(最新整理)FortifySCA安裝使用手冊(cè)

1、(完整)fortify sca 安裝使用手冊(cè)(完整)fortify sca 安裝使用手冊(cè) 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對(duì)文中內(nèi)容進(jìn)行仔細(xì)校對(duì)，但是難免會(huì)有疏漏的地方，但是任然希望（(完整)fortify sca 安裝使用手冊(cè)）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來(lái)便利。同時(shí)也真誠(chéng)的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動(dòng)力。本文可編輯可修改，如果覺(jué)得對(duì)您有幫助請(qǐng)收藏以便隨時(shí)查閱，最后祝您生活愉快 業(yè)績(jī)進(jìn)步，以下為(完整)fortify sca 安裝使用手冊(cè)的全部?jī)?nèi)容。fortify sca 安裝使用手冊(cè)目

2、錄1。 產(chǎn)品說(shuō)明51。1. 特性說(shuō)明51。2. 產(chǎn)品更新說(shuō)明52. 安裝說(shuō)明62。1。 安裝所需的文件62.2。 fortify sca支持的系統(tǒng)平臺(tái)62。3. 支持的語(yǔ)言62.4。 fortify sca的插件72。5。 fortify sca支持的編譯器72.6. fortify sca在windows上安裝82.7。 fortify sca安裝eclispe插件92.8. fortify sca在linux上的安裝（要有l(wèi)inux版本的安裝文件）92。9。 fortify sca在unix上的安裝（要有unix版本的安裝文件）103. 使用說(shuō)明113。1. fortify sca 掃描指

3、南113。2. 分析fortitfy sca掃描的結(jié)果164故障修復(fù)204。1使用日志文件去調(diào)試問(wèn)題204.2轉(zhuǎn)換失敗的信息20如果你的c/c+ 應(yīng)用程序能夠成功構(gòu)建，但是當(dāng)使用fortify sca 來(lái)進(jìn)行構(gòu)建的時(shí)候卻發(fā)現(xiàn)一個(gè)或者多個(gè)“轉(zhuǎn)換失敗”的信息，這時(shí)你需要編輯install_directory/core/config/perties 文件來(lái)修改下面的這些行：20com。fortify。sca.cpfe.options= -remove_unneeded_entities -suppress_vtbl20to20com。fortify.sca.cpfe。op

4、tions=-w remove_unneeded_entities -20suppress_vtbl20重新執(zhí)行構(gòu)建，打印出轉(zhuǎn)換器遇到的錯(cuò)誤。如果輸出的結(jié)果表明了在你的編譯器和fortify 轉(zhuǎn)換器之間存在沖突204.3jsp的轉(zhuǎn)換失敗204.4 c/c+ 預(yù)編譯的頭文件21前言fortify sca是目前業(yè)界最為全面的源代碼白盒安全測(cè)試工具，它能精確定位到代碼級(jí)的安全問(wèn)題，完全自動(dòng)化的完成測(cè)試，最廣泛的安全漏洞規(guī)則，多維度的分析源代碼的安全問(wèn)題。文檔約定本手冊(cè)使用以下約定， 以區(qū)分手冊(cè)中其它部分。約定表示含義粗體字“粗體新宋體”：表示截圖中的按鈕或是選項(xiàng)。如：點(diǎn)擊保存按紐“右箭頭”:用在兩個(gè)

5、或多個(gè)詞語(yǔ)之間，表示分級(jí)，左邊的內(nèi)容是右邊的上一級(jí)。如：文件打開(kāi)l“圓點(diǎn)”：表示同級(jí)的并列選項(xiàng)或是屬性。1，2，3“粗體數(shù)字”：表示一個(gè)過(guò)程中步驟?！熬妗?說(shuō)明需要注意的事項(xiàng)?！疤崾尽保罕硎靖郊拥恼f(shuō)明性文字。編寫(xiě)約定指編寫(xiě)用戶手冊(cè)的規(guī)范和注意事項(xiàng)，編寫(xiě)人員在手冊(cè)完成后應(yīng)刪除該篇約定。l 關(guān)于截圖n 為使敘述更加明確、簡(jiǎn)潔,應(yīng)避免不必要的截圖。指可以用語(yǔ)言敘述清楚其操作方法的界面。如：拉菜單、快捷菜單等可以避免截圖。n 圖片應(yīng)盡量精準(zhǔn)，不要留白邊，和避免出現(xiàn)不相關(guān)的圖標(biāo)。如：輸入法工具欄等。l 關(guān)于斜體字表示可變化的名稱或是術(shù)語(yǔ)，編寫(xiě)手冊(cè)時(shí)應(yīng)用具體內(nèi)容替換。l 關(guān)于說(shuō)明補(bǔ)充說(shuō)明某一章/節(jié)中需描

