Fortify的2023更新

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器 （SCA） 和 Fortify WebInspect。如今，Fortify 软件安全内容支持 33+ 种语言的 1,627 个漏洞类别，并跨越超过 100 万个单独的 API。

Fortify Software Security Research （SSR） 很高兴地宣布立即推出 Fortify Secure Coding Rulepacks（英语，版本 2023.3.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify Premium Content 的更新。

Fortify编码规则包 [Fortify静态代码分析器]

在此版本中，Fortify 安全编码规则包可检测 33+ 种语言中的 1,403 个独特类别的漏洞，并跨越超过 100 万个单独的 API。总之，此版本包括以下内容：

改进了对 Android 13 的支持（支持的版本：33）          
Android 平台是专为移动设备设计的开源软件堆栈。Android 的一个主要组件是 Java API 框架，它向应用程序开发人员公开 Android 功能。此版本扩展了利用 Android 的 Java API 框架的 Java 或 Kotlin 编写的原生 Android 应用程序中的漏洞检测。此版本中针对 Android 应用程序引入了以下三个新的弱点类别：

Intent Manipulation: Implicit Internal Intent

Intent Manipulation: Implicit Pending Intent

Intent Manipulation: Mutable Pending Intent

Android Jetpack （AndroidX）          
的初始支持 Android Jetpack 是一组库、工具和指南，可帮助开发人员更轻松地创建 Android 应用程序。Jetpack 涵盖 androidx.* 软件包，并且与平台 API 分离，这有助于促进向后兼容性并允许更频繁的更新。在此版本中，我们提供了此软件套件的初始覆盖范围。

Android Jetpack 的初始覆盖范围支持检测以下库中的弱点：

appsearch (version supported: 1.1.0-alpha03)

compose.foundation (version supported: 1.5.1)

compose.material (version supported: 1.5.1)

compose.material3 (version supported: 1.1.2)

compose.ui (version supported: 1.5.1)

core (version supported: 1.12.0)

credentials (version supported: 1.2.0-beta04)

datastore (version supported: 1.0.0)

security.crypto (version supported: 1.0.0)

sqlite (version supported: 2.3.1)

示例类别覆盖范围改进包括：

访问控制：数据库

命令注入

拒绝服务

拒绝服务：正则表达式

标头操作

不安全的运输

打开重定向

密码管理：空密码

密码管理：硬编码密码

路径操作

侵犯隐私

资源注入

服务器端请求伪造

SQL 注入

系统信息泄露

系统信息泄露：内部

MySQL Connector/Python 支持（支持版本：8.1.0）          
MySQL Connector/Python 是一个软件库，可促进 Python 应用程序和 MySQL 数据库之间的交互。它充当 Python 编程语言和 MySQL 数据库管理系统之间的桥梁或连接器，使开发人员能够使用 Python 代码轻松连接、查询和操作 MySQL 数据库中的数据。

改进的类别覆盖范围包括以下内容：

访问控制：数据库

拒绝服务

不安全传输：客户端身份验证已禁用

不安全的传输：数据库

不安全的传输：弱 SSL 协议

密码管理

密码管理：空密码

密码管理：硬编码密码

密码管理：弱加密

路径操作

服务器端请求伪造

SQL 注入

改进了对Django的支持（支持的版本：3.2）          
Django是一个用Python编写的Web框架，旨在促进安全和快速的Web开发。开发的速度和安全性是通过框架中的高度抽象来实现的，其中代码构造和生成用于大幅减少样板代码。在此版本中，我们更新了现有的 Django 覆盖范围以支持 3.2 版本之前的版本。

改进的覆盖范围包括以下命名空间：Django.contrib.auth.models，Django.db.models和Django.http.response。此外，改进的弱点类别覆盖范围包括以下内容：

Cookie 安全性：过于宽松的同一站点属性

标头操作

密码管理

密码管理：空密码

密码管理：硬编码密码

密码管理：空密码

密码管理：弱加密

侵犯隐私

系统信息泄露

系统信息泄露：外部

对 Bicep 的初始支持（支持的版本：0.21.1）[1]
Microsoft Bicep 是一种开源域特定语言 （DSL），用于基础结构即代码 （IaC） 解决方案，由 Microsoft 开发，用于简化和简化 Azure 资源的部署。它充当 Azure 资源管理器 （ARM） 模板之上的抽象层，提供了一种更直观、更可读的方式来定义和管理 Azure 基础结构。使用 Bicep，用户可以编写简洁且人类可读的代码来描述 Azure 资源、配置和依赖项。

弱点类别的初始覆盖范围包括以下内容：

Azure ARM 配置错误：自动化缺少客户管理的加密密钥

Azure ARM 配置错误：批量缺少客户管理的加密密钥

Azure ARM 配置错误：认知服务缺少客户管理的加密密钥

Azure ARM 配置错误：数据砖缺少客户管理的加密密钥

Azure ARM 配置错误：事件中心缺少客户管理的加密密钥

Azure ARM 配置错误：硬编码机密

Azure ARM 配置错误：不需要 HTTPS

Azure ARM 配置错误：不正确的 AKS 网络访问控制

Azure ARM 配置错误：不正确的应用服务访问控制

Azure ARM 配置错误：不正确的 Blob 存储访问控制

Azure ARM 配置错误：不正确的计算 VM 访问控制

Azure ARM 配置错误：不正确的容器注册表网络访问控制

Azure ARM 配置错误：不正确的 CORS 策略

Azure ARM 配置错误：不正确的自定义角色访问控制策略

Azure ARM 配置错误：不正确的文档数据库网络访问控制

Azure ARM 配置错误：不正确的密钥保管库访问控制策略

Azure ARM 配置错误：安全组网络访问控制不正确

Azure ARM 配置错误：不正确的 SQL Server 网络访问控制

Azure ARM 配置错误：存储网络访问控制不当

Azure ARM 配置错误：不安全的活动目录域服务传输

Azure ARM 配置错误：不安全的应用服务传输

Azure ARM 配置错误：不安全的 CDN 传输

Azure ARM 配置错误：MySQL 存储的不安全数据库

Azure ARM 配置错误：PostgreSQL 存储的不安全数据库

Azure ARM 配置错误：不安全的 DataBricks 存储

Azure ARM 配置错误：不安全的事件中心存储

Azure ARM 配置错误：不安全的事件中心传输

Azure ARM 配置错误：不安全的 IoT 集线器传输

Azure ARM 配置错误：不安全的 MySQL 服务器传输

Azure ARM 配置错误：不安全的 PostgreSQL 服务器传输

Azure ARM 配置错误：不安全的恢复服务备份存储

Azure ARM 配置错误：不安全的恢复服务保管库存储

Azure ARM 配置错误：不安全的 Redis 企业传输

Azure ARM 配置错误：不安全的 Redis 传输

Azure ARM 配置错误：不安全的服务总线存储

Azure ARM 配置错误：不安全的服务总线传输

Azure ARM 配置错误：不安全的存储帐户存储

Azure ARM 配置错误：不安全的存储帐户传输

Azure ARM 配置错误：AKS 监视不足

Azure ARM 配置错误：应用程序见解日志记录不足

Azure ARM 配置错误：应用程序见解监视不足

Azure ARM 配置错误：Microsoft防御者监视不足

Azure ARM 配置错误：SQL Server 日志记录不足

Azure ARM 配置错误：SQL Server 监控不足

Azure ARM 配置错误：IoT 中心缺少客户管理的加密密钥

Azure ARM 配置错误：NetApp 缺少客户管理的加密密钥

Azure ARM 配置错误：允许公共访问

Azure ARM 配置错误：服务总线缺少客户管理的加密密钥

Azure ARM 配置错误：存储帐户缺少客户管理的加密密钥

Azure ARM 配置错误：弱应用服务身份验证

Azure ARM 配置错误：弱信号R 身份验证

密码管理：空密码

密码管理：硬编码密码

侵犯隐私

侵犯隐私：缺少安全装饰器

对 Solidity 的初始支持（支持的版本：0.8.x）[2]                
Solidity是一种面向对象的编程语言，用于在各种分散的区块链环境中开发智能合约，最值得注意的是在以太坊区块链中。用Solidity编写的智能合约主要在以太坊虚拟机（EVM）上运行，但也可以在其他兼容的虚拟机上运行。

弱点类别的初始覆盖范围包括以下内容：

Authorization Bypass: tx.origin

Code Correctness: Failing Assertion

Code Correctness: Reentrancy

Code Correctness: Typographical Error

Dead Code

Denial of Service: External Call

Dynamic Code Evaluation: Delegatecall

Integer Overflow

Obsolete

Often Misused: Block Values

Poor Style: Confusing Naming

Poor Style: Variable Never Used

Solidity Bad Practices: Default Function Visibility

Solidity Bad Practices: Ether Balance Check

Solidity Bad Practices: Hardcoded Gas Amount

Solidity Bad Practices: Lack of Explicit Variable Visibility

Solidity Bad Practices: Missing Constructor

Solidity Misconfiguration: Compiler With Known Vulnerabilities

Solidity Misconfiguration: Floating Pragma

Unchecked Return Value

Uninitialized Variable

云基础结构即代码 （IaC）          
基础结构即代码是通过代码管理和预配计算机资源的过程，而不是各种手动过程。支持的技术的覆盖范围扩大，包括用于部署到 Azure Microsoft 的 Terraform 配置，以及用于 AWS Ansible 的配置。与上述这些服务的配置相关的常见问题现在报告给开发人员。

Microsoft Azure Terraform 配置          
Terraform 是一个开源 IaC 工具，用于构建、更改和版本控制云基础架构。它使用自己的声明性语言，称为HashiCorp配置语言（HCL）。云基础架构在配置文件中编码，以描述所需状态。地形提供程序支持Microsoft Azure 基础结构的配置和管理。改进的弱点类别覆盖范围包括 Terraform 配置的以下内容：

Azure 地形配置错误：应用服务自动升级已禁用

Azure Terraform 配置错误：不正确的 AKS 访问控制

Azure Terraform 配置错误：不正确的 AKS 网络访问控制

Azure Terraform 配置错误：应用服务访问控制不正确

Azure Terraform 配置错误：认知搜索网络访问控制不当

Azure Terraform 配置错误：不正确的容器注册表访问控制

Azure Terraform 配置错误：不正确的功能访问控制

Azure Terraform 配置错误：不正确的 MariaDB 网络访问控制

Azure Terraform 配置错误：不正确的 MySQL 网络访问控制

Azure Terraform 配置错误：不正确的 SQL 数据库网络访问控制

Azure Terraform 配置错误：不正确的存储帐户访问控制

Azure Terraform 配置错误：不正确的虚拟网络访问控制

Azure Terraform 配置错误：不安全的磁盘存储

Azure Terraform 配置错误：不安全的 PostgreSQL 存储

Azure Terraform 配置错误：AKS 监视不足

Azure Terraform 配置错误：应用程序网关监视不足

Azure Terraform 配置错误：用于云监视的防御者不足

Azure Terraform 配置错误：前门监控不足

Azure Terraform 配置错误：MariaDB 备份不足

Azure Terraform 配置错误：监视器日志记录不足

Azure Terraform 配置错误：网络观察程序日志记录不足

Azure Terraform 配置错误：PostgreSQL 监控不足

Azure Terraform 配置错误：SQL 数据库监视不足

Azure Terraform 配置错误：Redis 缓存自动升级已禁用

Azure Terraform 配置错误：虚拟网络可用性降低

Azure Terraform 配置错误：弱应用服务身份验证

Azure Terraform 配置错误：弱函数身份验证

Azure Terraform 配置错误：弱 Linux 虚拟机身份验证

Azure Terraform 配置错误：弱服务结构身份验证 

Amazon Web Services （AWS） Ansible 配置          
Ansible 是一款开源自动化工具，可为各种环境提供配置管理、应用部署、云配置和节点编排。Ansible 包含支持 Amazon Web Services （AWS） 配置和管理的模块。改进的弱点类别覆盖范围包括 AWS Ansible 配置的以下内容：

