2018年3月末に、Fortify Security Contentのアップデートがリリースされました。
Security Contentには、各Fortify製品のセキュリティルールや脆弱性情報などが含まれており、毎年四半期毎にアップデートが定期リリースされています。今回は2018年の第一弾のアップデートになります。
Fortify SCA : Fortify Secure Coding Rulepacks (English, version 18.1.0)
今回のアップデートにより、Fortify SCAは、25のプログラミング言語と982,000種類以上のAPIにわたり、780種類以上もの脆弱性カテゴリを検出できるようになりました。具体的には以下の通りです。
- Androidサポートの改善
- Python標準ライブラリのサポートの改善 [i]
- JSON-simpleライブラリのサポート
- Xarmarinのサポート [ii]
- DISA STIG 4.5との相関
- GDPRとの相関
Fortify WebInspect : Fortify SecureBase (SmartUpdateで利用可能)
今回のアップデートで以下のサポートが改善・追加されました。
脆弱性のサポート
- Expression Language Injection: Spring
- Privacy Violation: Email Disclosure [iii]
- Privacy Violation (GDPR対応)
- Insecure Deployment: Know Technology Fingerprint
コンプライアンスレポート
- GDPR
- DISA STIG 4.5
ポリシーの更新
GDPRとDISA STIG 4.5に関するポリシーがそれぞれ更新されました。
Fortify Application Defender
今回のアップデートで以下のルールが提供されました。
- NoSQL Injection: Mongo DB
- Insecure SSL: ROBOT
- Dynamic Code Evaluation: Unsafe Deserialization
今回のアップデートで検出可能あるいは更新となった脆弱性つきましては、Micro Focus Security Fortify Taxnomyから参照できます。
https://vulncat.fortify.com あるいは https://vulncat.hpefod.com よりアクセスしてください。
[i] Fortify SCA 18.10 (2018.5リリース予定) 以降では、Python 3の仕様で記載されたソースコードをスキャン可能です。
[ii] Xarmarinを使ったプロジェクトをスキャンするにはFortify SCA 18.10以降が必要です。
[iii] このチェックには、WebInspect 18.10 (2018.5リリース予定) 以降が必要です。