Fortify Securebase [Fortify WebInspect]

Fortify Securebase 將針對數千個漏洞的檢查與策略相結合，這些策略可指導用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補的應用程序[5]

Cacti 是一個框架，為用戶提供日志記錄和繪圖功能來監視網絡上的設備。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識別的遠程代碼執行 （RCE） 漏洞的影響。使用用戶輸入輪詢數據調用方法proc_open時傳遞 poller_id 參數。由于此值未清理，因此攻擊者能夠在目標計算機上執行命令。將此命令注入問題與使用 X-Forwarded-For 標頭的身份驗證繞過相結合，會導致未經身份驗證的攻擊者危害整個應用程序。此版本包括一項檢查，用于在運行受影響的 Cacti 版本的目標服務器上檢測此漏洞。

SAML 不良做法：不安全轉換

SAML消息經過加密簽名，以保證斷言的有效性和完整。服務提供商必須執行的簽名驗證步驟之一是轉換 Reference 元素指向的數據。通常，轉換操作旨在僅選擇引用數據的子集。但是，攻擊者可以使用某些類型的轉換造成拒絕服務，在某些環境中甚至執行任意代碼。此版本包括一項檢查，如果服務提供商允許在 XML 引用中使用不安全類型的轉換，則會觸發該檢查。

合規報告

DISA STIG 5.2 為了支持我們的聯邦客戶的合規需求，此版本包含 WebInspect 檢查與版本的信息系統局應用程序安全和開發 STIG 5.2

版的關聯。

PCI DSS 4.0 為了支持我們的電子商務和金融服務客戶的合規性需求，此版本包含 WebInspect 檢查與版本的支付卡行業數據安全標準 4.0 版中的要求的關聯

本文介紹了SonarQube版本更新升級的方法。包括SonarQube升級指南和9.9版本更新說明。

9.9 版升級說明

數據庫支持已更新

SonarQube不再支持Oracle版本12C和18C。

現在支持 Oracle 版本 21C。

現在支持 SQL Server 2022。

SonarQube 服務器需要 Java 17

Java 17 需要 SonarQube 服務器。不再支持使用 Java 11。

SonarScanner for .NET 兼容性

在SonarQube中對C#/VB.NET 進行增量分析需要SonarScanner for .NET 5.11+。

社區版、版和企業版的單一Helm圖表

sonarqube lts Helm圖表不再維護，無法用于安裝sonarqube 9.9 lts。要安裝Community、Developer或Enterprise Edition，請使用sonarqube Helm圖表。數據中心版隨sonarqube dce Helm圖表提供。

已更新 Docker 映像

如果你使用自簽名的證書，你可能需要調整你的Docker配置：Java的安裝路徑已經改變為

廢棄的和變量已被刪除

蕞新的配置變量請參見環境變量。

Docker鏡像上的標簽被替換成新的LTS版本。如果你想避免任何自動的重大升級，我們建議使用相應的標簽來代替.lts9.9-<edition>lts-<edition>。

嵌入式系統掃描策略

基于嵌入式軟件的掃描，可以在不執行程序代碼的情況下，通過靜態分析程序特征以發現漏洞。

由于固件程序涉及知識產權，很少公開源代碼，在這種情況下需要通過對固件進行逆向工程，再通過程序靜態分析技術進行分析。

基于嵌入式軟件的漏洞檢測，除了應用程序外，還應包含引導加載程序、系統內核、文件系統等環境。

嵌入式系統掃描

嵌入式系統掃描基于嵌入式系統的掃描，應使用相應的工具對嵌入式軟件壓縮包進行掃描分析，整個分析流程主要分為四個階段：

di一階段：識別固件結構體系，提取出待分析的目標程序；

第二階段：識別固件中存在的軟件成分，如操作系統、中間件、應用程序等；

第三階段：查找整個固件里如第三方庫、公私鑰的敏感信息；

第四階段：通過靜態分析技術對程序的匯編碼進行分析，并與分析工具中內置的漏洞庫、惡意代碼庫等數據庫進行匹配，找出待測件中存在的漏洞及風險。