Fortify相比其他扫描工具的优势在哪里?

最新推荐文章于 2024-08-22 19:51:07 发布

daopuyun

最新推荐文章于 2024-08-22 19:51:07 发布

阅读量795

点赞数 15

文章标签：安全 fortify WebInspect Java 大数据数据库

本文链接：https://blog.csdn.net/daopuyun/article/details/141378505

版权

最新发布的 Fortify 22.1.0 版本，不仅能高度兼容最新的软件技术，同时继续保持对运营环境常见的应用安全用例的广泛兼容性。经过强化的 Fortify 进一步提升了性能、准确性、可扩展性和易用性。
无论是运行 DevSecOps、开展云计算转型，还是确保软件供应链平稳运行与规模成熟度，Fortify提供了全面、包容和可扩展的智慧平台，支持软件组合从广度与深度两方面同步推进。

更新亮点

此次更新主要包括以下内容：

-继续提升语言支持，持续投资于提升客户体验并打造高效智慧平台，如新增对 Java 1、.NET6以及对 Terraform HCL 的支持
-使用工作流程宏进行扫描，确保全面覆盖重要内容。现在 Weblnspect 可以使用 HAR 文件进行工作流的全线扫描，并进行全种类测试，精准狙击 OAST等漏洞
-使用公共的 Fortify OAST 服务器 WI，轻松检测 OAS 漏洞，如 Log4Shell同时，对Fortify Static Code Analyzer、 Fortify Weblnspect、 Fortify Software Security Center 和Fortify Composition Analysis 进行了全线更新。

新功能和特性的完整列表如下:

洞察力提升:网罗所有问题细节
如果你在更新应用程序版本中遇到了相关问题，你可以点击“相关问题”图标的标题，根据它们是否与其他问题相关来对罗列内容进行排序，也可以有选择地列出与某个问题相关的问题。

针对性提升:规则下载一步就位

之前 Fortify Software Security Center 对规则包只更新请求中 clientType 参数的关注有所不足，导致Rulepack 客户收到了大批量信息，包含所有可用的 Rulepack 数据(包括 Fortify Static CodeAnalyzer、 Fortify Security Assistant Rulepacks)。
现在，Fortify 在 Rulepack 更新请求中充分考虑到了 clientType 的详细参数。

规则性提升:无需在快速模式下执行 SCA 扫描

新版本的软件将不会在快速模式下执行 Fortify Static Code Analyzer 的扫描规则，系统可以组织上传设置为小于 4的 Fortify Static Code Analyzer 速查结果。

维护力提升:增加“保留天数”选项

在调度器页面中，新的报告维护图标中增加了“保留天数”选项。这个选项让所有用户能指定 FortifySoftware Security Center 保留生成报告的天数。

操控力提升:轻松暂停执行作业

现在，用户可以通过“维护”页面(ADMINISTRATION>Maintenance)的“暂停作业”选项，对作业流程实现全局操控，轻松实现暂停与恢复等操作。在暂停作业执行后，所有目前正在运行的作业(包括工件处理、报告生成、数据导出请求等)将继续执行以至完成。任何新提交的作业都将在清除暂停作业执行复选框显示，恢复正常处理后将按照优先级顺序自动排序。

自由度提升:评论特定的自定义标记值

现在，管理人员能够对自定义标记进行评论。当选中“要求评论”设置时，任何对自定义标签的更改都会自动弹出一个评论框，保存按钮将被禁用直到输入评论为止。

扩展性提升:展示问题数量增加

之前 AUDIT 页面一次只能显示 20、50 或 100 个问题。现在，你可以在每页显示多达 150 或 200上限个问题。

针对 Kubernetes 的更新

-增加对 Kubernetes 1.22 的支持
-增加对 Helm 3.8 的支持

Kotlin for Android 支持

您现在可以借助 ScanCentral 客户端，使用 Gradle 集成(-bt gradle)为远程翻译打包, Kotlin for Android 项目。

构建工具更新

-Gradle 7.3
-MSBuild 14.0, 17.0, 17.1, and 17.2

支持自动更新控制器上多个客户端版本

自动更新功能现在能在客户端的多个版本中得到应用。传感器和嵌入式客户端将由控制器中的可用版本进行更新，无需交给控制器进行版本操作。

操作系统更新

新增对以下操作系统和版本的支持:
-macOS 12
-Windows 11

编译器更新

新增对以下编译器版本的支持:
- Clang 13.1.6
-OpenJDK javac 17
-Swiftc 5.6
-cl(MSVC) 2015 and 2022

构建工具更新

新增对以下构建工具版本的支持:
-Gradle 7.4.x
-MSBuild 14.0,17.0, 17.1 and 17.2
-Xcodebuild 13.3 and 13.3.1

语言和框架更新

- C# 10
-.NET 6.0
- C/C++ 20
-HCL 2.0
-Java 17
-TypeScript 4.4 和4.5
注:Terraform 和谷歌云平台的规则将成为 Fortify 软件安全内容 2022 R2 版本的一部分。

支持 Visual studio 2022 的部署与应用

Fortify Extension for Visual Studio 现在支持 Visual Studio 2022。

支持IntelliJ 2021.x

Intelij 2021.x 支持 Fortify Analysis Plugin for IntelliJ，同时也支持从 IntelliJ 2021.x到 2021.3 版本的部署。

从文件系统引入 Fortify Rulepacks

Fortify Audit Workbench、 Fortify Eclipse Complete Plugin 和 Fortify Extension for Visual Studio 中的选项菜单能够导入从客户门户下载的 Fortify 所有规则包。

在两个 FPR 之间比较扫描文件

现在在两个 FPR 之间能比较扫描文件的 LOC，并查看 FPR 分析文件的 LOC 计数(-loc)，或使用 FPRUtility(-loc，-compareTo)在两个 FPR 之间比较 LOC 计数。

可配置的 fortifyupdate的超时

现在，用户可以通过服务器的“rulepackupdate.SocketReadTimeoutSeconds”属性配置 fortifyupdate的 socket 超时。默认值是 180。

新的搜索修饰符:shortfilename

在 Fortify Audit Workbench 和 Fortify Plugins for Eclipse 中，你可以用 shortfilename 作为问题模板中的搜索修饰符，来过滤或隐藏与文件名匹配的问题。如果进行全路径匹配，可以继续使用文件搜索修饰符。

新的 OWASP Top 10 2021 报告

从以下工具生成新的 OWASP Top 10 报告(2021):
- Fortify Audit Workbench
- Fortify Extension for Visual Studio
-Fortify Remediation Plugin for Eclipse
-BlRTReportGenerator