福建fortify sca-华克斯

HCL AppScan Standard 10.6.0 中的新增功能

API 扫描现在通过 OpenAPI”自动扫描改进了配置功能、增强了覆盖范围并

优化了漏洞检测。

AppScan Connect:

支持 AppScan 360°:AppScan Connect 现在完全支持与 AppScan 360°集成，您可以在其中使用 AppScan Standard 扫描配置创建扫描或将扫描结果上载到 AppScan 360°。

重新设计了连接方法:新界面更加直观和用户友好，源代码审计工具fortify sca，使其可以更轻松、更快速地与基他 AppScan 产品建立连接。

新增合规性报告:

OWASP°云原生应用程序安全性前 10 名

网络与信息安全指令(NIS2)

AppScan 现在可将多个 CWE 映射到漏洞，源代码扫描工具fortify sca，从而提高了报告覆盖范围

添加了针对每个问题仅保存一种变体测试选项，通过将 AppScan 限制为仅在发现问题的个变体之前进行测试，源代码检测工具fortify sca，优化扫描时间。生成报告中的漏洞现在包括 CVSS 向量。

可以使用 CSV 文件将多个域添加到“要测试的域'列表中。

SonarQube 10.6 中的新增功能

Python

通过对 Scikit-Learn 库的支持，增加了对机器学习的支持。

添加了日期和时间库的新规则。

Azure 资源管理器的新规则现在提供了涵盖

Azure 资源管理器模板的 11 条新规则。

支持 WebAPI 和 MVC for

Core现在有 9 个新的 规则可用，增加了对 WebAPI 终结点和 MVC 控制器的支持。

更新了 .NET 加密规则.NET 加密规则现已与 2024 年的同步。

对 MISRA C++2023 规则的改进对 MISRA C++2023 规则进行了审查，并利用相关思路以 Sonar 方式改进或增加了 C++ 规则。

嵌入式系统扫描策略

基于嵌入式软件的扫描，可以在不执行程序代码的情况下，通过静态分析程序特征以发现漏洞。

由于固件程序涉及知识产权，很少公开源代码，在这种情况下需要通过对固件进行逆向工程，再通过程序静态分析技术进行分析。

基于嵌入式软件的漏洞检测，除了应用程序外，还应包含引导加载程序、系统内核、文件系统等环境。

嵌入式系统扫描

嵌入式系统扫描基于嵌入式系统的扫描，应使用相应的工具对嵌入式软件压缩包进行扫描分析，福建fortify sca，整个分析流程主要分为四个阶段：

di一阶段：识别固件结构体系，提取出待分析的目标程序；

第二阶段：识别固件中存在的软件成分，如操作系统、中间件、应用程序等；

第三阶段：查找整个固件里如第三方库、公私钥的敏感信息；

第四阶段：通过静态分析技术对程序的汇编码进行分析，并与分析工具中内置的漏洞库、恶意代码库等数据库进行匹配，找出待测件中存在的漏洞及风险。