源代码检测工具fortify采购-fortify采购-华克斯

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修补的应用程序[5]                

Cacti 是一个框架，源代码扫描工具fortify采购，为用户提供日志记录和绘图功能来监视网络上的设备。remote_agent.php文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 识别的远程代码执行 （RCE） 漏洞的影响。使用用户输入轮询数据调用方法proc_open时传递 poller_id 参数。由于此值未清理，因此攻击者能够在目标计算机上执行命令。将此命令注入问题与使用 X-Forwarded-For 标头的身份验证绕过相结合，源代码扫描工具fortify采购，会导致未经身份验证的攻击者危害整个应用程序。此版本包括一项检查，用于在运行受影响的 Cacti 版本的目标服务器上检测此漏洞。

SAML 不良做法：不安全转换          

SAML消息经过加密签名，以保证断言的有效性和完整。服务提供商必须执行的签名验证步骤之一是转换 Reference 元素指向的数据。通常，转换操作旨在仅选择引用数据的子集。但是，攻击者可以使用某些类型的转换造成拒绝服务，在某些环境中甚至执行任意代码。此版本包括一项检查，如果服务提供商允许在 XML 引用中使用不安全类型的转换，则会触发该检查。

合规报告

DISA STIG 5.2 为了支持我们的联邦客户的合规需求，此版本包含 WebInspect 检查与版本的信息系统局应用程序安全和开发 STIG 5.2          

版的关联。

PCI DSS 4.0 为了支持我们的电子商务和金融服务客户的合规性需求，此版本包含 WebInspect 检查与版本的支付卡行业数据安全标准 4.0 版中的要求的关联

SonarQube 10.6 中的新增功能

Python

通过对 Scikit-Learn 库的支持，增加了对机器学习的支持。

添加了日期和时间库的新规则。

Azure 资源管理器的新规则现在提供了涵盖

Azure 资源管理器模板的 11 条新规则。

支持 WebAPI 和 MVC for ASP.NET

 Core现在有 9 个新的 ASP.NET 规则可用，增加了对 WebAPI 终结点和 MVC 控制器的支持。

更新了 .NET 加密规则.NET 加密规则现已与 2024 年的同步。

对 MISRA C++2023 规则的改进对 MISRA C++2023 规则进行了审查，并利用相关思路以 Sonar 方式改进或增加了 C++ 规则。

ALM/Quality Center 新版本的新增功能

全新升级的图表类型

引入了一些新的图表类型，提供了对数据的洞察。复合图将多个图表中的实体关联起来，fortify采购，而趋势图则显示进度和趋势。周期时间图可让您分析端到端的时间流逝，例如“解决问题的时间”，以识别应用程序交付过程中的瓶颈或浪费。异常图有助于识别长时间停滞的工作，以避免延迟。测试执行树形图直观地呈现了每个测试集的测试状态和规模。您可以立即发现有问题的区域，并深入调查原因。

计划与实际图表现在有了新版本，源代码检测工具fortify采购，不仅可以显示上次运行结果，还可以显示历史数据。它还提供了更多选项，让您可以控制计算“计划”和“实际”线的标准。有了它，您可以根据自己的业务需求来使用这种图表。

进度图现在可以显示一条“总计”线，表示图表中各个类别的总和，有助于直观地显示整体进度。您可以根据需要打开/关闭“总计”线。