OpenText Static Application Security Testing (Fortify) 26.1 (macOS, Linux, Windows) - 静态应用安全测试

OpenText Static Application Security Testing (Fortify) 26.1 (macOS, Linux, Windows) - 静态应用安全测试

OpenText SAST 之前称为 Fortify SCA - 代码漏洞扫描工具 | 静态代码测试 | 代码安全分析

请访问原文链接：https://sysin.org/blog/opentext-sast/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

OpenText 静态应用安全测试（Fortify）

以行业领先的准确性及早发现并修复安全问题

OpenText SAST 26.1 新增功能

关于 OpenTextTM 静态应用安全测试（SAST）

目前，OpenTextTM SAST（Fortify 静态代码分析器）已支持 44+ 种语言、覆盖 1524 种漏洞类别，涉及超过 一百万个 API。

OpenText SAST 26.1 有哪些新特性？

宣布推出 OpenText SAST 26.1，本次发布重点聚焦于性能、可扩展性以及广泛的语言支持。本次更新的核心是全新的 AI Analyzer，这是一项新一代能力，可显著加快新语言支持的开发速度，使安全团队能够以前所未有的敏捷性跟上现代开发技术栈的发展。

引入 AI Analyzer：批量解锁新语言支持

全新的 AI Analyzer 允许组织接入自有的大语言模型（LLM），从而快速创建和调优静态分析规则。这意味着可以更快地支持新的或特定领域语言，而无需等待传统 SAST 的完整支持周期。

借助 AI Analyzer，SAST 26.1 现已支持 12 种编程语言：

AI 驱动的语言支持：

• Ada – 面向安全关键系统，扩展了安全扫描能力。
• Bash – 过去常被忽视的 Shell 脚本现在可进行全面分析。
• Delphi – 传统和企业级应用重新获得 SAST 可视性。
• Elixir – 为高并发、可扩展应用提供更深入的安全洞察。
• Erlang – 电信及分布式系统获得更强的漏洞检测能力 (sysin)。
• Groovy – 常用于 CI/CD 和 Jenkins 流水线，现在实现全面覆盖。
• Lua – 用于游戏和嵌入式系统的轻量脚本语言现已受到保护。
• Perl – 传统自动化及后端代码库获得更新的扫描能力。
• PowerShell – 支持 Windows 自动化及基础设施即代码（IaC）场景。
• R – 数据科学和统计环境获得安全控制能力。
• Ruby – 支持动态 Web 应用及脚本，并涵盖主流框架如 Ruby on Rails。
• Rust – 快速发展的系统编程语言现已纳入安全支持范围。

在这些语言中，AI Analyzer 为每种语言覆盖 20+ 漏洞类别，包括注入类漏洞、不安全配置、加密误用、不安全反序列化、凭证管理问题等。主流框架（例如 Ruby-on-Rails）开箱即支持。

引擎其他更新

OpenText SAST 26.1 还包含重要的兼容性更新，以确保工具链保持现代化与稳定性：

• 支持 Xcode 26.1.1 – 确保在最新 Apple 开发环境中的无缝安全分析。
• 支持 Python 3.14 – 紧跟 Python 生态系统的最新发展。

这些更新确保开发者能够使用最新工具链，同时受益于 SAST 26.1 的增强能力。

安全内容更新

除了通过 AI Analyzer 扩展语言支持外，研究团队还在多个领域进行了更新：

AI & ML 内容更新：

以下库已更新，以确保与这些快速发展的领域中的最新 API 变更保持兼容：

• OpenAI
• LangChain

加密更新：

延续在 25.4 中的工作，为帮助组织识别不具备抗后量子密码（PQC）攻击能力的代码，26.1 在使用 Node.js 和 Java 的 Bouncy Castle 时增加了相关支持。

报告更新：

为确保组织能够持续优先处理对其行业最重要的问题，OpenText SAST 26.1 的安全内容已映射到最新标准和最佳实践：

• OWASP Top 10 2025
• DISA 应用安全与开发 STIG 6.4
• 2025 CWE Top 25

其他重要改进与差异

误报减少及其他检测优化：

• .NET 应用 – 移除了与 System.Linq.Enumerable.Select 相关的误报
• 缓冲区溢出 – 在存在最小字符串长度检查保护时，移除了数据流相关误报
• 跨客户端数据访问 – 新增 ABAP 中未授权跨客户端数据访问问题检测 (sysin)
• 跨站脚本（XSS） – 在 Java EE 和 Jakarta EE 应用中，当自动转义生效时移除误报
• Dockerfile 配置错误：敏感主机目录 – 在 Dockerfile 的 COPY 和 ADD 操作中移除误报
• [新增] 隐私违规：持久化凭证 – 在 .NET 中错误配置 SQL Server 数据库连接以持久化凭证时新增问题检测
• SQL 注入 – 新增对 ABAP SQL（Open SQL）的检测能力
• 字符串终止错误 – 在复杂数据结构存在空值赋值时移除误报
• 多项性能优化，以防止扫描“卡死”

系统要求

这里列出操作系统部分，详细描述参看附带的文档。

macOS

• macOS Tahoe 26 (Not Listed)
• macOS Sequoia 15
• macOS Sonoma 14

Linux

• Ubuntu 24.04 x86_64（OVF）
• Ubuntu 22.04 x86_64（OVF）
• Ubuntu 20.04 x86_64（OVF）
• Red Hat Enterprise Linux (RHEL) 9 x86_64
• AlmaLinux 9 x86_64（OVF）
• Rocky Linux 9 x86_64（OVF）
• Oracle Linux 9 x86_64
• Red Hat Enterprise Linux (RHEL) 8 x86_64
• AlmaLinux 8 x86_64（OVF）
• Rocky Linux 8 x86_64（OVF）
• Oracle Linux 8 x86_64

Windows

• Windows Server 2025（OVF）(Not Listed)
• Windows Server 2022（OVF）
• Windows Server 2019（OVF）
• Windows 11
• Windows 10

下载地址

历史版本：

• OpenText Static Application Security Testing (Fortify) and Tools 25.2, 2025-05
• OpenText Static Application Security Testing (Fortify) and Tools 25.3, 2025-07
• OpenText Static Application Security Testing (Fortify) and Tools 25.4, 2025-10

OpenText Static Application Security Testing (Fortify) and Tools 26.1 for macOS

• 请访问：https://sysin.org/blog/opentext-sast/

OpenText Static Application Security Testing (Fortify) and Tools 26.1 for Linux x64

• 请访问：https://sysin.org/blog/opentext-sast/

OpenText Static Application Security Testing (Fortify) and Tools 26.1 for Windows x64

• 请访问：https://sysin.org/blog/opentext-sast/

include Fortify-Rules-2026.1.0

相关产品：Magic Quadrant for Application Security Testing 2025

更多：HTTP 协议与安全