AWS Ansible 配置错误：EFS 缺少客户管理的加密密钥

AWS Ansible 配置错误：不正确的 API 网关网络访问控制

AWS Ansible 配置错误：ECR 访问控制不当

AWS Ansible 配置错误：ECS 网络访问控制不当

AWS Ansible 配置错误：S3 访问控制不当

AWS Ansible 配置错误：堆栈访问控制不当

AWS Ansible 配置错误：不安全的 API 网关传输

AWS Ansible 配置错误：不安全的 CloudFront 传输

AWS Ansible 配置错误：不安全的 CloudTrail 存储

AWS Ansible 配置错误：不安全的 CodeBuild 存储

AWS Ansible 配置错误：不安全的 RDS 传输

AWS Ansible 配置错误：API 网关日志记录不足

AWS Ansible 配置错误：CloudFront 日志记录不足

AWS Ansible 配置错误：Lambda 日志记录不足

AWS Ansible 配置错误：RDS 备份不足

AWS Ansible 配置错误：S3 备份不足

AWS Ansible 配置错误：S3 日志记录不足

AWS Ansible 配置错误：S3 监控不足

AWS Ansible 配置错误：堆栈监控不足

AWS Ansible 配置错误：特权批处理容器

AWS Ansible 配置错误：RDS 自动升级已禁用

AWS Ansible 配置错误：RDS 缺少客户管理的加密密钥

AWS Ansible 配置错误：CloudFront 可用性降低

AWS Ansible 配置错误：EC2 可用性降低

AWS Ansible 配置错误：ELB 可用性降低

AWS Ansible 配置错误：弱 IAM 密码策略

2023 Common Weakness Enumeration (CWETM) Top 25          
常见的弱点枚举（CWE） 2019 年推出了 25 大最危险的软件弱点（CWE 前 25 名），取代了 SANS 前 25 名。2023 年 CWE 前 25 名于2023 年 6 月发布，使用启发式公式确定，该公式规范化了过去两年向国家漏洞数据库 （NVD） 报告的漏洞的频率和严重性。为了支持希望围绕NVD中最常报告的关键漏洞进行审核的客户，添加了Fortify分类法与2023年CWE Top 25的相关性。

OWASP API Security Top 10 2023

2023 年全球开放应用程序安全项目 （OWASP） API 安全 10 强提供了 2023年影响 API 的主要安全风险列表。它旨在提高对 API 安全弱点的认识，并教育参与 API 开发和维护的人员，例如需要保护 Web API 的开发人员、设计人员、架构师、经理和/或组织。

OWASP API 安全性 Top 10 侧重于影响 Web API 的弱点，它不打算单独使用，而是旨在与其他标准和最佳实践结合使用，以便彻底捕获所有相关风险。例如：它应与OWASP Top 10结合使用，以识别与输入验证（如注入）相关的问题。为了支持希望降低 Web 应用程序风险的客户，添加了强化分类法与新发布的 OWASP API 安全 2023 年 10 强的关联。

互联网安全中心 （CIS） 基准          
互联网安全中心 （CIS） 基准是社区开发的安全配置建议的集合，这些建议映射到 CIS 关键安全控制。这些建议旨在实现保护云基础架构的安全，并证明符合行业标准。CIS 基准不断更新，以适应所涵盖的 25+ 供应商产品系列不断变化的网络安全状态。支持的产品系列包括：

Amazon Elastic Kubernetes Service （EKS） Benchmark v1.3.0

亚马逊云科技基础基准测试v2.0.0

Azure Kubernetes Service （AKS） Benchmark v1.3.0

谷歌云计算平台基准测试版 v2.0.0

Google Kubernetes Engine （GKE） Benchmark v1.4.0

Kubernetes Benchmark v1.7.1

Microsoft Azure 基础基准测试版本 2.0.0

智能合约弱点分类（SWC）[3]                
智能合约弱点分类（SWC）是一个系统框架，用于对智能合约中的漏洞进行分类和解释。它提供了一种标准化的方式来理解和解决在以太坊等区块链上运行的这些自动执行代码片段的弱点。值得注意的是，SWC 注册表的内容自 2020 年以来一直没有全面更新，导致已知的不完整、错误和重要遗漏。为了支持希望降低智能合约风险的客户，添加了强化分类法与当前版本的SWC的关联。

其他勘误表
在此版本中，已投入资源以确保我们可以减少误报问题的数量，重构一致性，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化：

弃用 20.x
之前的 Fortify 静态代码分析器 正如 2022.4 版本所观察到的，我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。因此，这将是支持 20.x 之前的 Fortify 静态代码分析器版本的规则包的最后一个版本。对于下一个版本，20.x 之前的 Fortify 静态代码分析器版本将不会加载最新的规则包。这将需要降级规则包或升级 Fortify 静态代码分析器的版本。对于未来的版本，我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。

误报改进          
工作仍在继续，努力消除此版本中的误报。除了其他改进之外，客户还可以期望在以下方面进一步消除误报：

NET MVC 不良做法：具有必需属性的可选子模型 – 删除了与 ASP.NET 应用程序中的虚拟字段相关的误报

代码正确性：双重检查锁定 – 在 Java 应用程序中消除误报

跨站点请求伪造 – 在 .NET 应用程序中使用“AntiForgery.GetHtml（）”或“Html.AntiForgeryToken（）”删除 HTML 表单的误报

跨站点脚本：持久 – 删除了与 Django 应用程序中的“周期”标签相关的误报

双重释放 – 在从提升库中使用“throw_error（）”的 C/C++ 应用程序中删除误报

HTML5：缺少内容安全策略 – 在 Java 应用程序中删除误报

JSON 注入 – 在 PHP 应用程序中删除误报

批量分配：不安全的绑定程序配置 – 删除了与 .NET 应用程序中的枚举类型相关的误报

经常被误用：文件系统 – 删除了与“GetFullPathNameW（）”相关的误报以及C++应用程序中的类似函数调用

路径操作 – 使用 Amazon AWS 开发工具包在 Java 应用程序中消除误报

类型不匹配：有符号到无符号 – 删除了与 C/C++ 应用程序中的布尔值相关的误报

未释放的资源 – 在C++应用程序中使用“CreateFileW（）”时删除了误报

类别更改

当弱点类别名称发生更改时，将以前的扫描与新扫描合并时的分析结果将导致添加/删除类别。

为了提高一致性，以下 14 个类别已重命名：

强化优先级顺序更改          
为了提高与缺少客户管理的加密密钥相关的漏洞类别之间的一致性，以下 20 个类别的强化优先级顺序已更改为“低”：

Azure ARM 配置错误：自动化缺少客户管理的加密密钥

Azure ARM 配置错误：批量缺少客户管理的加密密钥

Azure ARM 配置错误：认知服务缺少客户管理的加密密钥

Azure ARM 配置错误：数据砖缺少客户管理的加密密钥

Azure ARM 配置错误：事件中心缺少客户管理的加密密钥

Azure ARM 配置错误：IoT 中心缺少客户管理的加密密钥

Azure ARM 配置错误：NetApp 缺少客户管理的加密密钥

Azure ARM 配置错误：服务总线缺少客户管理的加密密钥

Azure ARM 配置错误：存储帐户缺少客户管理的加密密钥

Azure Terraform 配置错误：AKS 群集缺少客户管理的密钥

Azure Terraform 配置错误：Azure 磁盘快照缺少客户管理的密钥

Azure Terraform 配置错误：容器注册表缺少客户管理的密钥

Azure Terraform 配置错误：Cosmos DB 缺少客户管理的密钥

Azure Terraform 配置错误：托管磁盘缺少客户管理的密钥

Azure Terraform 配置错误：共享映像缺少客户管理的密钥

Azure Terraform 配置错误：SQL 数据库缺少客户管理的密钥

Azure Terraform 配置错误：存储帐户缺少客户管理的密钥

Azure Terraform 配置错误：存储加密范围缺少客户管理的密钥

Azure Terraform 配置错误：VM 存储缺少客户管理的密钥

GCP 地形配置错误：计算引擎缺少客户管理的加密密钥

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即获得以下更新。

漏洞支持

不安全部署：未修补的应用程序          
CVE-2023-25135 已发现 vBulletin 版本 5.6.0 至 5.6.8 中的预授权远程执行代码 （RCE） 漏洞。 vBulletin 是一种用于构建动态在线社区和论坛的流行软件，它不正确地清理用户提供的输入以进行未经身份验证的反序列化。此问题使攻击者能够在服务器上执行任意代码、滥用应用程序逻辑或装载拒绝服务 （DoS） 攻击。此版本包括一项检查，用于检测目标服务器上的此漏洞。

Prototype Pollution: Server-Side
攻击者可以操纵对象的原型时，就会发生服务器端原型污染。这在基于原型的语言（如 JavaScript）中是可能的，它可以在运行时更改属性和方法。漏洞利用的严重性取决于污染对象在应用程序中的使用位置。攻击包括拒绝服务、更改应用程序配置，在某些情况下还包括远程代码执行。此版本包括检测 Web 应用程序中原型污染的检查。

