Fortify Security Content 2018 Update 1がリリースされました

2018年3月末に、Fortify Security Contentのアップデートがリリースされました。

Security Contentには、各Fortify製品のセキュリティルールや脆弱性情報などが含まれており、毎年四半期毎にアップデートが定期リリースされています。今回は2018年の第一弾のアップデートになります。

Fortify SCA : Fortify Secure Coding Rulepacks (English, version 18.1.0)

今回のアップデートにより、Fortify SCAは、25のプログラミング言語と982,000種類以上のAPIにわたり、780種類以上もの脆弱性カテゴリを検出できるようになりました。具体的には以下の通りです。

  • Androidサポートの改善
  • Python標準ライブラリのサポートの改善 [i]
  • JSON-simpleライブラリのサポート
  • Xarmarinのサポート [ii]
  • DISA STIG 4.5との相関
  • GDPRとの相関

Fortify WebInspect : Fortify SecureBase (SmartUpdateで利用可能)

今回のアップデートで以下のサポートが改善・追加されました。

脆弱性のサポート

  • Expression Language Injection: Spring
  • Privacy Violation: Email Disclosure [iii]
  • Privacy Violation (GDPR対応)
  • Insecure Deployment: Know Technology Fingerprint

コンプライアンスレポート

  • GDPR
  • DISA STIG 4.5

ポリシーの更新

GDPRとDISA STIG 4.5に関するポリシーがそれぞれ更新されました。

Fortify Application Defender

今回のアップデートで以下のルールが提供されました。

  • NoSQL Injection: Mongo DB
  • Insecure SSL: ROBOT
  • Dynamic Code Evaluation: Unsafe Deserialization

今回のアップデートで検出可能あるいは更新となった脆弱性つきましては、Micro Focus Security Fortify Taxnomyから参照できます。

https://vulncat.fortify.com あるいは https://vulncat.hpefod.com よりアクセスしてください。

[i] Fortify SCA 18.10 (2018.5リリース予定) 以降では、Python 3の仕様で記載されたソースコードをスキャン可能です。

[ii] Xarmarinを使ったプロジェクトをスキャンするにはFortify SCA 18.10以降が必要です。

[iii] このチェックには、WebInspect 18.10 (2018.5リリース予定) 以降が必要です。

タグ:
カテゴリ: