OpenText SAST 26.1 最新靜態應用程式安全測試工具解析
OpenText 最新發布的 OpenText™ SAST(原 Fortify SCA)是專為企業打造的程式碼安全掃描工具。目前已支援 44 種以上程式語言,超過 1,500 種漏洞類型,涵蓋超過 100 萬個獨立 API(Application Programming Interface;應用程式介面),可協助企業在開發階段即發現潛在資安風險。
2026 年版本更新重點聚焦在:
- AI 漏洞分析能力
- 擴展程式語言支援範圍
- 降低誤報率與提升掃描效能
- 強化 DevSecOps 與現代開發環境整合
OpenText SAST 26.1 四大核心升級重點
一、AI 分析器上線:加速語言支援與漏洞偵測
全新的 AI 分析器可結合企業內部 LLM(Large Language Model;大型語言模型),讓安全團隊能即時跟上新興技術與開發語言,強化整體 DevSecOps 韌性。
SAST 26.1 透過 AI 分析器,新增支援 12 種熱門程式語言:
- Ada – 現代安全關鍵系統獲得更強大的安全掃描功能。
- Bash - 以往經常被忽視的 Shell 腳本現在可以進行全面分析了。
- Delphi - 傳統和企業應用程式獲得新的 SAST 可見性。
- Elixir - 可擴展、並發應用程式獲得更深入的安全洞察。
- Erlang - 電信和分散式系統受惠於強大的漏洞偵測功能。
- Groovy – 在 CI/CD 和 Jenkins Pipeline 中很受歡迎,現在已全面覆蓋。
- Lua - 用於遊戲和嵌入式系統的輕量級腳本語言,現已受到保護。
- Perl - 長期存在的自動化和後端程式碼庫將進行更新掃描。
- PowerShell – Windows 自動化和基礎架構即程式碼工作流程的必備工具。
- R – 資料科學和統計環境獲得安全控制。
- Ruby – 支援動態 Web 應用程式和腳本編寫,並有 Ruby on Rails 等主流框架支援。
- Rust - 一種快速發展的系統程式語言,現已納入安全開發範疇。
AI 分析器支援多種語言,每種語言涵蓋 20 多種漏洞類別,包括注入漏洞、不安全配置、加密濫用、不安全反序列化、憑證管理問題等等。主流框架(例如 Ruby on Rails)均已預先支援。
二、引擎相容性更新
OpenText SAST 26.1 還包含重要的相容性更新,確保開發工具鏈的現代化和可靠性,讓開發人員與目前的工具鏈保持一致。
- 支援 Xcode 26.1.1 – 確保在最新的 Apple 開發環境中實現無縫的安全分析。
- 支援Python 3.14 – 與最新的 Python 生態系統改進保持同步。
三、安全內容更新 – AI、加密、法規標準
人工智慧和機器學習程式庫更新
為了確保與這些快速發展領域中的最新 API 變更相容,以下程式庫已進行更新:
- OpenAI
- LangChain
加密更新
PQC(Post-Quantum Cryptography,後量子密碼學)是應對未來量子電腦破解現有加密演算法威脅的下一代加密標準。延續 25.4 版本的工作基礎,26.1 版本進一步強化對以下環境中無法抵禦 PQC 攻擊之程式碼的偵測能力:
- Node.js
- Bouncy Castle for Java
法規標準對應更新
為確保企業能持續對應最新合規要求,OpenText SAST 26.1 安全內容包含與最新標準和最佳實踐相對應的類別:
- OWASP Top 10 2025(Open Web Application Security Project,開放網路應用安全計畫,最新十大網路應用程式安全風險)
- DISA Application Security and Development STIG 6.4(Defense Information Systems Agency Application Security and Development Security Technical Implementation Guide,美國國防資訊系統局應用安全技術實作指南)
- 2025 CWE Top 25(Common Weakness Enumeration,常見軟體弱點列舉,最危險的 25 種軟體弱點)
四、減少誤報、提升檢測精確度
誤報修正:
- .NET 應用程式 – 已移除與 System.Linq.Enumerable.Select 相關的誤報。
- Buffer Overflow -當採取保護措施檢查最小字串長度時,誤報的資料流問題就會消除。
- Cross-Site Scripting-Java EE 和 Jakarta EE 應用程式中自動轉義時出現的誤報已消除。
- Dockerfile Misconfiguration:敏感主機目錄 – 已修正 Dockerfile 中 COPY 和 ADD 操作的誤報。
- String Termination Error -消除複雜資料結構中存在空賦值時的誤報。
新增偵測規則:
- Cross-Client Data Access – ABAP 中偵測未經授權的跨客戶端資料存取的新問題。
- Privacy Violation:持久性憑證 – 在 .NET 中錯誤配置 SQL Server 資料庫連線以持久化憑證時出現的新問題。
- SQL Injection-ABAP SQL(Open SQL)偵測到新問題。
效能改進:
- 多項性能改進措施,以防止大型專案掃描過程中出現「卡頓」現象。
官方資源
- What's New in OpenText SAST (Fortify Static Code Analyzer) 26.1 原文公告連結
- OpenText Application Security Content 26.1 英文說明,請點我
- OpenText Application Security Content 25.4.1 繁體中文說明,請點我
想了解更多 OpenText SAST 26.1 的實戰應用?
立即聯繫資通電腦專業顧問,為您的企業工具鏈進行健康檢查!
延伸閱讀:
