代理商sonarqube规则-苏州华克斯信息

设置

这组说明介绍如何配置插件以运行本地 Fortify 静态代码分析器扫描，中国sonarqube规则，将分析结果上传到软件安全中心，然后在 Jenkins 中查看分析结果。您还可以使用 ScanCentral SAST 运行分析。有关说明，请参阅完整文档。

创建 CIToken 类型的身份验证令牌。登录 Fortify 软件安全中心，单击“管理”选项卡，然后在左侧窗格中选择“令牌管理>用户”。单击“新建”创建 CIToken 类型的身份验证令牌，然后单击“保存”。对话框底部的令牌。

在 Jenkins 中，安装 Fortify 插件。

从“Jenkins”菜单中，选择“Jenkins”>“管理 Jenkins”>“配置系统”。要根据结果触发不稳定构建并在 Jenkins 中查看分析结果，您需要将本地运行的分析结果上传到 Fortify 软件安全中心。向下滚动到强化评估部分，代理商sonarqube规则，然后执行以下操作：

在“SSC URL”框中，键入“强化软件安全中心服务器 URL”。

在“身份验证令牌”框下方，重庆sonarqube规则，单击“添加> Jenkins”以打开“Jenkins 凭据提供程序”对话框，并添加类型为“强化连接令牌”的凭据。添加凭据的说明，并将在步骤 1 中创建的令牌值粘贴到“令牌”框中。

要使用 Jenkins 中配置的代理设置连接到 Fortify 软件安全中心，请选择“使用 Jenkins 代理”。

单击测试 SSC 连接。

Web 协议Web 协议包含以下更新：

·Web - HTTP/HTML 协议支持 64 位架构上的重播。

·能够在录音时选择备用的收听连接。

·在 Web 浏览器上录制时，能够以私人或非私人模式打开目标浏览器。

·集成 SSL 加密下一代 （CNG） 引擎，用于录制和回放。这在处理 Windows 证书存储中的证书时为 CNG 私钥提供支持。

·通过代理录制时，您可以选择是记录所有流量，还是仅记录所选应用程序的流量。

·流媒体视频的新论点。这使您能够手动设置总视频持续时间，从而消除并降低 CPU 使用率。Duration 协议SAP 协议包含以下更新：

·支持 SAP 客户端版本 8.0、补丁 6 及更高版本。

·除了 64 位架构外，还支持 32 位架构上的 SAP GUI 协议录制和回放。Oracle 协议 、 Oracle 协议包括以下更新：

·支持 Oracle Forms 12c。

·更新了 Oracle - Web 协议脚本以及包含 Oracle NCA + Web 协议的多协议脚本的自动关联规则。RDP 协议RDP 协议现在支持在使用 Windows 11 客户端时进行录制。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修补的应用程序[5]                

Cacti 是一个框架，为用户提供日志记录和绘图功能来监视网络上的设备。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 识别的远程代码执行 （RCE） 漏洞的影响。使用用户输入轮询数据调用方法proc_open时传递 poller_id 参数。由于此值未清理，因此攻击者能够在目标计算机上执行命令。将此命令注入问题与使用 X-Forwarded-For 标头的身份验证绕过相结合，会导致未经身份验证的攻击者危害整个应用程序。此版本包括一项检查，用于在运行受影响的 Cacti 版本的目标服务器上检测此漏洞。

SAML 不良做法：不安全转换          

SAML消息经过加密签名，中国sonarqube规则，以保证断言的有效性和完整。服务提供商必须执行的签名验证步骤之一是转换 Reference 元素指向的数据。通常，转换操作旨在仅选择引用数据的子集。但是，攻击者可以使用某些类型的转换造成拒绝服务，在某些环境中甚至执行任意代码。此版本包括一项检查，如果服务提供商允许在 XML 引用中使用不安全类型的转换，则会触发该检查。

合规报告

DISA STIG 5.2 为了支持我们的联邦客户的合规需求，此版本包含 WebInspect 检查与版本的信息系统局应用程序安全和开发 STIG 5.2          

版的关联。

PCI DSS 4.0 为了支持我们的电子商务和金融服务客户的合规性需求，此版本包含 WebInspect 检查与版本的支付卡行业数据安全标准 4.0 版中的要求的关联