Fortify Securebase [Fortify WebInspect]

Fortify Securebase 將針對數千個漏洞的檢查與策略相結合，這些策略可指導用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補的應用程序[5]

Cacti 是一個框架，為用戶提供日志記錄和繪圖功能來監視網絡上的設備。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識別的遠程代碼執行 （RCE） 漏洞的影響。使用用戶輸入輪詢數據調用方法proc_open時傳遞 poller_id 參數。由于此值未清理，因此攻擊者能夠在目標計算機上執行命令。將此命令注入問題與使用 X-Forwarded-For 標頭的身份驗證繞過相結合，會導致未經身份驗證的攻擊者危害整個應用程序。此版本包括一項檢查，用于在運行受影響的 Cacti 版本的目標服務器上檢測此漏洞。

SAML 不良做法：不安全轉換

SAML消息經過加密簽名，以保證斷言的有效性和完整。服務提供商必須執行的簽名驗證步驟之一是轉換 Reference 元素指向的數據。通常，轉換操作旨在僅選擇引用數據的子集。但是，攻擊者可以使用某些類型的轉換造成拒絕服務，在某些環境中甚至執行任意代碼。此版本包括一項檢查，如果服務提供商允許在 XML 引用中使用不安全類型的轉換，則會觸發該檢查。

合規報告

DISA STIG 5.2 為了支持我們的聯邦客戶的合規需求，此版本包含 WebInspect 檢查與版本的信息系統局應用程序安全和開發 STIG 5.2

版的關聯。

PCI DSS 4.0 為了支持我們的電子商務和金融服務客戶的合規性需求，此版本包含 WebInspect 檢查與版本的支付卡行業數據安全標準 4.0 版中的要求的關聯

這是 Fortify Static Code Analyzer （SCA） 和 Fortify Software Security Center （SSC） 的 Jenkins 插件。

插件信息

該插件增加了使用 Micro Focus Fortify 靜態代碼分析器執行安全分析、將結果上傳到 Micro Focus Fortify SSC、顯示分析結果摘要以及根據分析結果設置構建失敗標準的功能。

總結

在持續集成構建中使用 Fortify Jenkins 插件，通過 Fortify 靜態代碼分析器識別源代碼中的安全問題。Fortify 靜態代碼分析器分析完成后，您可以將結果上傳到 Fortify 軟件安全中心服務器。Fortify Jenkins 插件還使您能夠在 Jenkins 中查看分析結果詳細信息。它提供了每個構建的指標和結果的概述，而無需您登錄 Fortify 軟件安全中心。

特征

提供構建后操作，以使用 Fortify 靜態代碼分析器分析源代碼、更新安全內容、使用 Fortify ScanCentral SAST 進行遠程分析、將分析結果上傳到 Fortify 軟件安全中心，并根據 Fortify 軟件安全中心處理的上傳結果將構建狀態設置為不穩定使用 Fortify 靜態代碼分析器在本地和 Fortify ScanCentral SAST 遠程為源代碼分析提供管道支持，更新安全內容并將分析結果上傳到 Fortify 軟件安全中心顯示使用 Fortify 靜態代碼分析器在本地分析的每個作業的分析結果，其中包括 Fortify 軟件安全中心的歷史趨勢和蕞新問題，以及導航到 Fortify 軟件安全中心上的各個問題以進行詳細分析。

設置

這組說明介紹如何配置插件以運行本地 Fortify 靜態代碼分析器掃描，將分析結果上傳到軟件安全中心，然后在 Jenkins 中查看分析結果。您還可以使用 ScanCentral SAST 運行分析。有關說明，請參閱完整文檔。

創建 CIToken 類型的身份驗證令牌。登錄 Fortify 軟件安全中心，單擊“管理”選項卡，然后在左側窗格中選擇“令牌管理>用戶”。單擊“新建”創建 CIToken 類型的身份驗證令牌，然后單擊“保存”。對話框底部的令牌。

在 Jenkins 中，安裝 Fortify 插件。

從“Jenkins”菜單中，選擇“Jenkins”>“管理 Jenkins”>“配置系統”。要根據結果觸發不穩定構建并在 Jenkins 中查看分析結果，您需要將本地運行的分析結果上傳到 Fortify 軟件安全中心。向下滾動到強化評估部分，然后執行以下操作：

在“SSC URL”框中，鍵入“強化軟件安全中心服務器 URL”。

在“身份驗證令牌”框下方，單擊“添加> Jenkins”以打開“Jenkins 憑據提供程序”對話框，并添加類型為“強化連接令牌”的憑據。添加憑據的說明，并將在步驟 1 中創建的令牌值粘貼到“令牌”框中。

要使用 Jenkins 中配置的代理設置連接到 Fortify 軟件安全中心，請選擇“使用 Jenkins 代理”。

單擊測試 SSC 連接。