Fortify 軟件安全研究團隊將前沿研究轉化為安全情報，為 Fortify 產品組合提供支持，包括 Fortify 靜態代碼分析器 （SCA） 和 Fortify WebInspect。如今，Fortify 軟件安全內容支持 30 種語言的 1，399 個漏洞類別，涵蓋超過 100 萬個單獨的 API。

Fortify Software Security Research （SSR） 很高興地宣布立即推出 Fortify Secure Coding Rulepacks（英語，版本 2023.1.0）、Fortify WebInspect SecureBase（可通過 SmartUpdate 獲得）和 Fortify Premium Content 的更新。

(資料圖片僅供參考)

Fortify安全編碼規則包 [Fortify靜態代碼分析器]

在此版本中，Fortify 安全編碼規則包可檢測 30 種編程語言中的 1，177 個獨特類別的漏洞，并跨越超過 100 萬個單獨的 API。總之，此版本包括以下內容：

GoLang 更新（支持的版本：1.17）

更新了對 Go 標準庫的支持，以支持最高版本 1.17。Go是由Google設計的靜態類型開源語言，其目的是使構建簡單、可靠和高效的軟件變得容易。Go 在語法上類似于 C，但具有內存安全機制、垃圾回收和結構類型。此更新改進了標準庫命名空間的覆蓋范圍，以包括以下附加類別：

Header Manipulation: SMTPMail Command Injection: SMTP支持改進了對現有命名空間覆蓋率下的弱點檢測，并擴展到包括以下新命名空間：

io/fsmath/bigmath/randomnet/smtpnet/textprototext/templatePython更新（支持版本：3.10）Python是一種通用的、功能強大的編程語言，具有動態類型和高效的高級數據結構。它支持多種編程范例，包括結構化、面向對象和函數式編程。此版本通過擴展對 Python 標準庫 API 更改的支持，增加了我們對 Python 3.10 的覆蓋范圍。更新的類別包括：

路徑操作侵犯隱私系統信息泄露ECMAScript 更新（支持的版本：2022）[1]ECMAScript 2022，也稱為 ES2022 或 ES12，是 JavaScript 語言的 ECMAScript 標準的最新版本。ES2022的主要功能是私有方法和訪問器，擴展的數字文字，邏輯賦值運算符以及改進的錯誤處理。對 ES2022 的支持將所有相關 JavaScript 漏洞類別的覆蓋范圍擴展到最新版本的 ECMAScript 標準。

Vue 2（支持的版本：2.7）對 Vue 2的初始支持。Vue 是一個開源的響應式框架，用于為所有 ECMAScript 5 兼容瀏覽器構建用戶界面和單頁應用程序。Vue 專注于 Web 應用程序的視圖層，是作為 Angular 和 React 等常見框架的極簡主義替代品而創建的。

iOS SDK 更新（支持的版本：16）[2]

Apple的iOS SDK提供了一系列框架，使開發人員能夠為Apple iPhone和iPad設備構建移動應用程序。此版本包含對 iOS SDK 對 Swift 和 Objective-C 的支持的增量更新。新的和更新的規則擴展了 iOS SDK 15 和 16 中 Swift iOS 和 iPadOS 應用程序的 DataDetection、Foundation、Security、SwiftUI 和 UIKit 框架的 API 覆蓋范圍。這些更新改進了許多現有弱點類別的問題檢測，包括：

Biometric Authentication: Insufficient Touch ID ProtectionFormat StringInsecure Transport: Weak SSL ProtocolLog ForgingPrivacy ViolationSystem Information Leak: ExternalSystem Information Leak: InternalWeak Encryption: Inadequate RSA Padding此外，此版本中還針對 iOS 和 iPadOS 應用程序引入了兩個新的弱點類別：

Insecure Storage: Persistent Named PasteboardInsecure Storage: Universal ClipboardSalesforce Apex 和 Visualforce Updates（支持的版本：v57）[3]Salesforce Apex是用于創建Salesforce應用程序（如業務事務，數據庫管理，Web服務和Visualforce頁面）的編程語言。此更新改進了我們對 Apex v57 API 和 Visualforce API 的支持。除了改進對現有弱點類別的支持外，我們的 Apex 支持還增加了以下內容：

Cross-Site Request ForgeryPoor Error Handling: Empty Catch BlockUnsafe Reflection此外，還為 Apex 應用程序引入了以下新的弱點類別：

?訪問控制：未強制執行的共享規則

使用 Java Apache Beam對 Google Dataflow 的初始支持（支持的版本：2.46.0）Apache Beam是一種開源的統一編程模型，用于構建能夠在各種數據處理后端上運行的數據處理管道。對Apache Beam的初始支持支持數據處理管道，例如Google Dataflow，并且僅限于Java編程語言，通過識別Apache Beam管道中的數據源。支持支持在 Apache Beam 轉換中報告相關的 Java 漏洞類別，例如命令注入、隱私侵犯和日志偽造。

