(最新整理)FortifySCA安裝使用手冊

1、(完整)fortify sca 安裝使用手冊(完整)fortify sca 安裝使用手冊 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進行仔細校對，但是難免會有疏漏的地方，但是任然希望（(完整)fortify sca 安裝使用手冊）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進步的源泉，前進的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快 業(yè)績進步，以下為(完整)fortify sca 安裝使用手冊的全部內(nèi)容。fortify sca 安裝使用手冊目

2、錄1。 產(chǎn)品說明51。1. 特性說明51。2. 產(chǎn)品更新說明52. 安裝說明62。1。 安裝所需的文件62.2。 fortify sca支持的系統(tǒng)平臺62。3. 支持的語言62.4。 fortify sca的插件72。5。 fortify sca支持的編譯器72.6. fortify sca在windows上安裝82.7。 fortify sca安裝eclispe插件92.8. fortify sca在linux上的安裝（要有l(wèi)inux版本的安裝文件）92。9。 fortify sca在unix上的安裝（要有unix版本的安裝文件）103. 使用說明113。1. fortify sca 掃描指

3、南113。2. 分析fortitfy sca掃描的結(jié)果164故障修復(fù)204。1使用日志文件去調(diào)試問題204.2轉(zhuǎn)換失敗的信息20如果你的c/c+ 應(yīng)用程序能夠成功構(gòu)建，但是當(dāng)使用fortify sca 來進行構(gòu)建的時候卻發(fā)現(xiàn)一個或者多個“轉(zhuǎn)換失敗”的信息，這時你需要編輯install_directory/core/config/perties 文件來修改下面的這些行：20com。fortify。sca.cpfe.options= -remove_unneeded_entities -suppress_vtbl20to20com。fortify.sca.cpfe。op

4、tions=-w remove_unneeded_entities -20suppress_vtbl20重新執(zhí)行構(gòu)建，打印出轉(zhuǎn)換器遇到的錯誤。如果輸出的結(jié)果表明了在你的編譯器和fortify 轉(zhuǎn)換器之間存在沖突204.3jsp的轉(zhuǎn)換失敗204.4 c/c+ 預(yù)編譯的頭文件21前言fortify sca是目前業(yè)界最為全面的源代碼白盒安全測試工具，它能精確定位到代碼級的安全問題，完全自動化的完成測試，最廣泛的安全漏洞規(guī)則，多維度的分析源代碼的安全問題。文檔約定本手冊使用以下約定， 以區(qū)分手冊中其它部分。約定表示含義粗體字“粗體新宋體”：表示截圖中的按鈕或是選項。如：點擊保存按紐“右箭頭”:用在兩個

5、或多個詞語之間，表示分級，左邊的內(nèi)容是右邊的上一級。如：文件打開l“圓點”：表示同級的并列選項或是屬性。1，2，3“粗體數(shù)字”：表示一個過程中步驟?！熬妗?說明需要注意的事項?！疤崾尽保罕硎靖郊拥恼f明性文字。編寫約定指編寫用戶手冊的規(guī)范和注意事項，編寫人員在手冊完成后應(yīng)刪除該篇約定。l 關(guān)于截圖n 為使敘述更加明確、簡潔,應(yīng)避免不必要的截圖。指可以用語言敘述清楚其操作方法的界面。如：拉菜單、快捷菜單等可以避免截圖。n 圖片應(yīng)盡量精準，不要留白邊，和避免出現(xiàn)不相關(guān)的圖標(biāo)。如：輸入法工具欄等。l 關(guān)于斜體字表示可變化的名稱或是術(shù)語，編寫手冊時應(yīng)用具體內(nèi)容替換。l 關(guān)于說明補充說明某一章/節(jié)中需描

6、述的內(nèi)容,提供了供參考的內(nèi)容細則。手冊編寫完成后應(yīng)刪除此部分內(nèi)容。l 關(guān)于示例具體實例輔助說明某一章/節(jié)的內(nèi)容范圍和格式.手冊完成后應(yīng)刪除此部分內(nèi)容.l 關(guān)于分級下分一級用圓點表示,具體分級設(shè)置請參照公司文檔編寫規(guī)范。1. 產(chǎn)品說明fortify sca(靜態(tài)代碼分析器）是組成fortify360系列產(chǎn)品之一，sca工作在開發(fā)階段，以用于分析應(yīng)用程序的源代碼是否存在安全漏洞。它不但能夠發(fā)現(xiàn)只能在靜態(tài)情況下才能發(fā)現(xiàn)的新的漏洞,而且也能在測試和產(chǎn)品階段驗證已經(jīng)發(fā)現(xiàn)的漏洞。1.1. 特性說明fortify sca主要的特性和優(yōu)點如下：1。業(yè)務(wù)最完整的靜態(tài)代碼分析器,以最大和最全面的安全編碼規(guī)則為基礎(chǔ)

