2026-04-13 05:09:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： OpenTextSSR团队发布Fortify规则库26.2版本，新增对AI代理指令文件、Fortran/COBOL语言及MCP协议的安全检测能力，扩展PHP8.5.x支持，并优化误报率。同步更新DAST组件以检测Nginx未授权备份漏洞和提示注入攻击，提供欧盟网络韧性法案合规模板。本次更新覆盖1763个漏洞类别、45+语言及超百万API，提升企业应用安全防护能力。 综合评分： 87 文章分类： 漏洞分析,安全工具,技术标准,解决方案,安全运营

cover_image

Fortify规则库更新26.2

苏州华克斯苏州华克斯

华克斯

2026年4月10日 16:57 江苏

OpenText SSR 很高兴宣布，OpenText SAST 应用安全内容（英文版，版本 2026.2.0）、OpenText DAST SecureBase（通过 SmartUpdate 可用）以及 Fortify Premium Content 的更新已立即上线。

关于OpenText软件安全研究

OpenText软件安全研究（SSR）团队将前沿研究转化为支持Fortify产品组合的安全情报——包括OpenText静态应用安全测试（SAST）[1]，以及OpenText动态应用安全测试（DAST）[2].如今，OpenText应用安全内容支持1763个漏洞类别，涵盖45+语言，覆盖超过一百万个独立API。

OpenText SAST 应用安全内容

此次发布中，SAST应用安全内容检测了1537个独特类别的漏洞，涵盖45+语言，覆盖超过一百万个独立API。总之，本次发布包含以下内容：

基于 Fortran、COBOL 和 AI 代理指令文件的 AI 驱动弱点检测[3]

26.1 引入的 AI 驱动 SAST 功能扩展，支持对 AI 代理指令文件的安全分析，以及 Fortran 和 COBOL 编程语言，提供以下漏洞检测：

[新]AI代理指令文件

AI代理指令文件是高度可读的结构化文本指令和配置文件，用于指导AI辅助开发工具。它们通过定义编码规范、架构指导、工作流程期望和项目特定开发实践，支持一致且具上下文感知的输出。AI代理指令文件通常由大型语言模型（LLM）直接解释，而非编译成可执行代码，从而实现团队标准和助理行为的动态应用。这些指令文件常见于支持AI的编码应用中，如GitHub Copilot、Cursor和Windsurf，且常与相关工艺品如AI技能一起使用，后者为更复杂或多步骤的开发活动提供可重复使用的任务专用工作流程。为了能够检测AI代理指令文件中的问题，支持涵盖了15个弱点类别，包括以下新增的弱点类别：

• 身份验证不良实践：AI编码规则文件 • 危险代码生成 • 不安全工具调用 • 日志记录不佳：AI编码规则文件 • 提示注入：越狱尝试 • 系统提示符泄露 • 不安全依赖建议

[新]Fortran

Fortran 编程语言是一种高效的编译语言，专为科学、工程和数值计算设计。Fortran 源代码通常被编译成目标平台的本地机器码或可执行目标代码，从而在高性能计算系统、服务器和技术工作站上实现高效执行。Fortran 设计用于实现计算需求高的系统，如航空航天、气象建模、物理、化学、能源和学术研究环境中的系统。为了能够检测 Fortran 源代码中的问题，支持涵盖 28 个弱点类别，如关键的 SQL 注入、命令注入和内存相关错误，并新增以下类别：

• 错误处理不佳：返回值未检查

COBOL

COBOL 编程语言是一种高度可读的编译语言，专为商业、金融和行政系统设计。COBOL 源代码通常被编译成目标平台的本地机器码或可执行目标代码，从而在大型机和服务器等企业系统上实现高效执行。COBOL旨在实现大规模企业应用，如银行、保险、政府、零售和薪资管理等领域。为了能够检测 COBOL 源代码中的问题，支持涵盖了 27 个现有的弱点类别。