.NET 7（支持的版本：7.0）.NET 是一個通用編程平臺，使程序員能夠使用一組標準化的 API 使用 C# 和VB.NET等語言編寫代碼。此版本將我們的覆蓋范圍擴大到最新版本的 .NET，改進了數據流，并擴展了以下類別的 API 覆蓋范圍：

拒絕服務：正則表達式路徑操作路徑操作：Zip 條目覆蓋權限操作侵犯隱私設置操作系統信息泄露.NET酷睿7（支持版本：7.0）.NETCore 是用于 .NET 的旗艦 Web 框架。該框架包括創建多種類型的應用程序的功能，包括 MVC Web 應用程序和 Web API。此版本將我們的覆蓋范圍擴大到最新版本的 .NETCore，擴展了我們支持的類別，包括：

拒絕服務侵犯隱私設置操作系統信息泄露此外，還為.NET應用程序引入了以下新的弱點類別：

.NET配置錯誤：記錄敏感信息云基礎結構即代碼 （IaC）IaC是通過代碼而不是各種手動過程來管理和配置計算機資源的過程。改進的支持包括用于部署到 AWS 和 Azure 的 Terraform 配置，以及改進的 Azure 資源管理器 （ARM） 覆蓋范圍。與這些服務的配置相關的常見問題現在報告給開發人員。

Amazon AWS 和 Microsoft Azure Terraform 配置Terraform 是一個開源基礎架構即代碼工具，用于構建、更改和版本控制云基礎架構。它使用自己的聲明性語言，稱為HashiCorp配置語言（HCL）。云基礎架構在配置文件中編碼，以描述所需狀態。Terraform 提供商支持 Microsoft Azure 基礎設施和 Amazon Web Services （AWS） 的配置和管理。在此版本中，我們報告了 Terraform 配置的以下類別：

AWS Terraform 配置錯誤：AMI 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Aurora 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Aurora 可公開訪問AWS Terraform 配置錯誤：CloudTrail 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：可公開訪問的數據庫遷移服務AWS Terraform 配置錯誤：DocumentDB 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：DocumentDB 可公開訪問AWS Terraform 配置錯誤：EBS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：EC2 映像生成器缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：EFS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Elasticache 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：文件緩存缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx Lustre 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx ONTAP 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx OpenZFS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：FSx Windows 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：不安全的 AMI 存儲AWS Terraform 配置錯誤：不安全的 Aurora 存儲AWS Terraform 配置錯誤：不安全的文檔數據庫存儲AWS Terraform 配置錯誤：不安全的 EC2 映像生成器存儲AWS Terraform 配置錯誤：不安全的 EFS 存儲AWS Terraform 配置錯誤：不安全的 Neptune 存儲AWS Terraform 配置錯誤：不安全的紅移存儲AWS Terraform 配置錯誤：Aurora 監控不足AWS Terraform 配置錯誤：文檔數據庫監控不足AWS Terraform 配置錯誤：RDS 監控不足AWS Terraform 配置錯誤：Kinesis 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Lightsail 可公開訪問AWS Terraform 配置錯誤：位置服務缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：Neptune 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：RDS 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：RDS 可公開訪問AWS Terraform 配置錯誤：Redshift 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：SageMaker 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：密鑰管理器缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：S3 缺少客戶管理的加密密鑰AWS Terraform 配置錯誤：時間流缺少客戶管理的加密密鑰Azure Terraform 配置錯誤：不正確的應用服務 CORS 策略Azure Terraform 配置錯誤：認知服務網絡訪問控制不當Azure Terraform 配置錯誤：不正確的 CosmosDB CORS 策略Azure Terraform 配置錯誤：不正確的函數 CORS 策略Azure Terraform 配置錯誤：不正確的醫療保健 CORS 策略Azure Terraform 配置錯誤：不正確的 IoT 中央網絡訪問控制Azure Terraform 配置錯誤：不正確的 IoT 中心網絡訪問控制Azure Terraform 配置錯誤：密鑰保管庫網絡訪問控制不正確Azure Terraform 配置錯誤：不正確的邏輯應用 CORS 策略Azure Terraform 配置錯誤：不正確的媒體服務網絡訪問控制Azure Terraform 配置錯誤：服務總線網絡訪問控制不正確Azure Terraform 配置錯誤：不正確的 SignalR CORS 策略Azure Terraform 配置錯誤：不正確的 SignalR 網絡訪問控制Azure Terraform 配置錯誤：不正確的 Spring Apps CORS 策略Azure Terraform 配置錯誤：不正確的存儲 CORS 策略Azure Terraform 配置錯誤：存儲網絡訪問控制不當Azure Terraform 配置錯誤：不正確的 Web PubSub Network 訪問控制Azure Terraform 配置錯誤：不安全的事件中心傳輸Azure Terraform 配置錯誤：不安全的前門傳輸Azure Terraform 配置錯誤：不安全的函數傳輸Azure Terraform 配置錯誤：不安全的 Redis 傳輸Azure Terraform 配置錯誤：不安全的服務總線傳輸Azure Terraform 配置錯誤：不安全的 SQL 數據庫傳輸Azure Terraform 配置錯誤：不安全的 SQL 托管實例傳輸Microsoft Azure Resource Manager （ARM） 配置ARM 是 Azure 的部署和管理服務。ARM 提供了一個管理層，可用于創建、更新和刪除 Azure 帳戶中的資源。在此版本中，我們報告了 ARM 配置的以下弱點類別：

