在最新发布26.1版本的Fortify SAST中,共计覆盖了1524个漏洞类别,涵盖44+语言、超过一百万个独立API。本文我们重点一起来看一下,安全规则库的最新内容。
1、支持针对12种语言的人工智能(AI)驱动的弱点检测
新的AI分析仪为11种新编程语言以及Ruby提供安全分析,并能检测以下漏洞:
[新]Ada
Ada 编程语言是一种高度可读的编译语言,支持现代面向对象的编码,适用于简单和复杂的软件系统,能够高效生成裸机代码,并配备编译时检查,有助于早期发现错误。Ada旨在实施大型安全关键系统,如航空航天、铁路、汽车、医疗、能源和金融等领域。为了能够检测此类软件中的问题,Ada支持涵盖20个弱点类别,包括以下新类别:
• Unchecked Conversion Safety Violation
[新]Bash
Bash(Bourne Again Shell)解释型脚本语言在Linux、macOS和类Unix系统中被广泛用于系统管理和常见开发任务。这些任务通常涵盖自动化、系统运维、数据处理、构建自动化、测试、部署和数据处理。为了能够检测此类软件中的问题,Bash 支持涵盖了 20 个弱点类别,其中包括以下新类别:
• 命令注入:变量扩展
[新]Delphi
Delphi 编程语言是一种通用编译语言,使用 Object Pascal 方言,并且能够使用 Firemonkey 框架跨编译多个平台。Delphi 以其在数据库软件、桌面应用、移动应用、网页和企业应用、科学和医疗软件以及系统工具中的应用而闻名。为了能够检测此类软件中的问题,Delphi 支持涵盖了 20 个现有的弱点类别。
[新] Elixir
Elixir编程语言可编译为运行在Erlang虚拟机中的中间BEAM字节码。Elixir 以其在实时系统、微服务、网页开发、嵌入式系统、数据管道和机器学习中的应用而闻名。为了能够检测此类软件中的问题,Elixir 支持了 22 个弱点类别,其中包括以下两个新类别:
• Denial of Service: Atom Exhaustion
• Mass Assignment
[新]Erlang
Erlang 语言是一种开源的函数式编程语言,被编译成中间的 BEAM 字节码,在 BEAM 虚拟机中执行。Erlang已被用于电信和金融科技等行业的企业应用,以及高效的后台消息传递。为了能够检测此类软件中的问题,Erlang 支持涵盖了 22 个弱点类别,其中包括以下两个新类别:
• Denial of Service: Atom Exhaustion
• Mass Assignment
[新]Groovy
Apache Groovy 编程语言由一种类似 Java 语法的动态面向对象语言组成,该语言被编译成 Java 字节码并在 Java 虚拟机(JVM)中执行,既可用于通用编程,也可用于脚本编写。Groovy 通常用于构建自动化、CI/CD 流水线脚本、测试自动化以及构建领域特定语言等任务。为了能够检测此类软件中的问题,Groovy 支持涵盖了 22 个弱点类别,其中包括以下两个新类别:
• Build Script Injection
• Mass Assignment
[新]Lua
Lua 脚本语言通过动态类型化并编译为 Lua 字节码,在基于寄存器的 Lua 虚拟机中执行。Lua 常用于游戏开发、嵌入式系统和工业应用。为了能够检测此类软件中的问题,Lua 支持涵盖了 20 个弱点类别,其中包括以下两个新类别:
• Path Manipulation: Module Loading
• Sandbox Escape via Metamethods
[新]Perl
Perl 通用脚本语言以其强大的文本处理、系统管理、服务器端网页开发和数据处理能力而闻名。为了能够检测此类软件中的问题,Perl 支持涵盖了 22 个弱点类别,其中包括以下两个新类别:
• Mass Assignment
• Symbolic Reference Injection
[新]PowerShell
PowerShell 是由 Microsoft 基于 .NET 框架开发的跨平台命令行壳和脚本语言。PowerShell 用于自动化、系统管理、云和虚拟化环境管理、配置管理、构建自动化以及数据作。为了能够检测此类软件中的问题,PowerShell 支持涵盖了 20 个弱点类别,其中包括以下三个新类别:
• 命令注入:变量扩展
• 执行策略绕过
• 不安全传输:PowerShell远程处理
[新]R 语言
R 编程语言是一种免费的开源解释型语言,专为统计计算、数据科学/分析和图形设计。R 语言在研究、学术界以及生物信息学、金融、社会科学和市场营销等领域中被广泛使用。为了能够检测此类软件中的问题,R 支持涵盖了 23 个弱点类别,其中包括以下三个新类别:
• 动态代码评估:不安全的RDS/RData反序列化
• 大规模赋值
• 不安全的包加载
Ruby
Ruby 编程语言是一种面向对象的通用脚本语言,常用于网页开发(Ruby on Rails)、自动化、命令行界面、数据处理、网页爬虫、游戏开发,甚至 Web 服务器。为了能够检测此类软件中的问题,Ruby 支持了 21 个弱点类别,其中包括以下新类别:
• Mass Assignment
[新]Rust
Rust 编程语言是一种通用的、原生编译、内存安全的系统语言,主要用于系统编程、Web 服务、后端系统、嵌入式系统、命令行接口、WebAssembly、性能关键库和区块链领域。为了能够检测此类软件中的问题,Rust 支持涵盖了 20 个弱点类别,其中包括以下新类别:
