Fortify Securebase [Fortify WebInspect]

Fortify Securebase 將針對數(shù)千個漏洞的檢查與策略相結(jié)合，這些策略可指導(dǎo)用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補的應(yīng)用程序[5]

Cacti 是一個框架，為用戶提供日志記錄和繪圖功能來監(jiān)視網(wǎng)絡(luò)上的設(shè)備。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識別的遠程代碼執(zhí)行 （RCE） 漏洞的影響。使用用戶輸入輪詢數(shù)據(jù)調(diào)用方法proc_open時傳遞 poller_id 參數(shù)。由于此值未清理，因此攻擊者能夠在目標(biāo)計算機上執(zhí)行命令。將此命令注入問題與使用 X-Forwarded-For 標(biāo)頭的身份驗證繞過相結(jié)合，會導(dǎo)致未經(jīng)身份驗證的攻擊者危害整個應(yīng)用程序。此版本包括一項檢查，用于在運行受影響的 Cacti 版本的目標(biāo)服務(wù)器上檢測此漏洞。

SAML 不良做法：不安全轉(zhuǎn)換

SAML消息經(jīng)過加密簽名，以保證斷言的有效性和完整。服務(wù)提供商必須執(zhí)行的簽名驗證步驟之一是轉(zhuǎn)換 Reference 元素指向的數(shù)據(jù)。通常，轉(zhuǎn)換操作旨在僅選擇引用數(shù)據(jù)的子集。但是，攻擊者可以使用某些類型的轉(zhuǎn)換造成拒絕服務(wù)，在某些環(huán)境中甚至執(zhí)行任意代碼。此版本包括一項檢查，如果服務(wù)提供商允許在 XML 引用中使用不安全類型的轉(zhuǎn)換，則會觸發(fā)該檢查。

合規(guī)報告

DISA STIG 5.2 為了支持我們的聯(lián)邦客戶的合規(guī)需求，此版本包含 WebInspect 檢查與版本的信息系統(tǒng)局應(yīng)用程序安全和開發(fā) STIG 5.2

版的關(guān)聯(lián)。

PCI DSS 4.0 為了支持我們的電子商務(wù)和金融服務(wù)客戶的合規(guī)性需求，此版本包含 WebInspect 檢查與版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) 4.0 版中的要求的關(guān)聯(lián)

這是 Fortify Static Code Analyzer （SCA） 和 Fortify Software Security Center （SSC） 的 Jenkins 插件。

插件信息

該插件增加了使用 Micro Focus Fortify 靜態(tài)代碼分析器執(zhí)行安全分析、將結(jié)果上傳到 Micro Focus Fortify SSC、顯示分析結(jié)果摘要以及根據(jù)分析結(jié)果設(shè)置構(gòu)建失敗標(biāo)準(zhǔn)的功能。

總結(jié)

在持續(xù)集成構(gòu)建中使用 Fortify Jenkins 插件，通過 Fortify 靜態(tài)代碼分析器識別源代碼中的安全問題。Fortify 靜態(tài)代碼分析器分析完成后，您可以將結(jié)果上傳到 Fortify 軟件安全中心服務(wù)器。Fortify Jenkins 插件還使您能夠在 Jenkins 中查看分析結(jié)果詳細信息。它提供了每個構(gòu)建的指標(biāo)和結(jié)果的概述，而無需您登錄 Fortify 軟件安全中心。

特征

提供構(gòu)建后操作，以使用 Fortify 靜態(tài)代碼分析器分析源代碼、更新安全內(nèi)容、使用 Fortify ScanCentral SAST 進行遠程分析、將分析結(jié)果上傳到 Fortify 軟件安全中心，并根據(jù) Fortify 軟件安全中心處理的上傳結(jié)果將構(gòu)建狀態(tài)設(shè)置為不穩(wěn)定使用 Fortify 靜態(tài)代碼分析器在本地和 Fortify ScanCentral SAST 遠程為源代碼分析提供管道支持，更新安全內(nèi)容并將分析結(jié)果上傳到 Fortify 軟件安全中心顯示使用 Fortify 靜態(tài)代碼分析器在本地分析的每個作業(yè)的分析結(jié)果，其中包括 Fortify 軟件安全中心的歷史趨勢和蕞新問題，以及導(dǎo)航到 Fortify 軟件安全中心上的各個問題以進行詳細分析。

設(shè)置

這組說明介紹如何配置插件以運行本地 Fortify 靜態(tài)代碼分析器掃描，將分析結(jié)果上傳到軟件安全中心，然后在 Jenkins 中查看分析結(jié)果。您還可以使用 ScanCentral SAST 運行分析。有關(guān)說明，請參閱完整文檔。

創(chuàng)建 CIToken 類型的身份驗證令牌。登錄 Fortify 軟件安全中心，單擊“管理”選項卡，然后在左側(cè)窗格中選擇“令牌管理>用戶”。單擊“新建”創(chuàng)建 CIToken 類型的身份驗證令牌，然后單擊“保存”。對話框底部的令牌。

在 Jenkins 中，安裝 Fortify 插件。

從“Jenkins”菜單中，選擇“Jenkins”>“管理 Jenkins”>“配置系統(tǒng)”。要根據(jù)結(jié)果觸發(fā)不穩(wěn)定構(gòu)建并在 Jenkins 中查看分析結(jié)果，您需要將本地運行的分析結(jié)果上傳到 Fortify 軟件安全中心。向下滾動到強化評估部分，然后執(zhí)行以下操作：

在“SSC URL”框中，鍵入“強化軟件安全中心服務(wù)器 URL”。

在“身份驗證令牌”框下方，單擊“添加> Jenkins”以打開“Jenkins 憑據(jù)提供程序”對話框，并添加類型為“強化連接令牌”的憑據(jù)。添加憑據(jù)的說明，并將在步驟 1 中創(chuàng)建的令牌值粘貼到“令牌”框中。

要使用 Jenkins 中配置的代理設(shè)置連接到 Fortify 軟件安全中心，請選擇“使用 Jenkins 代理”。

單擊測試 SSC 連接。