首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >最新版本Fortify静态代码扫描工具规则库更新,新增对人工智能 (AI) 和机器学习 (ML) 的支持

最新版本Fortify静态代码扫描工具规则库更新,新增对人工智能 (AI) 和机器学习 (ML) 的支持

原创
作者头像
软件实验室建设交流
发布2025-07-22 15:26:41
发布2025-07-22 15:26:41
3780
举报

ortify静态代码扫描工具是一款软件安全测试领域常见的测试工具,该工具现归属软件厂商OpenText旗下,在金融、电力等领域有着较为广泛的应用。近日,该工具发布了最新版本的规则库,版本 2025.3.0。在最新的版本中,Fortify支持 33+ 种语言的 1,731 个漏洞类别,并涵盖超过 100 万个单独的 API。

在人工智能技术飞速发展的今天,AI 在为社会生产力带来革命性变革的同时,其系统自身面临的安全问题也日益凸显。在最新版本的规则库更新中,fortify代码检测工具新增了对人工智能技术和大模型技术的安全检测支持,该功能在同类静态代码测试工具在人工智能安全领域的一项突破性进展。

下面我们一起来看一下Fortify静态代码扫描规则库本次升级具体的更新内容:

1、人工智能 (AI) 和机器学习 (ML) 改进

以下新增功能和改进扩展了 检测因隐式信任 AI/ML 模型 API 的响应而导致的弱点的能力:

1)Python OpenAI 改进(支持的版本:1.79)

适用于 Python 的 OpenAI 库提供了用于将 AI 功能集成到各种应用程序中的工具。该库支持一系列功能,例如自然语言处理、文本生成和对话式 AI。改进增加了对六个现有类别的支持,并包括检测以下新类别的能力:

· 数据中毒:AI 训练

· 数据中毒:AI 嵌入

2)Python Anthropic 改进(支持的版本:0.52)

Anthropic 的 MIT 许可 Python SDK 是一个精简的全类型 HTTPX 客户端,它使用支持自动重试和 SSE 流的同步/异步帮助程序包装所有 Claude /v1 端点(消息、模型、文件以及测试版功能),以实现实时输出。改进增加了对五个现有类别的支持,并添加了以下新类别:

· 人为错误配置:未指定的令牌限制

3)编码混乱:不可见字符

添加了一个附加类别 Encoding Confusion: Invisible Characters,以支持通过在相关配置文件中使用隐藏的 Unicode 字符来检测与供应链攻击相关的弱点。

2、Apache Struts 改进(支持的版本:7.0)

Apache Struts 是一个开源 Web 应用程序框架,用于使用模型-视图-控制器 (MVC) 架构开发 Java EE Web 应用程序。它通过分离业务逻辑、用户界面和请求处理,简化了可扩展、可维护的应用程序的构建。为了更新 Struts 支持,更新到版本 7.x 之前的所有主要命名空间移动都已包含在更新的覆盖率中。扩展了对四个现有类别的支持,并添加了以下五个新类别:

· HTML5:不安全的跨域嵌入器策略

· HTML5:Cross-Origin Embedder 策略已禁用

· HTML5:跨域 Embedder 策略绕过

· HTML5:Cross-Origin Opener 策略已禁用

· HTML5:跨域 Opener 策略绕过

3、支持 Python AWS 开发工具包 - Boto3(支持的版本:1.38)

Boto3 是适用于 Python 的官方 AWS 开发工具包,提供了一个通过高级抽象和低级访问与 AWS 服务交互的接口。我们为以下服务提供初步服务:ACM、AuroraDSQL、Boto3 Core、DynamoDB、EC2、Glacier、IAM、KMS、S3、SecretsManager 和 SimpleDB。支持涵盖 17 个现有类别,并引入了以下新类别:

· AWS Boto3 配置错误:EC2 网络访问控制不当

4、删除注释

已为 Java 和 C# 项目引入了 Fortify Issue 删除注释。这些特殊格式的注释使开发人员能够从源代码配置其扫描结果。

启用此功能后,将记录并详细说明对扫描结果的所有更改。

与模式 FortifyRemove(ID = “<Fortify RuleID>”) 或 FortifyRemove(Category = “<Fortify Category>”) 匹配的内联注释将导致记录与注释中指定的条件匹配的下一行上的问题,并将其从扫描结果中排除。调用 OpenText SAST 时,可以通过属性 com.fortify.sca.rules.EnableRuleComments 禁用此功能。