合规报告

2023 年常见弱点枚举 （CWE） 前 25 名          
常见弱点枚举 （CWE） 前 25 个最危险的软件弱点 （CWE 前 25 名）于 2019 年推出，取代了 SANS 前 25 名。2023 年 CWE 前 25 名于 6 月发布，使用启发式公式确定，该公式规范化过去两年向国家漏洞数据库 （NVD） 报告的漏洞的频率和严重性。此 SecureBase 更新包括直接映射到 CWE 前 25 名标识的类别的检查，或通过“ChildOf”关系与前 25 名中的 CWE-ID 相关的 CWE-ID。

OWASP API 安全 2023 年 10 强 2023 年全球开放应用程序安全项目 （OWASP） API 安全 10 强提供了 2023年影响 API 的主要安全风险列表。它旨在提高对 API 安全漏洞的认识，并教育参与 API 开发和维护的人员，例如需要保护 Web API 的开发人员、设计人员、架构师、经理和一般组织。OWASP API 安全性前 10 名侧重于影响 Web API 的弱点，它不打算单独使用。相反，它旨在与其他标准和最佳实践结合使用，以彻底捕获所有相关风险。例如：将 OWASP API 安全 2023 年前 10 名与 OWASP 前 10 名结合使用，以识别与输入验证（如注入）相关的问题。此 SecureBase 更新包括一个新的合规性报告模板，该模板提供 OWASP API 安全性 2023 年十大类别与 WebInspect 检查之间的关联。

政策更新

2023 年 CWE 前 25 名 自定义策略以包含与 2023 年 CWE 前 25 名相关的检查已添加到 WebInspect SecureBase 受支持策略列表中。          

OWASP API 安全性 2023 年 10 强 自定义策略以包含与 OWASP API 安全 2023年 10 强相关的检查，已添加到 WebInspect SecureBase 受支持策略列表中。此策略包含可用 WebInspect 检查的子集，使客户能够运行特定于合规性的 WebInspect 扫描。

其他勘误表

在此版本中，我们投入了资源来进一步减少误报的数量，并提高客户审核问题的能力。客户还可以期望看到与以下领域相关的报告结果的变化。

LDAP 注入 此版本包括对 LDAP 注入检查的改进，以减少误报并提高结果的准确性。          

SSL 证书主机名差异 SSL 证书主机名差异          
检查报告内容现在包含更多详细信息，这些信息应帮助客户应用此安全问题的正确修复程序。

通过检查输入
实现主动覆盖对于某些 WebInspect 检查，可以启用主动覆盖，以指导 WebInspect 发送针对更广泛端点的更长的攻击列表。此版本包括对这些检查的改进，使客户能够通过更改检查输入来配置主动覆盖范围，而不是向扫描策略添加单独的检查。具有主动覆盖功能的检查包括：Log4Shell、JNDI 引用注入、服务器端请求伪造、操作系统命令注入和服务器端原型污染。启用主动覆盖的检查可提供更准确的扫描，但是，重要的是要考虑到请求数和扫描时间可能会急剧增加。因此，Fortify 强烈建议您在单独的策略中启用主动覆盖的情况下运行检查，而不进行其他检查。

Web 服务器配置错误：未受保护的文件
此版本包含一个小错误修复，以改进对 Java 相关配置文件的检测。

Fortify优质内容

研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。

2023 年 CWE 前 25 名 为了配合新的相关性，此版本还包含 Fortify 软件安全中心的新报告包，支持 2023 年 CWE 前 25 名，可从 Fortify 客户支持门户的“高级内容”下下载。          

OWASP API 安全 2023          
年 10 强 为了配合新的相关性，此版本还包含 Fortify 软件安全中心的新报告包，支持 OWASP API 安全前 10 名，可从 Fortify 客户支持门户的“高级内容”下下载。

强化分类：软件安全错误          
强化分类网站包含新添加的类别支持的说明，可在 https://vulncat.fortify.com 上找到。

[1] 需要强化静态代码分析器 23.2.0 及更高版本。Bicep 的初始安全内容随 Fortify Static Code Analyzer 23.2.x          
一起分发[2]，需要 Fortify Static Code Analyzer 23.2.0 及更高版本。Solidty 的初始安全内容随 Fortify Static Code Analyzer 23.2.x          
一起分发[3]，需要从 Fortify Static Code Analyzer 23.2.0 及更高版本进行扫描。