7、,而且這些規(guī)則可以不斷地進行更新，以適應(yīng)新的軟件安全漏洞2?？鐚涌缯Z言地分析代碼的漏洞產(chǎn)生，目前支持所有的主流開發(fā)語言3.在確認安全漏洞上有十分高的準確性4.可以精確地定位漏洞產(chǎn)生的全路徑,方便開發(fā)人員對漏洞進行修復(fù)5.支持多種軟件開發(fā)平臺1.2. 產(chǎn)品更新說明名稱版本發(fā)布日期功能修改說明fortify scav2.02. 安裝說明2.1. 安裝所需的文件1fortify sca的安裝文件2fortify license（即安裝授權(quán)文件)3fortify的規(guī)則庫文件(可在線下載最新的規(guī)則庫）4要安裝插件的ide (例如eclispe3.2,3。3；vs2003,2005；rad7;rsd7）2

8、.2. fortify sca支持的系統(tǒng)平臺2.3. 支持的語言2.4. fortify sca的插件2.5. fortify sca支持的編譯器2.6. fortify sca在windows上安裝1 雙擊安裝包中的fortify360-21.0-analyzers_and_appswindowsx86。exe即可安裝2 選擇fortify提供的授權(quán)文件所在路徑(即安裝包下的fotify_rule文件夾，該文件夾下有fortify.license），點擊next按鈕3 選擇相應(yīng)的安裝路徑,點擊next按鈕4 選擇相應(yīng)的組件進行安裝,在此處請注意，fortify默認不安裝ide插件，如果需要安

9、裝相應(yīng)的ide插件,如圖所示：在此處我選擇了基于eclipse3。x，vs2005的插件(選擇安裝vs的插件之前,得首先安裝vs的ide），然后點擊next按鈕5 再點擊next按鈕即可完成安裝6 添加相應(yīng)的規(guī)則庫,可直接聯(lián)網(wǎng)下載最新的規(guī)則庫，或是將安裝包下的fotify_rule文件夾下rules_zh。rar解壓縮到fortify安裝目錄下的coreconfigrules位置7 安裝完成后把系統(tǒng)時間改成2008年,方可正常使用。2.7. fortify sca安裝eclispe插件2.8. fortify sca在linux上的安裝（要有l(wèi)inux版本的安裝文件)2.9. fortify

10、sca在unix上的安裝(要有unix版本的安裝文件)3. 使用說明fortify sca掃描方式：1ide插件方式2命令行3audit workbench掃描目錄4與構(gòu)建工具集成（ant ,makefile）5sca build monitor(c/c+ windows only）下面主要是介紹常用的兩種掃描方式:ide插件方式,以及命令行方式3.1. fortify sca 掃描指南3.1.1 eclipse插件方式掃描1。1首先你得正確安裝fortify sca的插件，具體安裝方法見前面所述的安裝指南；安裝成功后的ide界面如圖所示，會有一個圖標(biāo)1.2導(dǎo)入所要進行源碼安全測試的項目，成功

11、導(dǎo)入之后會顯示以上界面右邊的package expl里面1。3左鍵選中該項目，然后點擊，就可以進行掃描了；或者是右鍵點擊該項目，彈出選項菜單，選中analyze source code of project就可以進行掃描。3.1.2 audit audit workbench掃描目錄2.1首先在開始菜單-所有程序fortify software-fortify 360 v2。0audit workbench,啟動audit workbench，界面如下2.2建議采用advanced scan，然后選中要掃描的目錄，點擊確定按鈕即可掃描3.1.3 命令行方式掃描java 命令行語法這個主題描述了

12、為java 翻譯源代碼的fortify sca 命令語法?；镜膉ava 命令行語法是:sourceanalyzer b build-id -cp classpath file-list有了java 代碼， fortify sca 既可以仿效編譯程序（它使得構(gòu)造結(jié)合很方便），也可以直接接受源文件（它使命令行掃描更方便）。注意：有關(guān)所有你能使用的帶有sourceanalyzer 命令的選項，請查看第33 頁的“命令行選項。使fortify sca 仿效編譯程序，輸入：sourceanalyzer b javac files|file-specifiers這里：具體指定classpath 來用在j

