代码测试工具Fortify 最新版本Fortify25.4发布，新增多个人工智能方向的风险类别

Fortify是软件白盒测试中较为主流的静态代码扫描工具，它支持的语言多，覆盖的漏洞类型也更加广泛。对于软件开发组织来说，Fortify可以很方便地集成到开发环境中，在编码阶段实现“测试左移”，对于第三方软件评测机构来说，Fortify也是在代码测试领域开展测试的常规采购工具之一。在Fortify发布的最新版本Fortify25.4中，已经可以支持33+ 种语言的 1511 个漏洞类别，涵盖超过 100 万个单独的 API。

下面为大家介绍Fortify最新版本Fortify25.4中的主要更新内容：

1、新增对 Java 25的支持

支持扫描新发布的 Java 25 LTS 版本，涵盖范围包括对 12 个现有类别的改进，添加Java 字节码注入新类别

2、Kotlin 2.1

对 Kotlin 2.1的支持为现代 Android 和后端开发带来了更大的覆盖范围。

3、 .NET 10、ASP.NET Core 10 和 C# 14

Fortify25.4 支持扫描 .NET 10、ASP.NET Core 10 和 C#14。改进包括对六个现有类别的额外支持。

4、iOS 和 Xcode

Fortify25.4 版本包含对新发布的 Xcode 26 的支持，也包括对 Swift 6.2 的覆盖。

5、Python

1）模型上下文协议 （MCP） SDK

模型上下文协议 （MCP） 是一种开放协议，旨在标准化应用程序向大型语言模型 （LLM） 提供上下文的方式。它支持人工智能模型与外部工具、服务或数据源之间的安全和模块化集成，使大语言模型能够生成更准确和上下文感知的响应。在Fortify25.4版本中添加了对 MCP 的 Python SDK 实现的支持。支持涵盖六个现有类别，并增加了以下两个新类别：

LLM 配置错误：未指定的令牌限制

MCP 配置错误：缺少身份验证

2）FastAPI

FastAPI 是一个现代、高性能的 Web 框架，用于基于标准 Python 类型提示使用 Python 3.7+ 构建 API。基于 Starlette 构建，具有复杂的依赖注入、异步支持和丰富的响应类型，包括 FileResponse 和 HTMLResponse。支持涵盖 12 个现有类别。

6、JavaScript 和 TypeScript

Google Vertex AI 是一个 AI 开发平台，用于构建和使用生成式 AI 模型，包括 Google 的 Gemini、Imagen、Chirp、Veo 模型，以及包括 Anthropic 的 Claude 在内的第三方模型和各种开放模型。Fortify25.4 版本支持涵盖八个现有类别，并增加了以下两个新类别：

1）数据中毒：AI 上下文缓存

2）LLM 配置错误：未指定的令牌限制

7、Go

Fortify25.4版本对Go 1.24 和 1.25的支持支持。新增对Go Gin的支持，支持涵盖 19 个现有类别。

8、Dart

Fortify25.4版本增强对Dart & Flutter 支持，涵盖 Dart 到 3.8 版和 Flutter 到 3.32 版。

9、ABAP

1）ABAP SQL

Fortify25.4版本可以理解 ABAP SQL，以识别与直接嵌入在 ABAP 代码中的 SQL 查询相关的弱点，并跟踪来自数据库的数据。

2）ABAP Extractor 中的 Web Dynpro 项目支持

ABAP Extractor 现在支持 Web Dynpro 项目，将覆盖范围扩展到更多 SAP UI 组件，以获得更深度的安全防护。

10、新增量子攻击防护

Fortify25.4中，添加了新类别“弱加密：非 PQC 弹性算法”，初始覆盖范围是针对 Java。由于当前基于量子的攻击的理论性质，默认情况下禁用此类别。可以选择性地启用对此功能的支持。

11、库扫描

当单独扫描库代码时，可能会错过一些漏洞，尤其是那些仅在外部代码与公共函数交互时才出现的漏洞。为了帮助发现这些隐藏问题，Fortify25.4版本中引入了一个新选项，可以启用其他规则来模拟外部代码调用公共函数。通过这个功能可以使库代码的扫描更加彻底，有助于确保库的安全。

12、Smarter Filtering

Fortify25.4版本中实现了通过Smarter Filtering功能微调分析，允许组合多个标准，以进行更有针对性和更高效的代码审查。

13、部分跟踪筛选

可以筛选掉部分数据流问题（误报），仅保留最长的迹线，从而有效减少重复的审核工作。

14、FortifyRemove 注释改进

继 25.3 添加过滤注释之后，开发人员可以直接从他们的代码中过滤问题。Fortify25.4版本中可以更好使用通配符、列表和多个条件同时指定多个过滤器的功能。开发人员还可以在删除的同时新增注释，减少后续的审计工作量。

15、减少误报和其他检测改进

1）访问控制：数据库 - 在使用封闭函数的current_user调用者权限的 PL/SQL 应用程序中删除的误报

2）Apex 不良做法：未使用命名凭据 – 在未使用推荐的命名凭据的 Salesforce Apex 应用程序中检测到新类别

3）Azure ARM 配置错误：不安全的主机名绑定传输 - 已删除类别

4）命令行选项 - 多个修复 -exclude

5）跨站点脚本：AI – 在使用 AWS SageMaker 的 Python 应用程序中检测到的新问题

6）拒绝服务：格式字符串 – 在 Java 应用程序中删除了重复问题

7）FPR - 修复了根计算，以防止 ScanCentral SAST 扫描将根目录显示为生成的“Src”

8）FPR - 不属于用户源代码的临时文件现在会从 FPR 内的项目源文件中删除

9）不安全的 SSL：过于宽泛的证书信任 – 在使用 TrustKit 的 iOS 应用程序中删除了误报

10）使用 Jakarta EE 的 JSP 应用程序 - 修复了在 Java 和 JSP 代码之间发现其他问题的问题

11）Kotlin - 在 Java/Kotlin 混合 Maven 项目中正确配置 Kotlin 文件

12）隐私侵犯 – 在使用返回布尔值而不是解密值的解密函数的 Java 应用程序中删除误报

13）扫描策略 - 用更清晰的复合过滤器替换“风险”过滤器

14）特定条件下 C# lambda 中的稳定实例 ID

15）JSP 应用程序中涉及 NativeWebRequest.getNativeRequest（） 的各种重复数据流问题

16）在 .NET 应用程序中检测到的各种新数据流问题，涉及 Json.NET

17）在涉及 System.Text.Encoding 或 System.IO.StreamReader 函数的 .NET 应用程序中检测到的各种新数据流问题

18）在涉及地图对象的 Dart 应用程序中检测到的各种新数据流问题

19）弱加密 - 类别现在都包含在默认扫描策略中

16、类别名称更改

为了提高一致性，以下 27 个类别已重命名：

以上就是针对Fortify最新版本Fortify25.4的更新内容的介绍，如需获取7天试用，可与我联系。