OpenText 软件安全研究 （SSR） 很高兴地宣布，OpenText SAST 应用程序安全内容（英文，版本 2025.4.0）、OpenText DAST SecureBase（可通过 SmartUpdate 获得）和 Fortify Premium Content 立即推出更新。

关于OpenText 软件安全研究

OpenText 软件安全研究 （SSR） 团队将尖端研究转化为安全情报，为 Fortify 产品组合提供支持，包括OpenTextTM 静态应用程序安全测试 （SAST） 和 OpenTextTM 动态应用程序安全测试 （DAST）。如今，OpenText 应用程序安全内容支持 33+ 种语言的 1,737 个漏洞类别，涵盖超过 100 万个单独的 API。

Fortify 应用程序安全内容

在此版本中，SAST 应用程序安全内容检测了 33+ 种语言的 1,511 个独特类别的漏洞，并跨越超过 100 万个单独的 API。总之，此版本包括以下内容：

人工智能 （AI） 和机器学习 （ML） 的改进随着生成式人工智能和大型语言模型 （LLM） 的使用不断改变软件行业的解决方案空间，新的风险也随之出现。以下新增和改进扩展了OpenText SAST 检测因对 AI/ML 模型 API 响应的隐式信任而导致的弱点的能力，以及以下独特功能：

[新] JavaScript Google Vertex AI（支持版本：1.13）Google Vertex AI 是一个 AI 开发平台，用于构建和使用生成式 AI 模型，包括 Google 的 Gemini、Imagen、Chirp、Veo 模型，以及第三方模型，包括 Anthropic 的 Claude 和各种开放模型。支持涵盖八个现有类别，并增加了以下两个新类别：

• 数据投毒：AI 上下文缓存
• LLM 配置错误：未指定的令牌限制

[新] 适用于 Python 的模型上下文协议 （MCP） SDK（支持版本：1.13）模型上下文协议 （MCP） 是一种开放协议，旨在标准化应用程序向大型语言模型 （LLM） 提供上下文的方式。它支持 AI 模型与外部工具、服务或数据源之间的安全和模块化集成，从而使 LLM 能够生成更准确和上下文感知的响应。在此版本中，我们添加了对 MCP 的 Python SDK 实现的支持。支持涵盖六个现有类别，并添加了以下两个新类别：

• LLM 配置错误：未指定的令牌限制
• MCP 配置错误：缺少身份验证

Java 改进（支持版本：25）^[1]Java 25 是 Java 平台的最新长期支持 （LTS） 版本。它包括对现有 API 的增强，但也包括大量新功能，其中一些最重要的功能是：外部函数和内存、排序集合、密钥封装、虚拟线程、结构化并发、未命名变量和作用域值等。其中一些功能仍处于预览状态，但被认为足够成熟，可以包括覆盖范围。改进包括对 12 个现有类别的额外支持，以及添加以下新类别：

• Java 字节码注入

.NET 改进（支持的版本：10）^[2].NET 10 是 Microsoft 最新的长期支持 （LTS） 版本，在运行时性能、开发人员生产力和云原生功能方面引入了重大改进。它具有增强的 JIT 编译、小型数组的堆栈分配、对 AVX10.2 的支持、用于加密和序列化的更新库以及 C# 14 中简化编码和提高可维护性的新语言功能。改进包括对六个现有类别的额外支持。

[新] FastAPI for Python（支持版本：0.118）FastAPI 是一个现代的高性能 Web 框架，用于基于标准 Python 类型提示使用 Python 3.7+ 构建 API。基于 Starlette 构建，具有复杂的依赖注入、异步支持和丰富的响应类型，包括 FileResponse 和 HTMLResponse。支持涵盖 12 个现有类别。

[新] Go Gin（支持版本：1.10）Gin 是一个用 Go 编写的高性能 HTTP Web 框架，以其速度、极简主义和易用性而闻名。它具有基于基数树的快速路由器、内置中间件支持以及用于构建 RESTful 服务的干净 API。Gin 因其低内存占用和出色的负载性能而在微服务和 API 中特别受欢迎。支持涵盖 19 个现有类别。