6、述的內(nèi)容,提供了供參考的內(nèi)容細(xì)則。手冊(cè)編寫(xiě)完成后應(yīng)刪除此部分內(nèi)容。l 關(guān)于示例具體實(shí)例輔助說(shuō)明某一章/節(jié)的內(nèi)容范圍和格式.手冊(cè)完成后應(yīng)刪除此部分內(nèi)容.l 關(guān)于分級(jí)下分一級(jí)用圓點(diǎn)表示,具體分級(jí)設(shè)置請(qǐng)參照公司文檔編寫(xiě)規(guī)范。1. 產(chǎn)品說(shuō)明fortify sca(靜態(tài)代碼分析器）是組成fortify360系列產(chǎn)品之一，sca工作在開(kāi)發(fā)階段，以用于分析應(yīng)用程序的源代碼是否存在安全漏洞。它不但能夠發(fā)現(xiàn)只能在靜態(tài)情況下才能發(fā)現(xiàn)的新的漏洞,而且也能在測(cè)試和產(chǎn)品階段驗(yàn)證已經(jīng)發(fā)現(xiàn)的漏洞。1.1. 特性說(shuō)明fortify sca主要的特性和優(yōu)點(diǎn)如下：1。業(yè)務(wù)最完整的靜態(tài)代碼分析器,以最大和最全面的安全編碼規(guī)則為基礎(chǔ)

7、,而且這些規(guī)則可以不斷地進(jìn)行更新，以適應(yīng)新的軟件安全漏洞2?？鐚涌缯Z(yǔ)言地分析代碼的漏洞產(chǎn)生，目前支持所有的主流開(kāi)發(fā)語(yǔ)言3.在確認(rèn)安全漏洞上有十分高的準(zhǔn)確性4.可以精確地定位漏洞產(chǎn)生的全路徑,方便開(kāi)發(fā)人員對(duì)漏洞進(jìn)行修復(fù)5.支持多種軟件開(kāi)發(fā)平臺(tái)1.2. 產(chǎn)品更新說(shuō)明名稱版本發(fā)布日期功能修改說(shuō)明fortify scav2.02. 安裝說(shuō)明2.1. 安裝所需的文件1fortify sca的安裝文件2fortify license（即安裝授權(quán)文件)3fortify的規(guī)則庫(kù)文件(可在線下載最新的規(guī)則庫(kù)）4要安裝插件的ide (例如eclispe3.2,3。3；vs2003,2005；rad7;rsd7）2

8、.2. fortify sca支持的系統(tǒng)平臺(tái)2.3. 支持的語(yǔ)言2.4. fortify sca的插件2.5. fortify sca支持的編譯器2.6. fortify sca在windows上安裝1 雙擊安裝包中的fortify360-21.0-analyzers_and_appswindowsx86。exe即可安裝2 選擇fortify提供的授權(quán)文件所在路徑(即安裝包下的fotify_rule文件夾，該文件夾下有fortify.license），點(diǎn)擊next按鈕3 選擇相應(yīng)的安裝路徑,點(diǎn)擊next按鈕4 選擇相應(yīng)的組件進(jìn)行安裝,在此處請(qǐng)注意，fortify默認(rèn)不安裝ide插件，如果需要安

9、裝相應(yīng)的ide插件,如圖所示：在此處我選擇了基于eclipse3。x，vs2005的插件(選擇安裝vs的插件之前,得首先安裝vs的ide），然后點(diǎn)擊next按鈕5 再點(diǎn)擊next按鈕即可完成安裝6 添加相應(yīng)的規(guī)則庫(kù),可直接聯(lián)網(wǎng)下載最新的規(guī)則庫(kù)，或是將安裝包下的fotify_rule文件夾下rules_zh。rar解壓縮到fortify安裝目錄下的coreconfigrules位置7 安裝完成后把系統(tǒng)時(shí)間改成2008年,方可正常使用。2.7. fortify sca安裝eclispe插件2.8. fortify sca在linux上的安裝（要有l(wèi)inux版本的安裝文件)2.9. fortify

