OpenText Static Application Security Testing (Fortify) 26.1 (macOS, Linux, Windows) - 静态应用安全测试
OpenText SAST 之前称为 Fortify SCA - 代码漏洞扫描工具 | 静态代码测试 | 代码安全分析
请访问原文链接:https://sysin.org/blog/opentext-sast/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
OpenText 静态应用安全测试(Fortify)
以行业领先的准确性及早发现并修复安全问题
OpenText SAST 26.1 新增功能
关于 OpenTextTM 静态应用安全测试(SAST)
目前,OpenTextTM SAST(Fortify 静态代码分析器)已支持 44+ 种语言、覆盖 1524 种漏洞类别,涉及超过 一百万个 API。
OpenText SAST 26.1 有哪些新特性?
宣布推出 OpenText SAST 26.1,本次发布重点聚焦于性能、可扩展性以及广泛的语言支持。本次更新的核心是全新的 AI Analyzer,这是一项新一代能力,可显著加快新语言支持的开发速度,使安全团队能够以前所未有的敏捷性跟上现代开发技术栈的发展。
引入 AI Analyzer:批量解锁新语言支持
全新的 AI Analyzer 允许组织接入自有的大语言模型(LLM),从而快速创建和调优静态分析规则。这意味着可以更快地支持新的或特定领域语言,而无需等待传统 SAST 的完整支持周期。
借助 AI Analyzer,SAST 26.1 现已支持 12 种编程语言:
AI 驱动的语言支持:
- Ada – 面向安全关键系统,扩展了安全扫描能力。
- Bash – 过去常被忽视的 Shell 脚本现在可进行全面分析。
- Delphi – 传统和企业级应用重新获得 SAST 可视性。
- Elixir – 为高并发、可扩展应用提供更深入的安全洞察。
- Erlang – 电信及分布式系统获得更强的漏洞检测能力 (sysin)。
- Groovy – 常用于 CI/CD 和 Jenkins 流水线,现在实现全面覆盖。
- Lua – 用于游戏和嵌入式系统的轻量脚本语言现已受到保护。
- Perl – 传统自动化及后端代码库获得更新的扫描能力。
- PowerShell – 支持 Windows 自动化及基础设施即代码(IaC)场景。
- R – 数据科学和统计环境获得安全控制能力。
- Ruby – 支持动态 Web 应用及脚本,并涵盖主流框架如 Ruby on Rails。
- Rust – 快速发展的系统编程语言现已纳入安全支持范围。
在这些语言中,AI Analyzer 为每种语言覆盖 20+ 漏洞类别,包括注入类漏洞、不安全配置、加密误用、不安全反序列化、凭证管理问题等。主流框架(例如 Ruby-on-Rails)开箱即支持。
引擎其他更新
OpenText SAST 26.1 还包含重要的兼容性更新,以确保工具链保持现代化与稳定性:
- 支持 Xcode 26.1.1 – 确保在最新 Apple 开发环境中的无缝安全分析。
- 支持 Python 3.14 – 紧跟 Python 生态系统的最新发展。
这些更新确保开发者能够使用最新工具链,同时受益于 SAST 26.1 的增强能力。
安全内容更新
除了通过 AI Analyzer 扩展语言支持外,研究团队还在多个领域进行了更新:
AI & ML 内容更新:
以下库已更新,以确保与这些快速发展的领域中的最新 API 变更保持兼容:
- OpenAI
- LangChain
加密更新:
延续在 25.4 中的工作,为帮助组织识别不具备抗后量子密码(PQC)攻击能力的代码,26.1 在使用 Node.js 和 Java 的 Bouncy Castle 时增加了相关支持。
报告更新:
为确保组织能够持续优先处理对其行业最重要的问题,OpenText SAST 26.1 的安全内容已映射到最新标准和最佳实践:
- OWASP Top 10 2025
- DISA 应用安全与开发 STIG 6.4
- 2025 CWE Top 25
其他重要改进与差异
误报减少及其他检测优化:
- .NET 应用 – 移除了与 System.Linq.Enumerable.Select 相关的误报
- 缓冲区溢出 – 在存在最小字符串长度检查保护时,移除了数据流相关误报
- 跨客户端数据访问 – 新增 ABAP 中未授权跨客户端数据访问问题检测 (sysin)
- 跨站脚本(XSS) – 在 Java EE 和 Jakarta EE 应用中,当自动转义生效时移除误报
- Dockerfile 配置错误:敏感主机目录 – 在 Dockerfile 的 COPY 和 ADD 操作中移除误报
- [新增] 隐私违规:持久化凭证 – 在 .NET 中错误配置 SQL Server 数据库连接以持久化凭证时新增问题检测
- SQL 注入 – 新增对 ABAP SQL(Open SQL)的检测能力
- 字符串终止错误 – 在复杂数据结构存在空值赋值时移除误报
- 多项性能优化,以防止扫描“卡死”
系统要求
这里列出操作系统部分,详细描述参看附带的文档。
macOS
- macOS Tahoe 26 (Not Listed)
- macOS Sequoia 15
- macOS Sonoma 14
Linux
- Ubuntu 24.04 x86_64(OVF)
- Ubuntu 22.04 x86_64(OVF)
- Ubuntu 20.04 x86_64(OVF)
- Red Hat Enterprise Linux (RHEL) 9 x86_64
- AlmaLinux 9 x86_64(OVF)
- Rocky Linux 9 x86_64(OVF)
- Oracle Linux 9 x86_64
- Red Hat Enterprise Linux (RHEL) 8 x86_64
- AlmaLinux 8 x86_64(OVF)
- Rocky Linux 8 x86_64(OVF)
- Oracle Linux 8 x86_64
Windows
- Windows Server 2025(OVF)(Not Listed)
- Windows Server 2022(OVF)
- Windows Server 2019(OVF)
- Windows 11
- Windows 10
下载地址
历史版本:
- OpenText Static Application Security Testing (Fortify) and Tools 25.2, 2025-05
- OpenText Static Application Security Testing (Fortify) and Tools 25.3, 2025-07
- OpenText Static Application Security Testing (Fortify) and Tools 25.4, 2025-10
OpenText Static Application Security Testing (Fortify) and Tools 26.1 for macOS
OpenText Static Application Security Testing (Fortify) and Tools 26.1 for Linux x64
OpenText Static Application Security Testing (Fortify) and Tools 26.1 for Windows x64
include Fortify-Rules-2026.1.0
相关产品:Magic Quadrant for Application Security Testing 2025
更多:HTTP 协议与安全