人工智能与模型上下文协议（MCP）

随着生成式人工智能和大型语言模型的不断改变软件行业的解决方案领域，新的风险也随之出现。MCP是一个开放标准，用于将LLM连接到其他外部系统，以与指定的工具、数据和工作流交互，形成丰富的数据处理环境。以下新增内容扩展了 OpenText SAST 检测因 MCP API 不安全集成和使用而产生的弱点的能力。

[新]Python版FastAPI-MCP（支持版本：0.4.x）

FastAPI-MCP 是一个 Python 库，将现有的 FastAPI 端点转换为模型上下文协议（MCP）工具，使 LLM 和 AI 代理能够以最少的设置调用它们，同时保留应用的模式和文档。支持涵盖六大弱项类别，包括新增的 MCP 配置错误：不安全头转发。

[新]Python版FastMCP（支持版本：3.0.x）

FastMCP 是一个简化 MCP 服务器构建的框架。支持涵盖 11 个弱点类别，包括以下新类别：

• 不安全存储：明文凭证 • OAuth2：禁用同意 • 提示注入：助手提示

[新]网络韧性法案（2024年）

欧盟（EU）网络韧性法案（CRA）是一项强制性法规，规定了硬件和软件产品在整个生命周期内的安全要求和标准。CRA的“基本网络安全要求”（附件I所述）已与Fortify软件安全错误分类法中的类别相关联，以促进在CRA背景下审计Fortify结果。

PHP 更新（支持版本：8.5.x）

扩展支持，包含最新版本的 PHP 核心标准库。这确保了使用PHP最新版本时的漏洞发现。

杂项勘误

假阳性减少及其他显著检测改进

• ASP.NET 不良做法：会话中不可序列化对象——通过排除内置系统和Microsoft类型，在.NET应用中消除误报，避免不可序列化对象检测 •Azure Terraform配置错误：功能薄弱认证——删除重复发现 •构建错误配置：外部Maven依赖仓库——Apache Maven pom.xml中未声明仓库时移除误报 •代码正确性：非静态内类实现可序列化——减少Kotlin项目中的噪声问题•凭证管理：硬编码API凭证——Docker组织访问令牌检测到新问题 •数据中毒：AI嵌入——在污染验证不足的情况下移除误报 •意图操作– 在污染验证不足的情况下移除假阳性 •不安全随机性– 在污染验证不足的情况下移除假阳性 •邮件命令注入：POP3– 在污染验证不足的情况下移除假阳性 •邮件命令注入：SMTP– 在污染验证不足的情况下移除假阳性 •缺少对空检测– 减少Kotlin项目中的噪声问题•NoSQL注入：MongoDB——在污染验证不足时移除误报 •对象模型违规：仅为等值（）和hashCode（之一）定义——减少Kotlin项目中的噪声问题•密码管理——在所有配置文件默认密码模式中添加“秘密”时检测到新问题 •糟糕的日志记录实践：日志未被声明为静态最终记录——减少Kotlin项目中的噪声问题•风格差：标识符包含美元符号（$）——减少Kotlin项目中的噪声问题•提示注入——在污染验证不足的情况下移除假阳性 •提示注入：持续性——在污染验证不足的情况下移除误报 •服务器端模板注入——在污染验证不足的情况下移除误报 •XSLT注入——在污染验证不足的情况下移除假阳性

OpenText DAST（WebInspect）SecureBase

OpenText DAST SecureBase 结合了数千个漏洞的检查和策略，指导客户立即通过 SmartUpdate 获得的更新。

漏洞支持

访问控制：缺少授权检查

CVE-2026-27944描述了一种漏洞，该漏洞通过Nginx界面——Nginx基于网络的管理仪表盘——暴露敏感数据。漏洞在于未认证的 /api/backup 端点，它返回完整的加密系统备份以及 X-Backup-Security 响应头中的解密密钥，使未认证攻击者能够获取并解密包括凭证、会话令牌、SSL 私钥和 Nginx 配置在内的敏感服务器数据。该漏洞影响了 2.3.3 之前所有 Nginx UI 版本。本版本包含检测机制，用于识别暴露的 Nginx UI 实例中的该漏洞。

提示注入

提示注入是一种针对使用LLM应用程序的攻击技术，恶意用户通过操控模型输入来改变预期行为。这可能包括让LLM忽略之前的指令、泄露敏感数据，以及生成有害或无意输出。

提示注入模型/提供者信息披露 本版本增加了LLM模型和提供者披露的提示注入子类型覆盖，以提供模型泄露信息的清晰指标。这使得攻击者能够及早发现侦察式的泄露，从而定制更有效的提示注入攻击。

提示注入改进 本版本通过引入细粒度子类别，扩展了提示注入的覆盖范围。升级后的检查改善了关键结果的路由和报告，包括以下内容：

• LLM指令边界突破确认 • LLM指令边界仅由模型护栏强制执行 • LLM敏感凭证披露 • LLM系统提示符内容提取 • LLM输出未净化输出给客户端

该版本引入了可配置的 CheckInputs 规避处理，适用于 Base64、ROT13、Unicode 和 Leetspeak 规避。此外，客户还可以在CheckInputs中配置攻击模式，允许对攻击载荷使用规避。

合规报告

网络韧性法案（2024年）

欧盟CRA是一项强制性法规，规定了硬件和软件产品在整个生命周期内的安全要求和标准。本次 OpenText DAST SecureBase 更新包含一个新的合规报告模板，提供了 CRA 附录 I 规定的 CRA “基本网络安全要求”与 OpenText DAST 检查之间的关联。

政策更新

网络韧性法案（2024年）

一项针对CRA 2024相关检查的定制策略已被添加到OpenText DAST SecureBase支持政策列表中。

杂项勘误

在本次发布中，我们投入了资源，进一步减少误报数量，并提升客户审计问题的能力。客户还可以预期以下领域报告结果会发生变化。

经常被误用：弱SSL证书

本版本改进了弱SSL证书检测结果，将自签名证书检测和未验证证书检测分开，形成不同的检查，以提供更清晰的修复指导。自签名（11380）用于识别服务器自身签署的证书;未验证（11635）用于识别无法通过受信任CA验证的证书。这种拆分允许客户根据具体的信任边界失效优先处理修复。

批判与高政策

在关键与高严重度政策中新增21项高影响检查，提升了对身份验证、注入和访问控制漏洞的检测覆盖。

档案文件扩展[4]

通过添加可配置的签名 CheckInputs“静态资产类型”来识别静态资产文件类型，改进了归档文件扩展名（Check ID 11405）检测。检查现在跳过了对已知静态资产的扩展.gz，从而减少了在服务预压缩静态资源的应用中的误报。

Fortify高级内容

研究团队构建、扩展并维护各种资源，超出我们核心安全情报产品。

2025年CWE前25名及网络韧性法案（2024年）

为配合新的相关性，支持2025年CWE前25强和网络韧性法案（2024年）的OpenText应用安全（Fortify Software Security Center）新报告捆包，可在OpenText应用安全客户门户的高级内容下下载。

OpenText Fortify 分类法：软件安全错误

OpenText Fortify 分类法网站包含新添加类别支持的描述，可在 https://vulncat.fortify.com 访问。

[1] 之前称为Fortify静态代码分析仪。 [2] 之前称为Fortify WebInspect。 [3] 需要 OpenText 静态应用安全测试（Fortify）26.2 或更高版本。更多信息及如何配置 Claude 或 GPT 模型的使用，请参阅 OpenText SAST 26.2 文档。 [4] 需要OpenText动态应用安全测试（WebInspect）26.2或更高版本。

联系客户支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：华克斯苏州华克斯苏州华克斯《Fortify规则库更新26.2》