Fortify Securebase [Fortify WebInspect]

Fortify Securebase 將針對(duì)數(shù)千個(gè)漏洞的檢查與策略相結(jié)合，這些策略可指導(dǎo)用戶(hù)通過(guò) SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補(bǔ)的應(yīng)用程序[5]

Cacti 是一個(gè)框架，為用戶(hù)提供日志記錄和繪圖功能來(lái)監(jiān)視網(wǎng)絡(luò)上的設(shè)備。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識(shí)別的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞的影響。使用用戶(hù)輸入輪詢(xún)數(shù)據(jù)調(diào)用方法proc_open時(shí)傳遞 poller_id 參數(shù)。由于此值未清理，因此攻擊者能夠在目標(biāo)計(jì)算機(jī)上執(zhí)行命令。將此命令注入問(wèn)題與使用 X-Forwarded-For 標(biāo)頭的身份驗(yàn)證繞過(guò)相結(jié)合，會(huì)導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者危害整個(gè)應(yīng)用程序。此版本包括一項(xiàng)檢查，用于在運(yùn)行受影響的 Cacti 版本的目標(biāo)服務(wù)器上檢測(cè)此漏洞。

SAML 不良做法：不安全轉(zhuǎn)換

SAML消息經(jīng)過(guò)加密簽名，以保證斷言的有效性和完整。服務(wù)提供商必須執(zhí)行的簽名驗(yàn)證步驟之一是轉(zhuǎn)換 Reference 元素指向的數(shù)據(jù)。通常，轉(zhuǎn)換操作旨在僅選擇引用數(shù)據(jù)的子集。但是，攻擊者可以使用某些類(lèi)型的轉(zhuǎn)換造成拒絕服務(wù)，在某些環(huán)境中甚至執(zhí)行任意代碼。此版本包括一項(xiàng)檢查，如果服務(wù)提供商允許在 XML 引用中使用不安全類(lèi)型的轉(zhuǎn)換，則會(huì)觸發(fā)該檢查。

合規(guī)報(bào)告

DISA STIG 5.2 為了支持我們的聯(lián)邦客戶(hù)的合規(guī)需求，此版本包含 WebInspect 檢查與版本的信息系統(tǒng)局應(yīng)用程序安全和開(kāi)發(fā) STIG 5.2

版的關(guān)聯(lián)。

PCI DSS 4.0 為了支持我們的電子商務(wù)和金融服務(wù)客戶(hù)的合規(guī)性需求，此版本包含 WebInspect 檢查與版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) 4.0 版中的要求的關(guān)聯(lián)

這是 Fortify Static Code Analyzer （SCA） 和 Fortify Software Security Center （SSC） 的 Jenkins 插件。

插件信息

該插件增加了使用 Micro Focus Fortify 靜態(tài)代碼分析器執(zhí)行安全分析、將結(jié)果上傳到 Micro Focus Fortify SSC、顯示分析結(jié)果摘要以及根據(jù)分析結(jié)果設(shè)置構(gòu)建失敗標(biāo)準(zhǔn)的功能。

總結(jié)

在持續(xù)集成構(gòu)建中使用 Fortify Jenkins 插件，通過(guò) Fortify 靜態(tài)代碼分析器識(shí)別源代碼中的安全問(wèn)題。Fortify 靜態(tài)代碼分析器分析完成后，您可以將結(jié)果上傳到 Fortify 軟件安全中心服務(wù)器。Fortify Jenkins 插件還使您能夠在 Jenkins 中查看分析結(jié)果詳細(xì)信息。它提供了每個(gè)構(gòu)建的指標(biāo)和結(jié)果的概述，而無(wú)需您登錄 Fortify 軟件安全中心。

特征

提供構(gòu)建后操作，以使用 Fortify 靜態(tài)代碼分析器分析源代碼、更新安全內(nèi)容、使用 Fortify ScanCentral SAST 進(jìn)行遠(yuǎn)程分析、將分析結(jié)果上傳到 Fortify 軟件安全中心，并根據(jù) Fortify 軟件安全中心處理的上傳結(jié)果將構(gòu)建狀態(tài)設(shè)置為不穩(wěn)定使用 Fortify 靜態(tài)代碼分析器在本地和 Fortify ScanCentral SAST 遠(yuǎn)程為源代碼分析提供管道支持，更新安全內(nèi)容并將分析結(jié)果上傳到 Fortify 軟件安全中心顯示使用 Fortify 靜態(tài)代碼分析器在本地分析的每個(gè)作業(yè)的分析結(jié)果，其中包括 Fortify 軟件安全中心的歷史趨勢(shì)和蕞新問(wèn)題，以及導(dǎo)航到 Fortify 軟件安全中心上的各個(gè)問(wèn)題以進(jìn)行詳細(xì)分析。

設(shè)置

這組說(shuō)明介紹如何配置插件以運(yùn)行本地 Fortify 靜態(tài)代碼分析器掃描，將分析結(jié)果上傳到軟件安全中心，然后在 Jenkins 中查看分析結(jié)果。您還可以使用 ScanCentral SAST 運(yùn)行分析。有關(guān)說(shuō)明，請(qǐng)參閱完整文檔。

創(chuàng)建 CIToken 類(lèi)型的身份驗(yàn)證令牌。登錄 Fortify 軟件安全中心，單擊“管理”選項(xiàng)卡，然后在左側(cè)窗格中選擇“令牌管理>用戶(hù)”。單擊“新建”創(chuàng)建 CIToken 類(lèi)型的身份驗(yàn)證令牌，然后單擊“保存”。對(duì)話框底部的令牌。

在 Jenkins 中，安裝 Fortify 插件。

從“Jenkins”菜單中，選擇“Jenkins”>“管理 Jenkins”>“配置系統(tǒng)”。要根據(jù)結(jié)果觸發(fā)不穩(wěn)定構(gòu)建并在 Jenkins 中查看分析結(jié)果，您需要將本地運(yùn)行的分析結(jié)果上傳到 Fortify 軟件安全中心。向下滾動(dòng)到強(qiáng)化評(píng)估部分，然后執(zhí)行以下操作：

在“SSC URL”框中，鍵入“強(qiáng)化軟件安全中心服務(wù)器 URL”。

在“身份驗(yàn)證令牌”框下方，單擊“添加> Jenkins”以打開(kāi)“Jenkins 憑據(jù)提供程序”對(duì)話框，并添加類(lèi)型為“強(qiáng)化連接令牌”的憑據(jù)。添加憑據(jù)的說(shuō)明，并將在步驟 1 中創(chuàng)建的令牌值粘貼到“令牌”框中。

要使用 Jenkins 中配置的代理設(shè)置連接到 Fortify 軟件安全中心，請(qǐng)選擇“使用 Jenkins 代理”。

單擊測(cè)試 SSC 連接。