10、sca在unix上的安裝(要有unix版本的安裝文件)3. 使用說(shuō)明fortify sca掃描方式：1ide插件方式2命令行3audit workbench掃描目錄4與構(gòu)建工具集成（ant ,makefile）5sca build monitor(c/c+ windows only）下面主要是介紹常用的兩種掃描方式:ide插件方式,以及命令行方式3.1. fortify sca 掃描指南3.1.1 eclipse插件方式掃描1。1首先你得正確安裝fortify sca的插件，具體安裝方法見(jiàn)前面所述的安裝指南；安裝成功后的ide界面如圖所示，會(huì)有一個(gè)圖標(biāo)1.2導(dǎo)入所要進(jìn)行源碼安全測(cè)試的項(xiàng)目，成功

11、導(dǎo)入之后會(huì)顯示以上界面右邊的package expl里面1。3左鍵選中該項(xiàng)目，然后點(diǎn)擊，就可以進(jìn)行掃描了；或者是右鍵點(diǎn)擊該項(xiàng)目，彈出選項(xiàng)菜單，選中analyze source code of project就可以進(jìn)行掃描。3.1.2 audit audit workbench掃描目錄2.1首先在開(kāi)始菜單-所有程序fortify software-fortify 360 v2。0audit workbench,啟動(dòng)audit workbench，界面如下2.2建議采用advanced scan，然后選中要掃描的目錄，點(diǎn)擊確定按鈕即可掃描3.1.3 命令行方式掃描java 命令行語(yǔ)法這個(gè)主題描述了

12、為java 翻譯源代碼的fortify sca 命令語(yǔ)法?；镜膉ava 命令行語(yǔ)法是:sourceanalyzer b build-id -cp classpath file-list有了java 代碼， fortify sca 既可以仿效編譯程序（它使得構(gòu)造結(jié)合很方便），也可以直接接受源文件（它使命令行掃描更方便）。注意：有關(guān)所有你能使用的帶有sourceanalyzer 命令的選項(xiàng)，請(qǐng)查看第33 頁(yè)的“命令行選項(xiàng)。使fortify sca 仿效編譯程序，輸入：sourceanalyzer b javac files|file-specifiers這里：具體指定classpath 來(lái)用在j

13、ava 源代碼中。classpath 是一個(gè)構(gòu)造目錄和 jar 文件的列表。格式和javac 所預(yù)期的相同（路徑的冒號(hào)或獨(dú)立的分號(hào)的列表）。你可以使用fortify sca 文件說(shuō)明符。cp ”build/classes：lib/。jar注意：如果你沒(méi)有使用選項(xiàng)來(lái)具體指定classpath, classpath 環(huán)境變量將被使用. 文件說(shuō)明符允許你容易地通過(guò)一個(gè)長(zhǎng)文件列表到fortify sca 使用通配符。fortify sca 能識(shí)別兩種類型的通配符： 匹配部分文件名 ， * 遞歸地匹配目錄.你可以指定一個(gè)或更多的文件，一個(gè)或更多的文件說(shuō)明符，或文件和文件說(shuō)明符的結(jié)合.java 命令行例子

14、在classpath 上用j2ee。jar 翻譯一個(gè)命名為myservlet.java 的文件，輸入：sourceanalyzer b myservlet cp lib/j2ee.jar myservlet.java用lib 目錄中所有jar 文件作為classpath 在src 目錄中翻譯所有的.java 文件:sourceanalyzer -b myproject cp lib/.jar src/*/*。java”當(dāng)運(yùn)行javac 編譯程序時(shí),翻譯mycode.java 文件：sourceanalyzer b mybuild javac -classpath libs.jar mycode

15、。javaj2ee項(xiàng)目轉(zhuǎn)換的簡(jiǎn)單示例把項(xiàng)目的所有文件和庫(kù)都放在一個(gè)目錄下，運(yùn)行下面的命令：. sourceanalyzer xmx1000m -b pname encoding ”utf-8” -cp ”*/*。jar” . sourceanalyzer -xmx1000m -b pname appserver weblogic -appserververion 9 appserverhome “d:beawebloigcserverlib”encoding ”utf-8” cp */*.jar翻譯jsp 文件要翻譯jsp 文件， fortify sca 需要jsp 文件遵循標(biāo)準(zhǔn)的web ap

