软件测试工程师解决自身知识储备不足的问题有一个非常好的途径是研究一款成熟的商业工具。成熟的商业工具中集成了全球知名IT公司安全专家总结出来的扫描知识库和编码规则等。我们在使用的过程中,除了掌握其运行案例,对其的规则进行探究,分析为什么使用这些规则,可以帮助我们快速补充知识储备,提升专业能力。
以Fortify为例,其安全研究团队是一支实时监控新型漏洞风险的全球团队。他们将收集到的漏洞知识输送到Micro Focus Security Fortify产品套件中, 确保及时检测出最新的风险。
目前行业内对重大漏洞没有统一的标准,众多组织都发布了自己对严重漏洞的解读,这导致对标准产生了认知差异。为了帮助开发人员了解导致安全漏洞的常见编码错误类型,Fortify编写了软件开发七宗罪(The Seven Pernicious Kingdoms), 在其中统一了漏洞的组织分类,并将它们对应到OWASP、SANS、CWE和FISMA等标准中。帮助开发人员快速了解各种影响应用程序的安全漏洞。
添加工作人员微信(daopuyun),或者点击阅读原文,即可获得静态代码扫描工具的免费使用权限,立即解锁全球权威的漏洞规则库。
接下来一起来了解一下,Fortify SCA 20.1版本与以往版本相比,有哪些改进与不同。
-★- 编译能力增强
编译器更新
增加对cl 2019的支持
增加对Apple LLVM (Clang) 11.0.0的支持
增加对Swiftc 5.1、5.1.2、5.1.3的支持
Kotlin语言
增加对Kotlin 1.3.50的支持
Go语言
增加了对Go语言1.13.x的支持(以及1.13.3之前版本)
-★- 扫描性能提升
通过对以下内容进行更改,大大提高了动态语言分析的性能:
高阶分析(Higher Order Analysis)算法
Python 静态 initializers的缺陷分析
可扩展的多核类型推论
这些改进对所有利用高阶分析的语言的都有积极意义,像:
Python
TypeScript
JavaScript
Ruby
Swift
-★- FPR文件增强
可保存编译选项和Filter文件都会保存在在FPR文件中
-★- .NET更新
增加了对.NET Core 2.2, 3.0, 3.1的支持
增加了对C# 8的支持
增加对VB.NET 16.0(2019)的支持
增加了对MSBuild 16.4的支持
增加了对.NET Framework version 4.8的支持
增加对ASP.NET4.8的支持
-★- macOS 更新
增加了对macOS 10.15的支持
-★- Java 更新
增加了对Java 13的支持
-★- Swift 和 Objective-C更新
增加了对Xcode 11、11.1、11.2.1、11.3、11.3.1的支持
近日Micro Focus官方发布了《2021年应用安全的十大关键趋势报告》,内容如下:
(报告源自Micro Focus官方)