[新]后量子计算 （PQC）^[3]添加了新类别“弱加密：非 PQC 弹性算法”，该类别报告了非后量子密码学 （PQC） 弹性算法（例如 RSA 和 DSA）的使用情况。对此类别的初始支持仅限于 Java 编码语言以及 Java 加密架构 （JCA） 和 Java 加密扩展 （JCE） API。由于当前基于量子的攻击的理论性质，默认情况下禁用此类别。要选择性地启用对此功能的支持，请在 fortify-rules.properties 文件中指定以下属性（或在扫描时使用 -D<KEY>=<VALUE>）：

com.fortify.sca.rules.enablePQCRules=true

虽然目前的量子计算机还不能实际破解这些算法，但大规模量子计算机的发展对使用 RSA、DSA 和其他类似算法加密的数据构成了重大威胁。当量子计算机变得足够强大时，今天使用这些算法加密的数据在未来可能容易被解密。当前的担忧之一是“现在收获，稍后解密”，这是记录加密数据以在未来某个日期解密的概念。

[新]库扫描 （Java）^[4]当单独扫描库代码时，您可能会错过一些漏洞，尤其是那些仅在外部代码与您的公共函数交互时才出现的漏洞。

为了帮助发现这些隐藏问题，此版本引入了一个新选项：

现在，您可以启用其他规则来模拟外部代码调用您的公共函数。只需在 fortify-rules.properties 文件中设置以下属性：

com.fortify.sca.rules.IsLibrary=true

这使您的扫描更加彻底，并有助于确保您的库安全，即使在其他应用程序使用时也是如此。

目前，仅对上述属性设置为 true 的 Java 和基于 JVM 的语言启用此功能。

FortifyRemove 注释改进继 25.3 添加过滤注释之后，开发人员可以直接从他们的代码中过滤问题。此版本包括使用通配符、列表和多个条件同时指定多个过滤器的功能。

开发人员现在还可以包含一个理由，该理由将与删除一起记录，以帮助进行任何审计。

规则包维护策略更新OpenText SAST （Fortify Static Code Analyzer） 现在与安全编码规则包更新一致，每季度发布一次，我们相应地同步规则包维护窗口。

从 Rulepack 版本 26.1 开始，安全编码规则包将仅在其当前维护窗口内的 OpenText SAST 版本中加载。因此，早于 Fortify Static Code Analyzer 24.2 的版本将无法加载 26.1 规则包（计划于 2026 年初发布）。

OWASP Top 10 for LLM Applications 2025

为了支持合规领域的所有客户，添加了 OpenText Fortify 分类法与 2025 年 OWASP 大型语言模型 （LLM） 应用前 10 名的关联。新的 2025 版本由更大、更多样化的贡献者群体开发，其中包括 LLM 应用程序安全专业人员。这导致了拒绝服务风险（现在的无限消费风险）和过度代理风险的返工和扩展，以纳入大规模 LLM 部署并为 LLM 提供更多自主权。两个新风险，系统提示泄漏加上向量和嵌入，是根据社区的要求在 2025 年版本中引入的。

杂项勘误表

减少误报和其他显着的检测改进

• 访问控制：数据库 - 在使用封闭函数的current_user调用者权限的 PL/SQL 应用程序中删除的误报
• Apex 不良做法：未使用命名凭据 – 在未使用推荐的命名凭据的 Salesforce Apex 应用程序中检测到新类别
• Azure ARM 配置错误：删除了不安全的主机名绑定传输 - 类别支持
• 跨站点脚本：AI – 在使用 AWS SageMaker 的 Python 应用程序中检测到的新问题
• 拒绝服务：格式字符串 – 在 Java 应用程序中删除了重复问题
• 不安全的 SSL：过于宽泛的证书信任 – 在使用 TrustKit 的 iOS 应用程序中删除了误报
• 隐私侵犯 – 在使用返回布尔值而不是解密值的解密函数的 Java 应用程序中删除误报
• JSP 应用程序中涉及 getNativeRequest（） 的各种重复数据流问题
• 在 .NET 应用程序中检测到的各种新数据流问题，涉及 Json.NET
• 在涉及 Text.Encoding 或 System.IO.StreamReaderfunctions 的 .NET 应用程序中检测到的各种新数据流问题
• 在涉及地图对象的 Dart 应用程序中检测到的各种新数据流问题

类别名称更改发生弱点类别名称更改时，将先前扫描的分析结果与新扫描合并可能会导致添加/删除类别。

为了提高一致性，以下 27 个类别已重命名：

WebInspect更新

OpenText DAST SecureBase 将对数千个漏洞的检查与指导客户使用 SmartUpdate 立即获得的以下更新的策略相结合。

漏洞支持

不安全的传输：HSTS 不包括子域HTTPStrict-Transport-Security （HSTS） 是一个安全标头，指示浏览器始终使用 HTTPS 连接进行连接。此标头通过指示浏览器自动将指定域的 HTTP 请求升级为 HTTPS 来防止 SSL 剥离攻击。includeSubDomains 指令将此保护扩展到当前域的所有子域。如果没有此指令，攻击者可以针对未受保护的子域进行中间人攻击、窃取凭据和拦截敏感数据。此版本包括一项检查，用于识别 HSTS 标头中缺少的指令。

不安全的传输：缺少 PQC 弹性密钥交换后量子密码学 （PQC） 算法可针对基于量子的攻击提供保护。虽然目前的量子计算机还不能实际破解经典的密钥交换算法，但大规模量子计算机的发展对未来的加密数据构成了重大威胁。此版本包括一项新检查，用于识别在其 TLS 1.3 配置中缺乏后量子加密 （PQC） 支持的服务器。此功能使组织能够在后量子标准成为强制性之前盘点其量子准备情况并计划迁移，从而有助于防范未来“先收获，后解密”的威胁。

不安全部署：未修补的应用程序CVE-2025-49706 是 Microsoft SharePoint Server 中的一个严重身份验证绕过漏洞。该漏洞允许未经身份验证的远程攻击者访问 ToolPane 页面并通过发送特制请求来执行任意命令。此漏洞影响 2025 年 7 月安全更新之前的 SharePoint Server 订阅版、2019 和 2016 版本。此版本包括一种检测机制，用于在受影响的 SharePoint Server 实例上识别此漏洞。

合规报告

OWASP Top 10 for LLM Applications 2025

OWASP Top 10 应用前 2025 名列出了影响 AI 模型和应用程序的主要安全问题。它旨在提高人们对生成式人工智能最关键安全漏洞的认识，并教育参与 LLM 开发和维护的人员，例如需要保护 LLM 的开发人员、架构师、经理和/或一般组织。此OpenText DAST SecureBase 更新包括一个新的合规性报告模板，该模板提供了 OWASP Top 10  LLM 2025 类别与 OpenText DAST 检查之间的关联。

政策更新

OWASP Top 10 for LLM Applications 2025 一项定制策略，包括与 OWASP 前 10 名应用相关的检查，已添加到 OpenText DAST SecureBase 支持策略列表中。

杂项勘误表

在此版本中，我们投入了资源来进一步减少误报数量，并提高客户审核问题的能力。客户还可以期待看到与以下领域相关的报告结果的变化。

跨帧脚本此版本包括一项检查，用于将跨帧脚本漏洞中的现有帧破坏逻辑拆分为其自己的信息发现，以减少误报噪音。

HTML5：缺少 Content-Security-Policy此类别的严重性从“信息性”增加到“低”，以反映缺少此安全标头的风险。但是，与所有客户端强制保护一样，不能完全信任客户端强制执行的完全信任。

优质内容

研究团队在我们的核心安全情报产品之外构建、扩展和维护各种资源。

OWASP Top 10 for LLM Applications 2025提供了影响 AI 模型和应用程序的主要安全问题列表。它旨在提高人们对生成式人工智能最关键安全漏洞的认识，并教育参与 LLM 开发和维护的人员，例如需要保护 LLM 的开发人员、架构师、经理和/或一般组织。为了配合新的关联，此版本还包含一个新的开放文本应用程序安全报告包（Fortify 软件安全中心），支持 OWASP Top 10 for LLM Applications 2025，可从 Fortify 客户支持门户的“高级内容”下下载。

OpenText Fortify Taxonomy：软件安全错误OpenText Fortify Taxonomy 网站包含对新添加的类别支持的描述，可在 https://vulncat.fortify.com 获得。

备注：

[1] 需要OpenText 静态应用程序安全测试 （Fortify） 25.4 或更高版本。[2] 需要OpenText 静态应用程序安全测试 （Fortify） 25.4 或更高版本。[3] 需要OpenText 静态应用程序安全测试 （Fortify） 25.4 或更高版本。[4] 需要OpenText 静态应用程序安全测试 （Fortify） 25.4 或更高版本。

联系客户支持