最新发布的 Fortify 22.1.0 版本,不仅能高度兼容最新的软件技术,同时继续保持对运营环境常见的应用安全用例的广泛兼容性。经过强化的 Fortify 进一步提升了性能、准确性、可扩展性和易用性。
无论是运行 DevSecOps、开展云计算转型,还是确保软件供应链平稳运行与规模成熟度,Fortify提供了全面、包容和可扩展的智慧平台,支持软件组合从广度与深度两方面同步推进。
更新亮点
此次更新主要包括以下内容:
-继续提升语言支持,持续投资于提升客户体验并打造高效智慧平台,如新增对 Java 1、.NET6以及对 Terraform HCL 的支持
-使用工作流程宏进行扫描,确保全面覆盖重要内容。现在 Weblnspect 可以使用 HAR 文件进行工作流的全线扫描,并进行全种类测试,精准狙击 OAST等漏洞
-使用公共的 Fortify OAST 服务器 WI,轻松检测 OAS 漏洞,如 Log4Shell
同时,对Fortify Static Code Analyzer、 Fortify Weblnspect、 Fortify Software Security Center 和Fortify Composition Analysis 进行了全线更新。
新功能和特性的完整列表如下:
洞察力提升:网罗所有问题细节
如果你在更新应用程序版本中遇到了相关问题,你可以点击“相关问题”图标的标题,根据它们是否与其他问题相关来对罗列内容进行排序,也可以有选择地列出与某个问题相关的问题。
针对性提升:规则下载一步就位
之前 Fortify Software Security Center 对规则包只更新请求中 clientType 参数的关注有所不足,导致Rulepack 客户收到了大批量信息,包含所有可用的 Rulepack 数据(包括 Fortify Static CodeAnalyzer、 Fortify Security Assistant Rulepacks)。
现在,Fortify 在 Rulepack 更新请求中充分考虑到了 clientType 的详细参数。
规则性提升:无需在快速模式下执行 SCA 扫描
新版本的软件将不会在快速模式下执行 Fortify Static Code Analyzer 的扫描规则,系统可以组织上传设置为小于 4的 Fortify Static Code Analyzer 速查结果。
维护力提升:增加“保留天数”选项
在调度器页面中,新的报告维护图标中增加了“保留天数”选项。这个选项让所有用户能指定 FortifySoftware Security Center 保留生成报告的天数。
操控力提升:轻松暂停执行作业
现在,用户可以通过“维护”页面(ADMINISTRATION>Maintenance)的“暂停作业”选项,对作业流程实现全局操控,轻松实现暂停与恢复等操作。在暂停作业执行后,所有目前正在运行的作业(包括工件处理、报告生成、数据导出请求等)将继续执行以至完成。任何新提交的作业都将在清除暂停作业执行复选框显示,恢复正常处理后将按照优先级顺序自动排序。
自由度提升:评论特定的自定义标记值
现在,管理人员能够对自定义标记进行评论。当选中“要求评论”设置时,任何对自定义标签的更改都会自动弹出一个评论框,保存按钮将被禁用直到输入评论为止。
扩展性提升:展示问题数量增加
之前 AUDIT 页面一次只能显示 20、50 或 100 个问题。现在,你可以在每页显示多达 150 或 200上限个问题。
针对 Kubernetes 的更新
-增加对 Kubernetes 1.22 的支持
-增加对 Helm 3.8 的支持
Kotlin for Android 支持
您现在可以借助 ScanCentral 客户端,使用 Gradle 集成(-bt gradle)为远程翻译打包, Kotlin for Android 项目。
构建工具更新
-Gradle 7.3
-MSBuild 14.0, 17.0, 17.1, and 17.2
支持自动更新控制器上多个客户端版本
自动更新功能现在能在客户端的多个版本中得到应用。传感器和嵌入式客户端将由控制器中的可用版本进行更新,无需交给控制器进行版本操作。
操作系统更新
新增对以下操作系统和版本的支持:
-macOS 12
-Windows 11
编译器更新
新增对以下编译器版本的支持:
- Clang 13.1.6
-OpenJDK javac 17
-Swiftc 5.6
-cl(MSVC) 2015 and 2022
构建工具更新
新增对以下构建工具版本的支持:
-Gradle 7.4.x
-MSBuild 14.0,17.0, 17.1 and 17.2
-Xcodebuild 13.3 and 13.3.1
语言和框架更新
- C# 10
-.NET 6.0
- C/C++ 20
-HCL 2.0
-Java 17
-TypeScript 4.4 和4.5
注:Terraform 和谷歌云平台的规则将成为 Fortify 软件安全内容 2022 R2 版本的一部分。
支持 Visual studio 2022 的部署与应用
Fortify Extension for Visual Studio 现在支持 Visual Studio 2022。
支持IntelliJ 2021.x
Intelij 2021.x 支持 Fortify Analysis Plugin for IntelliJ,同时也支持从 IntelliJ 2021.x到 2021.3 版本的部署。
从文件系统引入 Fortify Rulepacks
Fortify Audit Workbench、 Fortify Eclipse Complete Plugin 和 Fortify Extension for Visual Studio 中的选项菜单能够导入从客户门户下载的 Fortify 所有规则包。
在两个 FPR 之间比较扫描文件
现在在两个 FPR 之间能比较扫描文件的 LOC,并查看 FPR 分析文件的 LOC 计数(-loc),或使用 FPRUtility(-loc,-compareTo)在两个 FPR 之间比较 LOC 计数。
可配置的 fortifyupdate的超时
现在,用户可以通过服务器的“rulepackupdate.SocketReadTimeoutSeconds”属性配置 fortifyupdate的 socket 超时。默认值是 180。
新的搜索修饰符:shortfilename
在 Fortify Audit Workbench 和 Fortify Plugins for Eclipse 中,你可以用 shortfilename 作为问题模板中的搜索修饰符,来过滤或隐藏与文件名匹配的问题。如果进行全路径匹配,可以继续使用文件搜索修饰符。
新的 OWASP Top 10 2021 报告
从以下工具生成新的 OWASP Top 10 报告(2021):
- Fortify Audit Workbench
- Fortify Extension for Visual Studio
-Fortify Remediation Plugin for Eclipse
-BlRTReportGenerator
用户配置限制
-新的设置权限:允许您根据需要对特定的域或IP 地址进行扫描。
-新的修改权限:需要允许用户修改扫描。没有这个权限的用户只能配置扫描 URL、登录宏、工作流宏和网络凭证。有了这个有限的角色,用户可以开始全新的扫描流程,从基础设置创建扫描查看设置而无需做出任何改变。
PostgressQL 支持
支持使用 PostgresSQL 数据库。
扫描导入
从 Fortify Weblnspect 或 Fortify WebInspect Enterprise 将扫描结果导入 ScanCentral PostgresSQL数据库。
自动部署(基础设施作为代码)
支持 ScanCentral DAST 完全自动化部署。
重新扫描按钮
允许您重新对现有的扫描进行操作。
Fortify Weblnspect
(Fortify DAST)
支持 HAR 文件
使用工作流程宏进行扫描,确保在扫描中涵盖重要内容。WebInspect 现在可以使用 HAR 文件进行工作流扫描。
带外测试
Weblnspect 现在可以对新的漏洞进行测试,这类漏洞往往被称为带外或 OAST 漏洞。同时,在使用公共 Fortify OAST 服务器的情况下,Weblnspect 可以检测 OAST 漏洞,如 Log4Shell。
更新引擎 7.0
Fortify 将继续增强其引擎能力,以提高扫描范围和性能。WebInspect 22.1.0 提供了更快的抓取和审计,并通过 Macro Engine 7.0 的 Web Macro Recorder 提供更好的应用支持。
支持 MS SQL AD Authentication
Weblnspect 22.1.0 现在可以使用 AD Authentication 的 MS SQL 数据库。
支持 Windows 11
Weblnspect 22.1.0 现在支持 Windows 11 操作系统。
Azure SQL 数据库支持
WebInspect 22.1.0 现在可以使用 Azure SQL 数据库来存储扫描数据。
Fortify Weblnspect Enterprise 21.2.0 的传感器支持
WebInspect 22.1.0 可以被配置为 Fortify Weblnspect 21.2.0 的传感器。
(本文转载自Fortify官网,如有侵权问题请联系处理)
