2018年6月末に、Fortify Security Content(英語版)のアップデートがリリースされました。
Security Contentには、各Fortify製品のセキュリティルールや脆弱性情報などが含まれており、毎年四半期毎にアップデートが定期リリースされています。今回は2018年の第2弾のアップデートになります。
日本語版につきましては、もう半月から一カ月ほどお待ちください。
Fortify SCA : Fortify Secure Coding Rulepacks (version 18.2.0)
今回のアップデートにより、Fortify SCAは、25のプログラミング言語と999,000種類以上のAPIにわたり、780種類以上もの脆弱性カテゴリを検出できるようになりました。具体的には以下の通りです。
- ASP.NET Core 2.0のサポート
- JavaScript MySQLのサポート
- JavaServer Faces (JSF) のサポートの改善
- MongoDBのサポートの改善
- Spring Dataのサポート
- Spring Webflowのサポート
- Swift 4のサポート [i]
- Java Path Manipulation: Zip Entry Overwriteの改善
- DISA STIG 4.6とDISA CCIとの相関
Fortify WebInspect : Fortify SecureBase (SmartUpdateで利用可能)
今回のアップデートで以下のサポートが改善・追加されました。
脆弱性のサポート
- Cross-Site Scripting
- Directory Traversal
- Insecure Deployment Unpatched Application
- Object Injection
- Expression Language Injection: Spring
- Insecure Transport: TLS_RSA
- Privacy Violation: National ID Disclosure
コンプライアンスレポート
- DISA STIG 4.6とDISA CCI
ポリシーの更新
- DISA STIG 4.6に関するポリシーが更新されました。
Fortify Application Defender
今回のアップデートで以下のルールが提供されました。
- NoSQL Injection: MongoDB for .NET
今回のアップデートで検出可能あるいは更新となった脆弱性つきましては、Micro Focus Security Fortify Taxnomyから参照できます。
https://vulncat.fortify.com あるいは https://vulncat.hpefod.com よりアクセスしてください。
[i] Swift 4プロジェクトをスキャンするには、Fortify SCA 18.11以降が必要です。