固件firmware

功能上獨立于主存儲器，通常存儲在只讀存儲器（ROM）中的指令和相關 數(shù)據(jù)的有序集。［來源：GB/T 25069-2022，3.225］

漏洞掃描檢估過程

醫(yī)liao器械網(wǎng)絡安全漏洞評估是對醫(yī)lioa器械的系統(tǒng)性審查，源代碼檢測工具fortify報告中文插件，用于發(fā)現(xiàn)存在于醫(yī)liao器械網(wǎng)絡中的現(xiàn)有漏洞，確定安全漏洞的等級和威脅程度。

網(wǎng)絡安全漏洞評估主要有三個目的：

1.評估產(chǎn)品是否存在網(wǎng)絡安全方面的漏洞。

2.為每個漏洞確定風險等級。

3.根據(jù)漏洞的分布情況與風險等級，采取相應的措施以提升產(chǎn)品的網(wǎng)絡安全性能。

在漏洞評估的過程中，漏洞掃描是確認隱藏在醫(yī)liao器械及其環(huán)境中漏洞的實用方法，掃描結果能夠幫助醫(yī)liao器械注冊申請人了解其產(chǎn)品網(wǎng)絡安全所存在的問題，并做出有依據(jù)性的評估。

漏洞風險等級的確定參考CVSS評分規(guī)則，即“通用漏洞評分系統(tǒng)”。

CVSS是用于評估系統(tǒng)安全漏洞嚴重程度的一個行業(yè)公開標準。漏洞風險等級評分為10分—0分，漏洞評分越高，表明漏洞被go擊的復雜度越低，漏洞被利用所需要的技術能力越低，漏洞被利用后對系統(tǒng)的影響程度越高。

HCL AppScan Standard 10.6.0 中的新增功能

修復和安全更新

此發(fā)行版中的新安全規(guī)則包括：attWPHelperLitePluginXSSCVE20230448

- 檢測 CVE-2023-0448WordPressWBPUPluginXSSCVE202328665

 - 檢測 CVE-2023-28665WordPressLWPPluginXSSCVE202323492

- 檢測 CVE-2023-23492attNoSQLInjection

 - 改進了對 NoSQL 漏洞的支持（在 crAPI 中演示）attCactiRemoteCommandExecutionCVE202246169

 - Cacti 檢測 CVE-2022-46169易受攻擊的組件數(shù)據(jù)庫已更新到 V1.4有關此發(fā)行版中的修復以及新的已更新安全規(guī)則的完整列表，源代碼檢測工具fortify一年多少錢，請參閱 AppScan Standard 修復列表。

已在此發(fā)行版中更改“刪除問題”功能已從編輯菜單和上下文菜單中除去。此外，源代碼檢測工具fortify，還除去了將問題標記為不易受攻擊的選項。現(xiàn)在，如果問題是假陽性，源代碼檢測工具fortify采購，您只能將其標記為“干擾”。即將推出的變更從 V10.7.0 開始，許可過程將發(fā)生變化。此更改不會影響現(xiàn)有使用情況。敬請關注 HCL AppScan 的更多詳細信息和更新內(nèi)容。

設置

這組說明介紹如何配置插件以運行本地 Fortify 靜態(tài)代碼分析器掃描，將分析結果上傳到軟件安全中心，然后在 Jenkins 中查看分析結果。您還可以使用 ScanCentral SAST 運行分析。有關說明，請參閱完整文檔。

創(chuàng)建 CIToken 類型的身份驗證令牌。登錄 Fortify 軟件安全中心，單擊“管理”選項卡，然后在左側窗格中選擇“令牌管理>用戶”。單擊“新建”創(chuàng)建 CIToken 類型的身份驗證令牌，然后單擊“保存”。對話框底部的令牌。

在 Jenkins 中，安裝 Fortify 插件。

從“Jenkins”菜單中，選擇“Jenkins”>“管理 Jenkins”>“配置系統(tǒng)”。要根據(jù)結果觸發(fā)不穩(wěn)定構建并在 Jenkins 中查看分析結果，您需要將本地運行的分析結果上傳到 Fortify 軟件安全中心。向下滾動到強化評估部分，然后執(zhí)行以下操作：

在“SSC URL”框中，鍵入“強化軟件安全中心服務器 URL”。

在“身份驗證令牌”框下方，單擊“添加> Jenkins”以打開“Jenkins 憑據(jù)提供程序”對話框，并添加類型為“強化連接令牌”的憑據(jù)。添加憑據(jù)的說明，并將在步驟 1 中創(chuàng)建的令牌值粘貼到“令牌”框中。

要使用 Jenkins 中配置的代理設置連接到 Fortify 軟件安全中心，請選擇“使用 Jenkins 代理”。

單擊測試 SSC 連接。