13、ava 源代碼中。classpath 是一個構(gòu)造目錄和 jar 文件的列表。格式和javac 所預(yù)期的相同（路徑的冒號或獨立的分號的列表）。你可以使用fortify sca 文件說明符。cp ”build/classes：lib/。jar注意：如果你沒有使用選項來具體指定classpath, classpath 環(huán)境變量將被使用. 文件說明符允許你容易地通過一個長文件列表到fortify sca 使用通配符。fortify sca 能識別兩種類型的通配符： 匹配部分文件名 ， * 遞歸地匹配目錄.你可以指定一個或更多的文件，一個或更多的文件說明符，或文件和文件說明符的結(jié)合.java 命令行例子

14、在classpath 上用j2ee。jar 翻譯一個命名為myservlet.java 的文件，輸入：sourceanalyzer b myservlet cp lib/j2ee.jar myservlet.java用lib 目錄中所有jar 文件作為classpath 在src 目錄中翻譯所有的.java 文件:sourceanalyzer -b myproject cp lib/.jar src/*/*。java”當(dāng)運行javac 編譯程序時,翻譯mycode.java 文件：sourceanalyzer b mybuild javac -classpath libs.jar mycode

15、。javaj2ee項目轉(zhuǎn)換的簡單示例把項目的所有文件和庫都放在一個目錄下，運行下面的命令：. sourceanalyzer xmx1000m -b pname encoding ”utf-8” -cp ”*/*。jar” . sourceanalyzer -xmx1000m -b pname appserver weblogic -appserververion 9 appserverhome “d:beawebloigcserverlib”encoding ”utf-8” cp */*.jar翻譯jsp 文件要翻譯jsp 文件， fortify sca 需要jsp 文件遵循標(biāo)準的web ap

16、plication archive （war) 設(shè)計格式.如果你的源目錄已經(jīng)以war 格式組織了，那么你可以直接從源目錄中翻譯jsp 文件.如果情況不是這樣的，那么你需要展開應(yīng)用程序并從展開目錄中翻譯你的jsp 文件。如果你的jsp 文件使用了任何標(biāo)簽庫,例如jstl，確保庫的jar 文件在 webinf/lib 目錄中。否則jsp 編譯程序?qū)⒉惶幚順?biāo)簽庫，可能產(chǎn)生錯誤的結(jié)果。默認地，在翻譯程序段期間， fortify sca 使用一個jasper jsp 編譯程序的版本來編譯jsp 文件到j(luò)ava 文件中去。然而，如果你的web 應(yīng)用程序是特別為了某個應(yīng)用程序服務(wù)器而開發(fā)的,那么當(dāng)執(zhí)行翻譯時

17、，你必須為那個應(yīng)用程序服務(wù)器使用jsp 編譯程序。為了支持它， fortify sca 提供了以下命令行選項： -appserver 支持變量：weblogic/websphere -appserver-home有關(guān)weblogic：到目錄的路徑包含server/lib 目錄有關(guān)websphere：到目錄的路徑包含bin/jspbatchcompiler 腳本 -appserver-version 支持變量：weblogic 版本7 和8websphere 版本6如果你在使用一個沒有被列出來的應(yīng)用程序服務(wù)器，使用默認內(nèi)部fortify jsp 編譯程序。例如:sourceanalyzer b

18、my_buildid -cp ”web-inf/lib/。jar web-inf/*/。jsp”使用findbugsfindbugs（） 是一個靜態(tài)分析工具，它在java 代碼中檢測質(zhì)量問題。你可以和fortify sca 一起使用findbugs，結(jié)果會被合并到分析結(jié)果文件中。與fortify sca 運行在java 源文件中不同， findbugs 運行在java 字節(jié)碼中.因此，在項目中運行分析之前,你應(yīng)該首先編譯項目產(chǎn)生類文件。為了示范如何與fortify sca 一起自動地運行findbugs,編譯例子代碼， warning

19、.java,如下：1。 定位到以下目錄：install_directory/samples/advanced/findbugs2. 輸入以下命令并編譯例子:mkdir buildjavac -d build warning。java3. 用findbugs 和fortify sca 掃描例子，如下：sourceanalyzer b findbugs_sample javabuilddir build warning.javasourceanalyzer -b findbugs_sample scan -findbugs -f findbugs_sample。fpr4。 檢查早fortify a

20、udit workbench 中的分析結(jié)果：auditworkbench findbugs_sample.fpr輸出包括了以下問題類別： object model violation dead local store equal objects must have equal hashcodes useless self-assignment （2） unwritten field (2)翻譯 c/c+ 代碼翻譯一個文擋所用的基本命令行語法是：sourceanalyzer b buildid compiler 其中: compiler 是在項目創(chuàng)建掃描之時，你想使用的編譯器的名字。比 gcc

