的 Web 应用程序提供便利，包括人力资源、会计、库存管理、客户关系管理和营销。CVE-2024-45195 是在 18.12.16 之前的 Apache OFBiz 版本中发现的不正确授权漏洞。此缺陷使未经身份验证的远程攻击者能够在受影响的系统上执行任意代码。最新版本包含一项检查，用于在受影响的 Apache OFBiz 服务器上检测此漏洞。

不安全部署：未修补的应用程序（CVE-2024-45409）
CVE-2024-45409 是一个影响 Ruby-SAML 和 OmniAuth-SAML 库的关键漏洞，进而影响 GitLab 服务器。此漏洞使攻击者能够绕过 SAML 身份验证机制，授予未经授权的访问权限，从而导致权限提升和用户模拟。该漏洞已在 Ruby-SAML 库版本 1.17.0 和 1.12.3 中得到解决。为了解决此问题，GitLab 为社区版（CE）和企业版（EE）提供了关键补丁：17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10。此版本包括一种检测机制，用于识别使用受影响 Ruby-SAML 库版本的服务器上的漏洞。

合规性报告

DISA 应用程序安全和开发 STIG 版本 6.2
为了支持我们的联邦客户的合规性需求，此版本包含 OpenText DAST （WebInspect）检查与最新版本的 DISA 应用程序安全和开发 STIG 版本 6.2 的关联。

策略更新

DISA 应用程序安全和开发 STIG 版本 6.2
已将自定义策略添加到受支持策略的 SecureBase 列表中，以包括与 DISA 应用程序安全和开发 STIG 版本 6.2 相关的检查。

其他勘误表

在此版本中，我们投入了资源来进一步减少误报的数量并提高客户审计问题的能力。客户还可以看到与以下领域相关的报告结果发生变化。

弃用旧标准和最佳实践映射
以下针对我们的 OpenText DAST （WebInspect）检查的标准和最佳实践映射已被标记为“已弃用”，因为它们不再被视为当前。所有已弃用的映射都会导致其相关的扫描策略被弃用。