华北中国sonarqube 扫描报告承诺守信「华克斯」赵铭大尺度

Fortify Securebase [Fortify WebInspect]

Fortify Securebase 将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修补的应用程序[5]

Cacti 是一个框架，为用户提供日志记录和绘图功能来监视网络上的设备。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 识别的远程代码执行 （RCE） 漏洞的影响。使用用户输入轮询数据调用方法proc_open时传递 poller_id 参数。由于此值未清理，因此攻击者能够在目标计算机上执行命令。将此命令注入问题与使用 X-Forwarded-For 标头的身份验证绕过相结合，会导致未经身份验证的攻击者危害整个应用程序。此版本包括一项检查，用于在运行受影响的 Cacti 版本的目标服务器上检测此漏洞。

SAML 不良做法：不安全转换

SAML消息经过加密签名，以保证断言的有效性和完整。服务提供商必须执行的签名验证步骤之一是转换 Reference 元素指向的数据。通常，转换操作旨在仅选择引用数据的子集。但是，攻击者可以使用某些类型的转换造成拒绝服务，在某些环境中甚至执行任意代码。此版本包括一项检查，如果服务提供商允许在 XML 引用中使用不安全类型的转换，则会触发该检查。

合规报告

DISA STIG 5.2 为了支持我们的联邦客户的合规需求，此版本包含 WebInspect 检查与版本的信息系统局应用程序安全和开发 STIG 5.2

版的关联。

PCI DSS 4.0 为了支持我们的电子商务和金融服务客户的合规性需求，此版本包含 WebInspect 检查与版本的支付卡行业数据安全标准 4.0 版中的要求的关联

本文介绍了SonarQube版本更新升级的方法。包括SonarQube升级指南和9.9版本更新说明。

9.9 版升级说明

数据库支持已更新

SonarQube不再支持Oracle版本12C和18C。

现在支持 Oracle 版本 21C。

现在支持 SQL Server 2022。

SonarQube 服务器需要 Java 17

Java 17 需要 SonarQube 服务器。不再支持使用 Java 11。

SonarScanner for .NET 兼容性

在SonarQube中对C#/VB.NET 进行增量分析需要SonarScanner for .NET 5.11+。

社区版、版和企业版的单一Helm图表

sonarqube lts Helm图表不再维护，无法用于安装sonarqube 9.9 lts。要安装Community、Developer或Enterprise Edition，请使用sonarqube Helm图表。数据中心版随sonarqube dce Helm图表提供。

已更新 Docker 映像

如果你使用自签名的证书，你可能需要调整你的Docker配置：Java的安装路径已经改变为

废弃的和变量已被删除

蕞新的配置变量请参见环境变量。

Docker镜像上的标签被替换成新的LTS版本。如果你想避免任何自动的重大升级，我们建议使用相应的标签来代替.lts9.9-<edition>lts-<edition>。

嵌入式系统扫描策略

基于嵌入式软件的扫描，可以在不执行程序代码的情况下，通过静态分析程序特征以发现漏洞。

由于固件程序涉及知识产权，很少公开源代码，在这种情况下需要通过对固件进行逆向工程，再通过程序静态分析技术进行分析。

基于嵌入式软件的漏洞检测，除了应用程序外，还应包含引导加载程序、系统内核、文件系统等环境。

嵌入式系统扫描

嵌入式系统扫描基于嵌入式系统的扫描，应使用相应的工具对嵌入式软件压缩包进行扫描分析，整个分析流程主要分为四个阶段：

di一阶段：识别固件结构体系，提取出待分析的目标程序；

第二阶段：识别固件中存在的软件成分，如操作系统、中间件、应用程序等；

第三阶段：查找整个固件里如第三方库、公私钥的敏感信息；

第四阶段：通过静态分析技术对程序的汇编码进行分析，并与分析工具中内置的漏洞库、恶意代码库等数据库进行匹配，找出待测件中存在的漏洞及风险。