Azure ARM 配置錯誤：自動化缺少客戶管理的加密密鑰Azure ARM 配置錯誤：批量缺少客戶管理的加密密鑰Azure ARM 配置錯誤：認知服務缺少客戶管理的加密密鑰Azure ARM 配置錯誤：數據磚缺少客戶管理的加密密鑰Azure ARM 配置錯誤：事件中心缺少客戶管理的加密密鑰Azure ARM 配置錯誤：不安全的 CDN 傳輸Azure ARM 配置錯誤：MySQL 存儲的不安全數據庫Azure ARM 配置錯誤：PostgreSQL 存儲的不安全數據庫Azure ARM 配置錯誤：不安全的 DataBricks 存儲Azure ARM 配置錯誤：不安全的事件中心存儲Azure ARM 配置錯誤：不安全的事件中心傳輸Azure ARM 配置錯誤：不安全的 IoT 集線器傳輸Azure ARM 配置錯誤：不安全的恢復服務備份存儲Azure ARM 配置錯誤：不安全的恢復服務保管庫存儲Azure ARM 配置錯誤：不安全的 Redis 企業傳輸Azure ARM 配置錯誤：不安全的 Redis 傳輸Azure ARM 配置錯誤：不安全的服務總線存儲Azure ARM 配置錯誤：不安全的服務總線傳輸Azure ARM 配置錯誤：不安全的存儲帳戶存儲Azure ARM 配置錯誤：IoT 中心缺少客戶管理的加密密鑰Azure ARM 配置錯誤：NetApp 缺少客戶管理的加密密鑰Azure ARM 配置錯誤：服務總線缺少客戶管理的加密密鑰Azure ARM 配置錯誤：存儲帳戶缺少客戶管理的加密密鑰Azure ARM 配置錯誤：弱應用服務身份驗證Azure ARM 配置錯誤：弱信號R 身份驗證可定制的密碼管理和密鑰管理正則表達式[4]有時，在源代碼中匹配密碼和加密密鑰的唯一方法是使用正則表達式進行有根據的猜測。這些現在可以通過屬性進行自定義，并且跨語言更加一致，并且默認正則表達式已受到限制以最大程度地減少誤報。

可以使用以下屬性之一配置全局正則表達式：

com.fortify.sca.rules.key_regex.global 或 com.fortify.sca.rules.password_regex.global

您可以使用以下屬性為每種語言設置更具體的變體：

com.fortify.sca.rules.key_regex.abapcom.fortify.sca.rules.key_regex.actionscript com.fortify.sca.rules.key_regex.cfml com.fortify.sca.rules.key_regex.cpp com.fortify.sca.rules.key_regex.golang com.fortify.sca.rules.key_regex.javacom.fortify.sca.rules.key_regex.javascript

com.fortify.sca.rules.key_regex.jspcom.fortify.sca.rules.key_regex.objccom.fortify.sca.rules.key_regex.php com.fortify.sca.rules.key_regex.python com.fortify.sca.rules.key_regex.ruby com.fortify.sca.rules.key_regex.sql com.fortify.sca.rules.key_regex.swiftcom.fortify.sca.rules.key_regex.vb

com.fortify.sca.rules.password_regex.abapcom.fortify.sca.rules.password_regex.actionscriptcom.fortify.sca.rules.password_regex.cfmlcom.fortify.sca.rules.password_regex.cobolcom.fortify.sca.rules.password_regex.configcom.fortify.sca.rules.password_regex.cppcom.fortify.sca.rules.password_regex.dockercom.fortify.sca.rules.password_regex.dotnetcom.fortify.sca.rules.password_regex.golangcom.fortify.sca.rules.password_regex.javacom.fortify.sca.rules.password_regex.javascriptcom.fortify.sca.rules.password_regex.jsoncom.fortify.sca.rules.password_regex.jspcom.fortify.sca.rules.password_regex.objc

com.fortify.sca.rules.password_regex.phpcom.fortify.sca.rules.password_regex.propertiescom.fortify.sca.rules.password_regex.pythoncom.fortify.sca.rules.password_regex.rubycom.fortify.sca.rules.password_regex.sqlcom.fortify.sca.rules.password_regex.swift

com.fortify.sca.rules.password_regex.vbcom.fortify.sca.rules.password_regex.yaml

有關默認正則表達式的更多詳細信息，請參閱 Fortify 靜態代碼分析器用戶指南。

DISA STIG 5.2

為了在合規性領域為我們的聯邦客戶提供支持，添加了 Fortify 分類法與國防信息系統局 （DISA） 應用程序安全和開發 STIG 版本 5.2 的關聯。

PCI DSS 4.0 為了在合規性方面支持我們的電子商務和金融服務客戶，此版本支持我們的Fortify分類類別與最新版本的支付卡行業數據安全標準 4.0 版中指定的要求之間的關聯。