16、plication archive （war) 設(shè)計(jì)格式.如果你的源目錄已經(jīng)以war 格式組織了，那么你可以直接從源目錄中翻譯jsp 文件.如果情況不是這樣的，那么你需要展開(kāi)應(yīng)用程序并從展開(kāi)目錄中翻譯你的jsp 文件。如果你的jsp 文件使用了任何標(biāo)簽庫(kù),例如jstl，確保庫(kù)的jar 文件在 webinf/lib 目錄中。否則jsp 編譯程序?qū)⒉惶幚順?biāo)簽庫(kù)，可能產(chǎn)生錯(cuò)誤的結(jié)果。默認(rèn)地，在翻譯程序段期間， fortify sca 使用一個(gè)jasper jsp 編譯程序的版本來(lái)編譯jsp 文件到j(luò)ava 文件中去。然而，如果你的web 應(yīng)用程序是特別為了某個(gè)應(yīng)用程序服務(wù)器而開(kāi)發(fā)的,那么當(dāng)執(zhí)行翻譯時(shí)

17、，你必須為那個(gè)應(yīng)用程序服務(wù)器使用jsp 編譯程序。為了支持它， fortify sca 提供了以下命令行選項(xiàng)： -appserver 支持變量：weblogic/websphere -appserver-home有關(guān)weblogic：到目錄的路徑包含server/lib 目錄有關(guān)websphere：到目錄的路徑包含bin/jspbatchcompiler 腳本 -appserver-version 支持變量：weblogic 版本7 和8websphere 版本6如果你在使用一個(gè)沒(méi)有被列出來(lái)的應(yīng)用程序服務(wù)器，使用默認(rèn)內(nèi)部fortify jsp 編譯程序。例如:sourceanalyzer b

18、my_buildid -cp ”web-inf/lib/。jar web-inf/*/。jsp”使用findbugsfindbugs（） 是一個(gè)靜態(tài)分析工具，它在java 代碼中檢測(cè)質(zhì)量問(wèn)題。你可以和fortify sca 一起使用findbugs，結(jié)果會(huì)被合并到分析結(jié)果文件中。與fortify sca 運(yùn)行在java 源文件中不同， findbugs 運(yùn)行在java 字節(jié)碼中.因此，在項(xiàng)目中運(yùn)行分析之前,你應(yīng)該首先編譯項(xiàng)目產(chǎn)生類文件。為了示范如何與fortify sca 一起自動(dòng)地運(yùn)行findbugs,編譯例子代碼， warning

19、.java,如下：1。 定位到以下目錄：install_directory/samples/advanced/findbugs2. 輸入以下命令并編譯例子:mkdir buildjavac -d build warning。java3. 用findbugs 和fortify sca 掃描例子，如下：sourceanalyzer b findbugs_sample javabuilddir build warning.javasourceanalyzer -b findbugs_sample scan -findbugs -f findbugs_sample。fpr4。 檢查早fortify a

20、udit workbench 中的分析結(jié)果：auditworkbench findbugs_sample.fpr輸出包括了以下問(wèn)題類別： object model violation dead local store equal objects must have equal hashcodes useless self-assignment （2） unwritten field (2)翻譯 c/c+ 代碼翻譯一個(gè)文擋所用的基本命令行語(yǔ)法是：sourceanalyzer b buildid compiler 其中: compiler 是在項(xiàng)目創(chuàng)建掃描之時(shí)，你想使用的編譯器的名字。比 gcc

21、或者是 cl。 compiler_options 是傳遞到典型編譯文擋的編譯器的選項(xiàng).c 和c+ 命令行舉例以下是一些簡(jiǎn)單的可用范例：使用 gcc 編譯器，翻譯一個(gè)名為 helloworld。c 的文件，鍵入：sourceanalyzer b my_buildid gcc helloworld。c結(jié)合 make你可以使用以下方法中的其中一項(xiàng)去結(jié)合make 使用 fortify sca： 無(wú)入侵式的集成 入侵式的集成（修改一個(gè)makefile 去調(diào)用fortify sca）使用無(wú)入侵式的集成,運(yùn)行以下命令：sourceanalyzer b makefortify sca 運(yùn)行 make 命令.當(dāng)

22、make 調(diào)用了任意被 fortify sca 認(rèn)作為是一個(gè)編譯器的命令，這個(gè)命令就會(huì)被 fortify sca 處理。注意makefile 不會(huì)被修改.這個(gè)構(gòu)建集成的方法不局限于make。任何一個(gè)執(zhí)行編譯器處理的構(gòu)建命令可以被用到系統(tǒng)里去;只要拿去運(yùn)行一個(gè)構(gòu)建的命令來(lái)替代以上命令中的make 部分。如果不是已經(jīng)存在的話，你可能必須為你的構(gòu)建工具添加一個(gè)條目進(jìn) install_directory/core/config/perties。比如，結(jié)合一個(gè)名為dobuild 的構(gòu)建腳本，添加以下到perties 里去：com.fortify.