5、美国国防信息系统局 (DISA) 应用程序安全和开发安全技术实施指南 (STIG) 版本 6.3

为了支持联邦客户的合规性需求,添加了 OpenText Fortify 分类法与 DISA 应用程序安全和开发 STIG 版本 6.3 的关联。

6、全球开放应用程序安全项目 (OWASP) 应用程序安全验证标准 (ASVS) 5.0

为了在合规性领域支持所有客户,添加了 OpenText Fortify Taxonomy 与 OWASP ASVS 版本 5.0.0 的关联。ASVS 5.0.0 是对标准先前版本 4.0.3 的重大更新,其中包含大量更改。在 345 个总需求中,只有 26 个版本之间几乎没有变化。ASVS 仍然是一个社区驱动的项目,专注于保护 Web 应用程序和服务。

与之前的 ASVS 4.0.3 版本相比,ASVS 5.0.0 的策划更加“强调安全目标而不是机制”,并发生了整体架构变化,特别是“级别定义”的重新设计。与以前相比,现在每个 ASVS 要求都应用了单个级别定义,而以前给定的 ASVS 要求为级别子集定义了可变实施。由于 OpenText Fortify Taxonomy 是独立确定优先级的,并且包含代表 ASVS 定义的所有级别的弱点类型,因此不再需要为给定需求相关性指定 ASVS 级别,现在对于任何给定映射都是隐含的。

7、其他功能升级

1)删除了“隐私侵犯:自动完成”

不再报告隐私侵犯:当密码字段的“autocomplete”未设置为“off”时自动完成,因为当前的安全最佳实践不再将密码自动完成视为有风险,并且现代浏览器和密码管理器插件通常会绕过此设置。

2)移除了「HTML5 跨站脚本(XSS)防护」与「Helmet 不安全 XSS 过滤器配置」两项规则。

在较旧的浏览器中识别出“X-XSS-Protection”响应标头,以启用 XSS 保护功能。此功能在现代浏览器中已被弃用,因为它提供的保护不足,同时引入了新的漏洞。因此,当应用程序将“X-XSS-Protection”设置为“0”时,不再报告 HTML5:跨站点脚本保护和Helmet错误配置:不安全的 XSS 筛选器。相反,我们报告相反的情况,即当 'X-XSS-Protection' 设置为 '1' 或 '1' 时;mode=block“,如 HTML5:已弃用的标头。

3)减少误报和其他显著的检测改进

(1)Cookie 安全:持久会话 Cookie – 在 Java 和 PHP 应用程序中消除误报

(2)跨站点请求伪造 – 在 Django、Flask/Jinja2 和 .NET RazorPages 的 HTML 和基于 HTML 的模板文件中删除了误报

(3)密码管理:硬编码密码 – 在 C++ 和 PHP 应用程序中检测到的新问题

(4)隐私侵犯 – 在使用“System.IO.File”API 的 .NET 应用程序中检测到的新问题

(5)权限管理变体 – 在使用节点标记从合并的清单文件中删除权限的 Android 应用程序中删除了误报

(6)字符串终止错误 – 在使用 'c_str()' 的 C++ 应用程序中删除了误报

(7)系统信息泄漏 – 在使用“System.IO.File”API 的 .NET 应用程序中检测到的新问题

(8)未发布的资源 – 在使用“压缩”包的 Golang 应用程序中删除了误报

4)优先级排序更新

在显示结果时,默认情况下,OpenText SAST 使用 4 框严重性模型将项目分组到 Critical、High、Medium 或 Low 的优先级中。这部分由规则中的 3 条元数据决定:Impact、Probability 和 Accuracy。尽管这些会定期维护,但随着时间的推移,网络安全形势会发生变化。发现了新的攻击媒介,漏洞类型或多或少变得突出,并且制定了立法或政策,使某些风险比以前更需要缓解。

在此版本中,调整了 2 个类别以校准 Fortify 优先级顺序 (FPO) 和关联的元数据值:

(1)代码正确性:双重检查锁定

(2)XML 外部实体注入

以上就是针对最新版本Fortify静态代码扫描工具规则库更新内容的介绍,希望能够对您有所帮助,如需Fortify工具试用或技术交流,可在评论区留言。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1、人工智能 (AI) 和机器学习 (ML) 改进
    • 1)Python OpenAI 改进(支持的版本:1.79)
    • 2)Python Anthropic 改进(支持的版本:0.52)
    • 3)编码混乱:不可见字符
  • 2、Apache Struts 改进(支持的版本:7.0)
  • 3、支持 Python AWS 开发工具包 - Boto3(支持的版本:1.38)
  • 4、删除注释
  • 5、美国国防信息系统局 (DISA) 应用程序安全和开发安全技术实施指南 (STIG) 版本 6.3
  • 6、全球开放应用程序安全项目 (OWASP) 应用程序安全验证标准 (ASVS) 5.0
  • 7、其他功能升级
    • 1)删除了“隐私侵犯:自动完成”
    • 2)移除了「HTML5 跨站脚本(XSS)防护」与「Helmet 不安全 XSS 过滤器配置」两项规则。
    • 3)减少误报和其他显著的检测改进
    • 4)优先级排序更新
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档