PCI SSF 1.2為了在合規性領域支持我們的電子商務和金融服務客戶，此版本支持我們的Fortify分類類別與支付卡行業 （PCI） 安全軟件標準 （SSS） 中定義的新的“安全軟件要求和評估程序”中指定的控制目標之間的關聯，作為新軟件安全框架 （SSF） 的一部分， 版本 1.2。

其他勘誤表在此版本中，已投入資源以確保我們可以減少誤報問題的數量，重構一致性，并提高客戶審核問題的能力。客戶還可以期望看到與以下內容相關的報告問題的變化：

刪除“拒絕服務：解析雙重”已刪除拒絕服務：解析雙倍類別，因為該漏洞僅存在于 Java 版本 6 更新 23 和更早版本中。使用這些易受攻擊的 Java 版本的客戶仍然可以從 Fortify 客戶支持門戶的“高級內容”下下載單獨的規則包中的已刪除規則。

誤報改進工作仍在繼續，努力消除此版本中的誤報。除了其他改進之外，客戶還可以期望在以下方面進一步消除誤報：

訪問控制：數據庫– 當數據來自數據庫時，誤報減少Android不良做法：不必要的組件暴露– 當 Android 接收器標記為 android：exported=“false” 時，誤報減少NET MVC 不良做法：控制器操作不限于 POST – 當控制器操作將其輸入直接傳遞到視圖而不更改狀態時，誤報減少憑據管理：硬編碼的 API 憑據– 在建議時不再在 google-services.json 中找到憑據管理：硬編碼的 API 憑據– 減少了 Facebook 修訂密鑰上的誤報跨站點腳本– 刪除了在 VB6 Windows 窗體應用程序中觸發的誤報死代碼：未使用的字段– Java lambda 中的誤報減少Dockerfile 配置錯誤：依賴關系混淆– 使用本地庫定義時誤報減少在布爾變量上報告數據流問題時，在所有受支持的語言中跨多個類別刪除誤報通過 WinAPI 函數檢索文件信息時，C/C++ 應用程序中的多個類別中消除了誤報HTTP 參數污染– 減少 URL 編碼值的誤報不安全隨機：硬編碼種子和不安全隨機性：用戶控制的種子– 在 Java 應用程序中使用 Random 和 SplittableRandom 類時減少了誤報不安全存儲：未指定的鑰匙串訪問策略、不安全存儲：外部可用鑰匙串和 不安全存儲：密碼策略 未強制執行– 應用建議的補救措施時，Swift iOS 應用程序中的誤報減少內存泄漏– 添加指向提升程序選項說明的指針時減少了誤報內存泄漏– 使用 std：：unique_ptr 時誤報減少空取消引用 –在 .NET 應用程序中將 0 強制轉換為字節時刪除了誤報密碼管理：硬編碼密碼– 減少評論中密碼的誤報侵犯隱私：Android 內部存儲– 在 Android 應用程序中使用 EncryptedSharedPreferences 對象時誤報減少SOQL 注入和訪問控制：數據庫– 在 Salesforce Apex 應用程序中使用 getQueryLocator（） 時減少了誤報類別更改 當弱點類別名稱發生更改時，將以前的掃描與新掃描合并時的分析結果將導致添加/刪除類別。

為了提高一致性，重命名了以下類別：

NET 錯誤做法：剩余調試代碼現在報告為在常規 .NET 代碼中觸發時的.NET 錯誤做法：剩余調試代碼。此外，為了提高跨類別 IaC 缺陷報告的一致性，此版本中又重命名了 121 個類別（請參閱附錄 A）。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 將針對數千個漏洞的檢查與策略相結合，這些策略可指導用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補的應用程序[5]

Cacti 是一個框架，為用戶提供日志記錄和繪圖功能來監視網絡上的設備。remote_agent.php文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識別的遠程代碼執行 （RCE） 漏洞的影響。使用用戶輸入輪詢數據調用方法proc_open時傳遞 poller_id 參數。由于此值未清理，因此攻擊者能夠在目標計算機上執行命令。將此命令注入問題與使用 X-Forwarded-For 標頭的身份驗證繞過相結合，會導致未經身份驗證的攻擊者危害整個應用程序。此版本包括一項檢查，用于在運行受影響的 Cacti 版本的目標服務器上檢測此漏洞。