23、pilers.dobuild =pilers。touchlesscompiler注意: fortify touchless build adapter 會(huì)表現(xiàn)異常,如果： 構(gòu)建腳本給編譯器調(diào)用了一個(gè)完整路徑,或者如果構(gòu)建腳本拒絕可執(zhí)行搜索路徑. 構(gòu)建腳本沒(méi)有創(chuàng)建一個(gè)新的進(jìn)程去運(yùn)行編譯器.許多java 構(gòu)造工具，包括ant，都以這種方式運(yùn)行.入侵式的集成, 運(yùn)行以下命令:修改一個(gè)makefile 去調(diào)用 fortify sca，代替任何一個(gè)鏈接，被調(diào)用到編譯器，文件，或者是makefile 和fortify sca 里。這些工具在ma

24、kefile 中一個(gè)特殊變量中被特別指明,如以下范例所示：cc=gcccxx=g+ar=ar這個(gè)步驟可以像這些 makefile 里提及的的工具、fortify sca，和一些適當(dāng)選項(xiàng)一樣簡(jiǎn)單。cc=sourceanalyzer -b mybuild c gcccxx=sourceanalyzer b mybuild -c g+ar=sourceanalyzer -b mybuild -c arvc6。0項(xiàng)目的轉(zhuǎn)換與分析示例。sourceanalyzer b my_buildid c msdev myproject。dsp /make /build .sourceanalyzer -b my_

25、buildid scan f xx.fpr3.2. 分析fortitfy sca掃描的結(jié)果1. 審計(jì)結(jié)果的基本概念審計(jì)：將fortify sca 掃描分析出來(lái)的結(jié)果中的漏洞進(jìn)行審查，分析,定性，指導(dǎo)開(kāi)發(fā)人員進(jìn)行漏洞的修復(fù)工作。hide/suppress/suspicious/not an issue四個(gè)的不同hide： 是將此漏洞不顯示出來(lái)，在報(bào)告中也不顯示出來(lái)suppress:是此漏洞不是問(wèn)題,可以不用看的suspicious: 是審計(jì)的一個(gè)定性，這個(gè)問(wèn)題有可能是真的，值得懷疑。not an issue： 也是審計(jì)的一個(gè)定性，說(shuō)明這一漏洞不是個(gè)問(wèn)題。2. 首先是將掃描結(jié)果導(dǎo)成后綴為fpr文件

26、,然后用audit workbench打開(kāi)該文件，界面如下所示3. 驗(yàn)證測(cè)試結(jié)果的正確性，有效性(包括application,project，build information，analysis information）4. 將（group by）分組方式選擇為按category（漏洞種類)分組，這也是最常用的分組方式，然后在下面對(duì)相應(yīng)的漏洞進(jìn)行定性,審記;所圖所示5. 可以跟蹤該漏洞產(chǎn)生的全路徑，有兩種方式跟蹤，建議采用第二種圖表方式，比較直觀;6. 選擇下面選項(xiàng)卡中detail，recommandation，可以獲得相應(yīng)的漏洞的詳細(xì)說(shuō)明,以及推薦的解決辦法;如圖所示：7. 導(dǎo)出經(jīng)過(guò)審計(jì)，定性的掃描結(jié)果的報(bào)表，可以有兩種格式，一種是html,一種是pdf;如圖所示：4故障修復(fù)4.1使用日志文件去調(diào)試問(wèn)題當(dāng)你在運(yùn)行fortify sca 的時(shí)候，如果遇到了警告或者問(wèn)題，可以使用debug 選項(xiàng)再次運(yùn)行fortify sca。這會(huì)在下面的路徑中生成一個(gè)叫做sca.log 的文件。 在windows 平臺(tái)上: c:documents and settingsusernamelocalsettingsapplic