21、或者是 cl。 compiler_options 是傳遞到典型編譯文擋的編譯器的選項.c 和c+ 命令行舉例以下是一些簡單的可用范例：使用 gcc 編譯器，翻譯一個名為 helloworld。c 的文件，鍵入：sourceanalyzer b my_buildid gcc helloworld。c結(jié)合 make你可以使用以下方法中的其中一項去結(jié)合make 使用 fortify sca： 無入侵式的集成 入侵式的集成（修改一個makefile 去調(diào)用fortify sca）使用無入侵式的集成,運行以下命令：sourceanalyzer b makefortify sca 運行 make 命令.當(dāng)

22、make 調(diào)用了任意被 fortify sca 認作為是一個編譯器的命令，這個命令就會被 fortify sca 處理。注意makefile 不會被修改.這個構(gòu)建集成的方法不局限于make。任何一個執(zhí)行編譯器處理的構(gòu)建命令可以被用到系統(tǒng)里去;只要拿去運行一個構(gòu)建的命令來替代以上命令中的make 部分。如果不是已經(jīng)存在的話，你可能必須為你的構(gòu)建工具添加一個條目進 install_directory/core/config/perties。比如，結(jié)合一個名為dobuild 的構(gòu)建腳本，添加以下到perties 里去：com.fortify.

23、pilers.dobuild =pilers。touchlesscompiler注意: fortify touchless build adapter 會表現(xiàn)異常,如果： 構(gòu)建腳本給編譯器調(diào)用了一個完整路徑,或者如果構(gòu)建腳本拒絕可執(zhí)行搜索路徑. 構(gòu)建腳本沒有創(chuàng)建一個新的進程去運行編譯器.許多java 構(gòu)造工具，包括ant，都以這種方式運行.入侵式的集成, 運行以下命令:修改一個makefile 去調(diào)用 fortify sca，代替任何一個鏈接，被調(diào)用到編譯器，文件，或者是makefile 和fortify sca 里。這些工具在ma

24、kefile 中一個特殊變量中被特別指明,如以下范例所示：cc=gcccxx=g+ar=ar這個步驟可以像這些 makefile 里提及的的工具、fortify sca，和一些適當(dāng)選項一樣簡單。cc=sourceanalyzer -b mybuild c gcccxx=sourceanalyzer b mybuild -c g+ar=sourceanalyzer -b mybuild -c arvc6。0項目的轉(zhuǎn)換與分析示例。sourceanalyzer b my_buildid c msdev myproject。dsp /make /build .sourceanalyzer -b my_

25、buildid scan f xx.fpr3.2. 分析fortitfy sca掃描的結(jié)果1. 審計結(jié)果的基本概念審計：將fortify sca 掃描分析出來的結(jié)果中的漏洞進行審查，分析,定性，指導(dǎo)開發(fā)人員進行漏洞的修復(fù)工作。hide/suppress/suspicious/not an issue四個的不同hide： 是將此漏洞不顯示出來，在報告中也不顯示出來suppress:是此漏洞不是問題,可以不用看的suspicious: 是審計的一個定性，這個問題有可能是真的，值得懷疑。not an issue： 也是審計的一個定性，說明這一漏洞不是個問題。2. 首先是將掃描結(jié)果導(dǎo)成后綴為fpr文件

26、,然后用audit workbench打開該文件，界面如下所示3. 驗證測試結(jié)果的正確性，有效性(包括application,project，build information，analysis information）4. 將（group by）分組方式選擇為按category（漏洞種類)分組，這也是最常用的分組方式，然后在下面對相應(yīng)的漏洞進行定性,審記;所圖所示5. 可以跟蹤該漏洞產(chǎn)生的全路徑，有兩種方式跟蹤，建議采用第二種圖表方式，比較直觀;6. 選擇下面選項卡中detail，recommandation，可以獲得相應(yīng)的漏洞的詳細說明,以及推薦的解決辦法;如圖所示：7. 導(dǎo)出經(jīng)過審計，定性的掃描結(jié)果的報表，可以有兩種格式，一種是html,一種是pdf;如圖所示：4故障修復(fù)4.1使用日志文件去調(diào)試問題當(dāng)你在運行fortify sca 的時候，如果遇到了警告或者問題，可以使用debug 選項再次運行fortify sca。這會在下面的路徑中生成一個叫做sca.log 的文件。 在windows 平臺上: c:documents and settingsusernamelocalsettingsapplic