SAML 不良做法：不安全轉換SAML消息經過加密簽名，以保證斷言的有效性和完整性。服務提供商必須執行的簽名驗證步驟之一是轉換 Reference 元素指向的數據。通常，轉換操作旨在僅選擇引用數據的子集。但是，攻擊者可以使用某些類型的轉換造成拒絕服務，在某些環境中甚至執行任意代碼。此版本包括一項檢查，如果服務提供商允許在 XML 引用中使用不安全類型的轉換，則會觸發該檢查。

合規報告

DISA STIG 5.2 為了支持我們的聯邦客戶的合規性需求，此版本包含 WebInspect 檢查與最新版本的國防信息系統局應用程序安全和開發 STIG 5.2版的關聯。

PCI DSS 4.0 為了支持我們的電子商務和金融服務客戶的合規性需求，此版本包含 WebInspect 檢查與最新版本的支付卡行業數據安全標準 4.0 版中指定的要求的關聯。

PCI SSF 1.2為了支持我們的電子商務和金融服務客戶的合規性需求，此版本包含 WebInspect 檢查與支付卡行業 （PCI） 安全軟件標準 （SSS） 中定義的新“安全軟件要求和評估程序”中指定的控制目標的關聯，作為新軟件安全框架 （SSF） 的一部分， 版本 1.2。

政策更新

DISA STIG 5.2 為包含與DISA STIG 5.2相關的檢查而定制的策略已添加到 WebInspect SecureBase 受支持策略列表中。

PCI DSS 4.0 自定義策略以包括與 PCI DSS 4.0 相關的檢查，已添加到 WebInspect SecureBase 支持的策略列表中。

PCI SSF 1.2 自定義策略以包含與 PCI SSF 1.2 相關的檢查，已添加到 WebInspect SecureBase 支持的策略列表中。

其他勘誤表在此版本中，我們投入了資源來進一步減少誤報的數量，并提高客戶審核問題的能力。客戶還可以期望看到與以下內容相關的報告結果的變化：

密碼管理：弱密碼策略[6]此版本包括對密碼熵檢查的細微改進，其中密碼/用戶名字段改進了對自定義用戶名和密碼字段的檢測。此修復有助于減少與檢查 ID 11496、11498 和 11661 相關的結果中的誤報。

Fortify優質內容

研究團隊在我們的核心安全智能產品之外構建、擴展和維護各種資源。

DISA STIG 5.2、PCI SSF 1.2 和 PCI DSS 4.0 為了配合新的相關性，此版本還包含 Fortify 軟件安全中心的新報告包，支持 DISA STIG 5.2、PCI DSS 4.0 和 PCI SSF 1.2，可從 Fortify 客戶支持門戶的“高級內容”下下載。

Fortify分類：軟件安全錯誤

Fortify分類網站（包含新添加的類別支持的說明）可在 vulncat.fortify.com上找到。尋找具有上次受支持更新的舊站點的客戶可以從 Fortify 支持門戶獲取它。