• Mass Assignment
2、人工智能与机器学习(ML)改进
随着生成式人工智能和大型语言模型(LLM)不断改变软件行业的解决方案领域,新的风险也随之出现。以下新增和改进扩展了安全检测中因隐式信任AI/ML模型API响应而产生的弱点的能力,并具备以下独特功能:
Python OpenAI 改进(支持版本:2.11.x)
OpenAI Python 库提供了将 AI 能力集成到各种应用中的工具。该库支持自然语言处理、文本生成和会话式人工智能等多种功能。更新内容包括对服务器端请求伪造弱点类别的额外支持。
Python LangChain 改进(支持版本:1.1.x)
LangChain 是一个开源的编排框架,用于使用大型语言模型(LLM)开发应用程序。Python的LangChain库提供创建LLM驱动应用的工具和API,如聊天机器人和虚拟代理。更新内容包括对三个现有类别的支持。
Python AWS SDK - Boto3 改进(支持版本:1.42.x)
Boto3 是官方的 AWS Python SDK,提供通过高层抽象和低层访问与 AWS 服务交互的接口。在本版发布中,我们更新了对Boto3 SecretManager服务的报道。SecretManager服务允许用户管理、检索和轮换秘密(例如:凭证、令牌、API密钥);因此,能够轻松加载并必要时替换应用程序凭证,而无需使用硬编码的凭证。更新内容包括对三个现有类别的改进。
后量子计算(PQC)
在本版本中,延续了25.4版本的初步支持,以扩大协助团队识别非后量子密码学(PQC)韧性算法(如RSA、DSA和ECDH)的使用范围。本版本扩展至JavaScript Node加密模块以及Java的Bouncy Castle库。如今用这些算法加密的数据,未来随着量子计算机变得足够强大,可能容易被解密。目前关注的其中一个问题是“先采集,后解密”,即记录加密数据,未来解密的概念。由于当前基于量子攻击的理论性质,这些发现默认被禁用,可通过在扫描时指定 com.fortify.sca.rules.enablePQCRules=true 属性来选择启用。
[新]Bouncy Castle for Java(支持版本:1.83)
Bouncy Castle 是一个全面的开源 Java 密码学库,提供轻量级的密码算法和协议实现。它广泛支持加密(AES、RSA、ChaCha20等)、数字签名(ECDSA、Ed25519、DSA等)、密钥生成、消息摘要(SHA、MD5、Blake等)和密码模式,同时支持后量子密码学和现代标准如TLS。Bouncy Castle 可以作为 Java 加密扩展(JCE)框架内的提供者使用,也可以作为独立库使用。该库被广泛应用于企业应用中,作为 Java 密码架构(JCA)的替代方案或补充[4]提供了更多的算法选择和更大的密码学作灵活性。支持涵盖了11个现有的弱点类别。
OWASP Top 10 2025
OWASP 2025前十报告为网络应用安全提供了一份强有力的意识文件,重点是向社区介绍最常见且最关键的网络应用安全风险的后果。OWASP 十大代表了基于数据收集和调查结果的广泛共识,关于最关键的网络应用安全缺陷。为了支持希望降低网页应用风险的客户,新增了将Fortify分类法与新发布的OWASP 2025前十名的关联功能。
国防信息系统局(DISA)应用安全与开发安全技术实施指南(STIG)6.4版
为支持联邦客户的合规需求,新增了Fortify分类法与DISA应用安全与开发STIG 6.4版本的关联。
CWE Top 25
CWE于2025年12月发布的25大最危险软件弱点,采用启发式公式,规范化过去一年报告的常见漏洞与暴露(CVE)记录的频率和严重程度。为了支持希望优先处理NVD中最常报告的关键漏洞的客户,新增了Fortify分类法与2025年CWE前25名的相关性。
3、误报减少及其他显著检测改进
• .NET 应用程序 – 移除与 System.Linq.Enumerable.Select相关的误报
• 缓冲区溢出 – 移除通过 std::min()的数据流问题的误报
• 跨客户端数据访问 – ABAP中检测未授权跨客户端数据访问的新问题
• 跨站脚本– 在 Java EE 和 Jakarta EE 应用中自动逃逸时,错误报警被移除
• Dockerfile 配置错误:敏感主机目录——在 Dockerfile中 COPY 和 ADD作中已移除误报• [新] 隐私违规:持久凭证——在 .NET中错误配置 SQL Server 数据库连接以持久凭证时出现新问题
• SQL 注入——ABAP SQL(开放SQL)检测到新问题
• 字符串终止错误——当复杂数据结构存在空赋时,会消除误报
4、缓冲分析仪变更
为减少缓冲区分析仪中的误报,进行了调整。这种变化可能导致与缓冲区溢出和字符串终止错误类别相关的问题被移除,而这些问题已经过验证以降低这些类别被利用的风险。
5、类别名称变更
当弱项类别名称发生变化时,将之前扫描的分析结果与新扫描合并,可能会导致新增或移除类别。
为了提高一致性,以下类别被重新命名:
25.4 类别名称
26.1类别名称
AWS CloudFormation 配置错误:系统管理器关联日志不足
AWS CloudFormation 配置错误:系统管理器日志
以上就是最新版软件安全测试工具Fortify 26.1安全规则库的更新内容,如需安全测试工具Fortify最新版本7天试用可私信我。
