Fortify 25.2版本发布

我们很高兴地宣布即将推出 OpenText Fortify on Demand 25.2 版本！

此版本提供了由有价值的客户反馈驱动的关键增强功能，专注于改进门户和 API：门户增强功能：我们引入了多项更新以增强用户体验，使导航和功能更加直观。
API 升级：我们的 API 现在支持扩展功能，为与 Fortify on Demand 集成提供改进的性能和更大的灵活性。

用户可以从 Fortify on Demand 帮助中心或 Fortify on Demand 门户中的文档链接访问发行说明和用户指南。升级后，文档以英语提供;升级后几周内提供日语和西班牙语翻译。

Fortify 商品名称更改

OpenText 正在更改以下产品名称：

产品启动页、桅杆、登录页面和标识产品的其他位置上的产品名称已更改。名称更改旨在阐明产品功能，并更好地将 Fortify Software 产品与 OpenText 保持一致。在某些情况下，例如在文档标题页上，旧名称可能会暂时包含在括号中。您可以期待在未来的产品版本中看到更多更改。

关于 OpenText Core Application Security 25.2

本节概述了 OpenText Core Application Security 25.2。

引擎和规则包更新

OpenText Core Application Security 25.2 包括以下引擎和规则包更新。

Fortify 软件安全内容25.1

OpenText Core Application Security 已实施来自 Fortify Security Research （SSR） 的 Fortify Software Security Content 24.4（补丁）。

新功能

OpenText Core Application Security 25.2 包括以下新功能。

从 Fortify on Demand 更名为 OpenText Core Application Security

Fortify on Demand 已更名为 OpenText Core Application Security。

支持的平台

•macOS 15

语言支持

•支持PHP 8.4

•支持Python 3.13

•ECMAScript 2024

构建工具

•Gradle集成支持Gradle高达8.10.2

功能/更新

•默认情况下，在转换Visual Studio项目时排除测试项目

•更新安全（默认）和DevOps扫描策略以减少额外的噪音。

•改进了ABAP翻译和代码提取

•Jupyter notebooks

•自动检测Django和Flask模板。

•支持Django 5.1

•Spring (GaphQL) 1.3.3 support

•Pandas (Python)

•Apache Commons（添加了新库）

•跨AWS、Azure和Google Cloud的其他IaC类别

•支持其他类型的AI漏洞

•DISA STIG 6.2

此版本不支持的功能

构建工具

•xcodebuild 14.3、14.3.1

•Maven 3.0.5、3.5.x

编译器

• swiftc 5.8, 5.8.1

• Clang 14.0.3

其他功能

•Fortify静态代码分析器20.x将不再加载新的规则包。

•-apex和-apex版本选项已弃用，将来将被删除释放。

•不再支持Visual Studio网站项目。将您的网站项目转换为Web应用程序项目，以确保OpenText SAST可以扫描它们。

增强的门户用户体验

通过此版本，OpenText 为下列功能奠定了基础：

• 应用程序内基于角色的入门体验

• 新功能的交互式指南

• 用于快速访问的资源中心

• 常见问题

• 工具和集成

• 常见支持主题

• 应用内通信

• 新版本

• 新功能公告

• 事件

• 服务降级和其他问题

SAST Aviator 状态指示灯

用户现在可以在应用程序、版本和扫描级别查看 SAST Aviator 状态：

• 应用程序级别：您的应用程序页面、应用程序概述页面

• 版本级别：您的版本页面、版本概述页面

• 扫描级别：您的“扫描”页面、“应用程序扫描”页面、“释放扫描”页面

用于指定重复问题和扫描数据导出的日期范围的选项

为问题和扫描运行重复数据导出的用户可以选择在生成导出日期之前的天数。

API 更新

对 OpenText 核心应用程序安全API 进行了以下更新：

以下端点在响应正文中返回 createdVia 字段：

• 获取 /api/v3/users/{userId}

• 获取 /api/v3/users

针对静态漏洞，以下 API 中会返回Secure Code Warrior 链接：

• 获取 api/v3/releases/releaseId/vulnerabilities/vulnId/all-data

• 获取     api/v3/releases/releaseId/vulnerabilities/vulnId/recommendations

用户可以使用 API 端点 PUT /api/v3/releases/{releaseId}/dynamic-to-dast 从动态评估切换到DAST 自动评估。

支持 DISA STIG 6.1、NIST 800-53 Rev 5.1

OpenText Core Application Security 支持 SSR 2024 R4 更新中引入的新类别和合规性模板的功能。

支持 CWE Top 25 2023

OpenText Core Application Security 支持 CWE Top 25 2023 类别和合规性模板的功能。

报告页面筛选更新

用户可以在 Reports （报告） 页面上按版本、报告模板和状态筛选报告。

用户页面有 Created Via 列

标识用户的创建方式：通过 SSO、在门户中手动或通过 API。该信息也可在用户导出中使用。

使门户样式与公司标准保持一致

门户样式与 OpenText 准则保持一致，以实现一致的外观。

通过应用程序策略管理应用程序的附加服务

用户可以使用应用程序安全策略在应用程序级别管理附加组件服务的载入。

Magellan 仪表板更新

单击以下图表中的特定数据点，将在新选项卡中打开 Your Releases （您的版本） 页面，其中版本列表根据选择进行筛选：

• 按 SDLC 状态划分的版本

• 发布策略合规性

• 按星级评定发行

单击以下图表中的特定数据点将在新选项卡中打开 Your Scans （您的扫描） 页面，其中包含根据选择筛选的扫描列表：

• 计划概述仪表板图表

• 执行仪表板图表

单击 Program Overview dashboard 图表中的特定数据点将在新选项卡中打开 Your Applications 页面，其中包含根据选择筛选的应用程序列表。

已将 Fortify 颜色分配给Pass、Fail 和 Unassessed 类别。

已停用和已弃用的功能

以下功能计划停用：

• Continuous Application Monitoring 服务计划在     25.3 版本中停止使用。

功能可用性

某些功能的可用性受到限制。以下功能在指定的数据中心中可用：

• DAST 自动评估：AMS

• SAST Aviator （Fortify Aviator）：AMS、EMEA、APAC、FedRAMP

• Fortify on Demand Connect：除 FedRAMP 之外的所有数据中心

• Magellan 控制面板：除 FedRAMP 之外的所有数据中心

• 第三方集成（错误跟踪器、Secure Code Warrior、Slack、源代码控制、webhook、培训课程）：除 FedRAMP 之外的所有数据中心

文档

的文档 OpenText Core Application Security 可在 OpenText Core Application Security 门户、帮助中心和产品文档。

OpenText Core Application Security 的文档包括：

• OpenText Core 应用程序安全用户指南

• OpenText Core 应用程序安全发行说明

• OpenText Core Application Security IDE 插件指南

• Fortify on Demand Jenkins 插件用户指南

• Fortify Azure DevOps 扩展用户指南

• Fortify 集成指南

• Fortify CLI

支持的环境和兼容性

本节提供有关支持的平台、系统和版本的详细信息。

支持的系统

OpenText Core Application Security 支持以下浏览器：

• Chrome 最新版本

• Firefox Quantum 最新版本

• Mac 上的 Safari 最新版本（不支持 PC 上的 Safari）

• Edge 最新版本