附錄 A：IaC 弱點類別重命名

已刪除的類別已添加類別訪問控制：Azure Blob 存儲Azure Ansible 配置錯誤：不正確的 blob 存儲訪問控制訪問控制：Azure Blob 存儲Azure ARM 配置錯誤：不正確的 Blob 存儲訪問控制訪問控制：Azure 網絡組Azure Ansible 配置錯誤：安全組網絡訪問控制不正確訪問控制：Azure 網絡組Azure ARM 配置錯誤：安全組網絡訪問控制不正確訪問控制：Azure 存儲Azure Ansible 配置錯誤：存儲帳戶網絡訪問控制不正確訪問控制：Azure 存儲Azure ARM 配置錯誤：存儲網絡訪問控制不當訪問控制：EC2AWS Ansible 配置錯誤：EC2 網絡訪問控制不當訪問控制：EC2AWS CloudFormation 配置錯誤：EC2 網絡訪問控制不當訪問控制：過于寬泛的 IAM 委托人AWS CloudFormation 配置錯誤：不正確的 S3 訪問控制策略訪問控制：過于寬松的 S3 策略AWS Ansible 配置錯誤：不正確的 S3 存儲桶網絡訪問控制訪問控制：過于寬松的 S3 策略AWS CloudFormation 配置錯誤：不正確的 S3 存儲桶網絡訪問控制AKS 不良做法：缺少 Azure 監視器集成Azure Ansible 配置錯誤：AKS 監視不足AKS 不良做法：缺少 Azure 監視器集成Azure ARM 配置錯誤：AKS 監視不足Ansible 不良做法：缺少 CloudWatch 集成AWS Ansible 配置錯誤：CloudTrail 日志記錄不足Ansible 配置錯誤：日志驗證已禁用AWS Ansible 配置錯誤：缺少 CloudTrail 日志驗證AWS Ansible 不良做法：不正確的 IAM 訪問控制策略AWS Ansible 配置錯誤：不正確的 IAM 訪問控制策略AWS Ansible 配置錯誤：Amazon RDS 可公開訪問AWS Ansible 配置錯誤：RDS 可公開訪問AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：CloudTrail 日志記錄不足AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：文檔數據庫日志記錄不足AWS CloudFormation 不良做法：缺少 CloudWatch 集成AWS CloudFormation 配置錯誤：Neptune 日志記錄不足AWS CloudFormation 不良做法：Redshift 可公開訪問AWS CloudFormation 配置錯誤：紅移網絡訪問控制不當AWS CloudFormation 不良做法：用戶綁定的 IAM 策略AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略AWS CloudFormation 配置錯誤：API 網關未經身份驗證的訪問AWS CloudFormation 配置錯誤：不正確的 API 網關訪問控制AWS Cloudformation 配置錯誤：不安全的 EC2 AMI 存儲AWS Ansible 配置錯誤：不安全的 EC2 AMI 存儲AWS Cloudformation 配置錯誤：不安全的 EFS 存儲AWS Ansible 配置錯誤：不安全的 EFS 存儲AWS Cloudformation 配置錯誤：不安全的 Kinesis 數據流存儲AWS Ansible 配置錯誤：不安全的 Kinesis 數據流存儲AWS CloudFormation 配置錯誤：不安全的傳輸AWS CloudFormation 配置錯誤：不安全的紅移傳輸AWS CloudFormation 配置錯誤：RedShift 日志記錄不足AWS CloudFormation 配置錯誤：紅移日志記錄不足AWS CloudFormation 配置錯誤：S3 日志記錄不足AWS CloudFormation 配置錯誤：S3 存儲桶日志記錄不足AWS CloudFormation 配置錯誤：日志驗證已禁用AWS CloudFormation 配置錯誤：缺少 CloudTrail 日志驗證AWS CloudFormation 配置錯誤：根用戶訪問密鑰AWS CloudFormation 配置錯誤：IAM 訪問控制不當AWS CloudFormation 配置錯誤：不受限制的 Lambda 委托人AWS CloudFormation 配置錯誤：不正確的 Lambda 訪問控制策略AWS Terraform 配置錯誤：Amazon API Gateway 可公開訪問AWS Terraform 配置錯誤：API 網關可公開訪問AWS Terraform 配置錯誤：Amazon EBS 不安全存儲AWS Terraform 配置錯誤：不安全的 EBS 存儲AWS Terraform 配置錯誤：Amazon ElastiCache 不安全傳輸AWS Terraform 配置錯誤：不安全的 ElastiCache 傳輸AWS Terraform 配置錯誤：Amazon MQ 可公開訪問AWS Terraform 配置錯誤：MQ 可公開訪問AWS Terraform 配置錯誤：Amazon Neptune 可公開訪問AWS Terraform 配置錯誤：Neptune 可公開訪問AWS Terraform 配置錯誤：Amazon RDS 不安全存儲AWS Terraform 配置錯誤：不安全的 RDS 存儲AWS Terraform 配置錯誤：Amazon RDS 代理不安全傳輸AWS Terraform 配置錯誤：不安全的 RDS 代理傳輸AWS Terraform 配置錯誤：Amazon Redshift 可公開訪問AWS Terraform 配置錯誤：Redshift 可公開訪問AWS Terraform 配置錯誤：Amazon SNS 不安全存儲AWS Terraform 配置錯誤：不安全的 SNS 存儲Azure ARM 配置錯誤：存儲帳戶網絡訪問控制不正確Azure ARM 配置錯誤：存儲網絡訪問控制不當Azure 監視器配置錯誤：日志記錄不足Azure ARM 配置錯誤：應用程序見解監視不足Azure 資源管理器配置錯誤：允許公共訪問Azure ARM 配置錯誤：存儲網絡訪問控制不當Azure 資源管理器配置錯誤：允許公共訪問Azure ARM 配置錯誤：允許公共訪問Azure Terraform 不良做法：Azure 磁盤快照缺少客戶管理的密鑰Azure Terraform 配置錯誤：Azure 磁盤快照缺少客戶管理的密鑰Azure Terraform 不良做法：容器注冊表缺少客戶管理的密鑰Azure Terraform 配置錯誤：容器注冊表缺少客戶管理的密鑰Azure Terraform 不良做法：Cosmos DB 缺少客戶管理的密鑰Azure Terraform 配置錯誤：Cosmos DB 缺少客戶管理的密鑰Azure Terraform 不良做法：共享映像缺少客戶管理的密鑰Azure Terraform 配置錯誤：共享映像缺少客戶管理的密鑰Azure Terraform 不良做法：SQL 數據庫缺少客戶管理的密鑰Azure Terraform 配置錯誤：SQL 數據庫缺少客戶管理的密鑰Azure Terraform 不良做法：存儲帳戶缺少客戶管理的密鑰Azure Terraform 配置錯誤：存儲帳戶缺少客戶管理的密鑰Azure Terraform 不良做法：存儲加密范圍缺少客戶管理的密鑰Azure Terraform 配置錯誤：存儲加密范圍缺少客戶管理的密鑰Azure Terraform Misconfiguration： Insecure PostgresSQL TransportAzure Terraform Misconfiguration： Insecure PostgreSQL TransportGCP 地形不良做法：過于寬松的服務帳戶GCP Terraform 不良做法：過于寬松的服務帳戶GCP Terraform 不良做法：Apigee 缺少客戶管理的加密密鑰GCP 地形配置錯誤：缺少客戶管理的加密密鑰GCP Terraform 不良做法：BigQuery 缺少客戶管理的加密密鑰GCP 地形配置錯誤：BigQuery 缺少客戶管理的加密密鑰GCP Terraform 不良做法：云大表缺少客戶管理的加密密鑰GCP 地形配置錯誤：云大表缺少客戶管理的加密密鑰GCP Terraform 不良做法：云函數缺少客戶管理的加密密鑰GCP 地形配置錯誤：云函數缺少客戶管理的加密密鑰GCP Terraform 不良做法：云扳手缺少客戶管理的加密密鑰GCP 地形配置錯誤：云扳手缺少客戶管理的加密密鑰GCP Terraform 不良做法：文件存儲缺少客戶管理的加密密鑰GCP 地形配置錯誤：文件存儲缺少客戶管理的加密密鑰GCP Terraform 不良做法：發布/訂閱缺少客戶管理的加密密鑰GCP 地形配置錯誤：發布/訂閱缺少客戶管理的加密密鑰GCP Terraform 不良做法：機密管理器缺少客戶管理的加密密鑰GCP 地形配置錯誤：機密管理器缺少客戶管理的加密密鑰不安全的 SSL：證書驗證不足Kubernetes 配置錯誤：證書驗證不足不安全的 SSL：過于廣泛的證書信任Kubernetes 配置錯誤：過于廣泛的證書信任不安全的 SSL：服務器身份驗證已禁用Kubernetes 配置錯誤：缺少 API 服務器身份驗證不安全的存儲：缺少 DocumentDB 加密AWS CloudFormation 配置錯誤：不安全的文檔數據庫存儲不安全的存儲：缺少 EBS 加密AWS Ansible 配置錯誤：不安全的 EBS 存儲不安全的存儲：缺少 EBS 加密AWS CloudFormation 配置錯誤：不安全的 EBS 存儲不安全的存儲：缺少彈性緩存加密AWS CloudFormation 配置錯誤：不安全的彈性緩存存儲不安全的存儲：缺少海王星加密AWS CloudFormation 配置錯誤：不安全的 Neptune DB 存儲不安全的存儲：缺少 RDS 加密AWS Ansible 配置錯誤：不安全的 RDS 存儲不安全的存儲：缺少 RDS 加密AWS CloudFormation 配置錯誤：不安全的 RDS 存儲不安全的存儲：缺少紅移加密AWS Ansible 配置錯誤：不安全的紅移存儲不安全的存儲：缺少紅移加密AWS CloudFormation 配置錯誤：不安全的 Redshift 存儲不安全的存儲：缺少 S3 加密AWS Ansible 配置錯誤：不安全的 S3 存儲桶存儲不安全的存儲：缺少 S3 加密AWS CloudFormation 配置錯誤：不安全的 S3 存儲桶存儲不安全的存儲：缺少 SNS 主題加密AWS CloudFormation 配置錯誤：不安全的 SNS 主題存儲不安全的傳輸：Azure 存儲Azure Ansible 配置錯誤：不安全的存儲帳戶傳輸不安全的傳輸：Azure 存儲Azure ARM 配置錯誤：不安全的存儲帳戶傳輸不安全的傳輸：數據庫AWS CloudFormation 配置錯誤：不安全的文檔數據庫傳輸不安全的傳輸：數據庫Azure Ansible 配置錯誤：不安全的 MySQL 服務器傳輸不安全的傳輸：數據庫Azure Ansible Misconfiguration： Insecure PostgreSQL Server Transport不安全的傳輸：數據庫Azure ARM 配置錯誤：不安全的 MySQL 服務器傳輸不安全的傳輸：數據庫Azure ARM 配置錯誤：不安全的 PostgreSQL 服務器傳輸不安全的傳輸：缺少彈性緩存加密AWS CloudFormation 配置錯誤：不安全的彈性緩存傳輸不安全的傳輸：弱 SSL 協議Azure ARM 配置錯誤：不安全的活動目錄域服務傳輸密鑰管理：過期時間過長AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略密鑰管理：過期時間過長Azure ARM 配置錯誤：不正確的密鑰保管庫訪問控制策略Kubernetes 不良做法：禁用自動 iptables 管理Kubernetes 配置錯誤：自動 iptables 管理已禁用Kubernetes 不良做法：默認命名空間Kubernetes 配置錯誤：默認命名空間Kubernetes 不良做法：主機寫入訪問Kubernetes 配置錯誤：主機寫入訪問Kubernetes 不良實踐：內核默認值被覆蓋Kubernetes 配置錯誤：內核默認值被覆蓋Kubernetes 不良做法：Kubelet 流連接超時已禁用Kubernetes 配置錯誤：Kubelet 流連接超時已禁用Kubernetes 不良做法：缺少 API 服務器授權Kubernetes 配置錯誤：缺少 API 服務器授權Kubernetes 不良實踐：缺少 Kubelet 授權Kubernetes 配置錯誤：缺少 Kubelet 授權Kubernetes 不良實踐：缺少節點授權Kubernetes 配置錯誤：缺少節點授權Kubernetes 不良實踐：缺少節點限制準入控制器Kubernetes 配置錯誤：缺少節點限制準入控制器Kubernetes Bad Practices： Missing PodSecurityPolicy Admission ControllerKubernetes 配置錯誤：缺少 PodSecurityPolicy 準入控制器Kubernetes 不良實踐：缺少 RBAC 授權Kubernetes 配置錯誤：缺少 RBAC 授權Kubernetes 不良實踐：缺少安全上下文Kubernetes 配置錯誤：缺少安全上下文Kubernetes 不良實踐：缺少 SecurityContext拒絕準入控制器Kubernetes 配置錯誤：缺少 SecurityContextDeny Admission ControllerKubernetes 不良做法：缺少服務帳戶準入控制器Kubernetes 配置錯誤：缺少服務帳戶準入控制器Kubernetes 不良做法：命名空間生命周期強制實施已禁用Kubernetes 配置錯誤：命名空間生命周期強制已禁用Kubernetes 不良實踐：啟用 readOnlyPortKubernetes 配置錯誤：啟用 readOnlyPortKubernetes 不良做法：服務帳戶令牌自動掛載Kubernetes 配置錯誤：服務帳戶令牌自動掛載Kubernetes 不良做法：共享服務帳戶憑據Kubernetes 配置錯誤：共享服務帳戶憑據Kubernetes 不良做法：靜態身份驗證令牌Kubernetes 配置錯誤：靜態身份驗證令牌Kubernetes 不良做法：未配置的 API 服務器日志記錄Kubernetes 配置錯誤：未配置 API 服務器日志記錄Kubernetes配置錯誤：不安全的傳輸Kubernetes 配置錯誤：不安全的 kubelet 傳輸Kubernetes 配置錯誤：服務器身份驗證已禁用Kubernetes 配置錯誤：缺少 Kubelet 身份驗證經常被誤用：弱SSL證書Kubernetes 配置錯誤：弱 etcd SSL 證書不良日志記錄實踐：過多的云日志保留AWS CloudFormation 配置錯誤：日志組日志記錄不足不良日志記錄實踐：云日志保留不足Azure ARM 配置錯誤：應用程序見解日志記錄不足不良日志記錄實踐：云日志保留不足Azure ARM 配置錯誤：SQL Server 日志記錄不足不良日志記錄實踐：云日志保留不足Kubernetes 配置錯誤：API 服務器日志保留不足不良日志記錄實踐：云日志輪換不足Kubernetes 配置錯誤：云日志輪換不足不良日志記錄實踐：云日志大小不足Kubernetes 配置錯誤：云日志大小不足權限管理：過于寬泛的訪問策略AWS Ansible 配置錯誤：不正確的 IAM 訪問控制策略權限管理：過于寬泛的訪問策略AWS CloudFormation 配置錯誤：不正確的 IAM 訪問控制策略系統信息泄漏：Kubernetes ProfilerKubernetes 配置錯誤：API 服務器分析系統信息泄漏：Kubernetes ProfilerKubernetes 配置錯誤：控制器管理器分析[1] Requires Fortify Static Code Analyzer 23.1.[2] New rules for iOS SDK 16 require Fortify Static Code Analyzer 22.2 or later.[3] Requires Fortify Static Code Analyzer 23.1 or later for some new rules that target the Apex v57 APIs.[4] Requires Fortify Static Code Analyzer 23.1.[5] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.[6] Requires WebInspect 23.1 or later.

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008 0512-62382981

專業的測試及安全產品服務提供商

Fortify | Webinspect | AppScan |SonarQube | 極狐GitLab

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus 鉑金合作伙伴 | SonarQube中國總代理

極狐GitLab鉑金級合伙伴 | HCL中國合作伙伴