fortify安装使用手册范本.docx
30页
Fortify SCA安装使用手册编 号: GRG _YT-RDS-PD-D03_A.0.1版 本: V1.0发布日期: 2011-5-5文档历史记录编号与名称版本发布日期创建 / 修改说明参与人员版权声明本软件产品(包括所含的任何程序、图像、文档和随附的印刷材料) ,以及本软件产品的任何副本的产权和著作权,均属广州广电运通金融电子股份有限公司所有您不得使用任何工具或任何方式对本软件产品进行反向工程,反向编译未经广州广电运通金融电子股份有限公司许可, 您不得以任何目的和方式发 布本软件产品及任何相关资料的部分或全部, 否则您将受到严厉的民事和刑事制裁, 并在法律允许的范围内受到最大可能的民事起诉目录文档历史记录 II1. 产品说明 91.1. 特性说明 ................................................................. 101.2. 产品更新说明 ............................................................. 102. 安装说明 102.1. 安装所需的文件 ........................................................... 112.2. FORTIFYSCA支持的系统平台 ................................................. 112.3. 支持的语言 ............................................................... 112.4. FORTIFYSCA的插件 ......................................................... 122.5. FORTIFYSCA支持的编译器 ................................................... 122.6. FORTIFYSCA在 WINDOW上S 安装 ................................................ 132.7. FORTIFYSCA安装 ECLISPE插件 ................................................ 142.8. FORTIFYSCA在 LINUX上的安装 ( 要有 LINUX版本的安装文件 ) ....................... 142.9. FORTIFYSCA在 UNIX 上的安装 ( 要有 UNIX 版本的安装文件 ) ........................ 153. 使用说明 153.1. FORTIFYSCA扫描指南 . ...................................................... 163.2. 分析 FORTITFYSCA扫描的结果 . ............................................... 214. 故障修复 254.1 使用日志文件去调试问题 .................................................... 264.2 转换失败的信息 ............................................................ 264.3JSP 的转换失败 ............................................................. 264.4 C/C++ 预编译的头文件 ...................................................... 27前言Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题, 完全自动化的完成测试, 最广泛的安全漏洞规则, 多维度的分析源代码的安全问题。
文档约定本手册使用以下约定,以区分手册中其它部分约定表示含义粗体字“粗体新宋体”:表示截图中的按钮或是选项如:点击保存按纽→“右箭头”:用在两个或多个词语之间,表示分级,左边的内容是右边的上一级 如:文件→打开“圆点”:表示同级的并列选项或是属性1, 2,3“粗体数字”:表示一个过程中步骤警告” : 说明需要注意的事项提示”:表示附加的说明性文字编写约定指编写用户手册的规范和注意事项,编写人员在手册完成后应删除该篇约定关于截图为使叙述更加明确、 简洁, 应避免不必要的截图 指可以用语言叙述清楚其操作方法的界面如:拉菜单、快捷菜单等可以避免截图图片应尽量精准,不要留白边,和避免出现不相关的图标如:输入法工具栏等关于斜体字表示可变化的名称或是术语,编写手册时应用具体内容替换关于说明补充说明某一章 / 节中需描述的内容,提供了供参考的内容细则手册编写完成后应删除此部分内容关于示例具体实例辅助说明某一章 / 节的内容范围和格式手册完成后应删除此部分内容关于分级下分一级用圆点表示,具体分级设置请参照公司文档编写规范1. 产品说明1.FortifySCA(静态代码分析器)是组成Fortify360段,以用于分析应用程序的源代码是否存在安全漏洞。
系列产品之一, SCA工作在开发阶它不但能够发现只能在静态情况下才能发现的新的漏洞,而且也能在测试和产品阶段验证已经发现的漏洞1.1. 特性说明Fortify SCA主要的特性和优点如下:1. 业务最完整的静态代码分析器,以最大和最全面的安全编码规则为基础,而且这些规则可以不断地进行更新,以适应新的软件安全漏洞2. 跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言3. 在确认安全漏洞上有十分高的准确性4. 可以精确地定位漏洞产生的全路径,方便开发人员对漏洞进行修复5. 支持多种软件开发平台1.2. 产品更新说明名称版本发布日期功能修改说明Fortify SCAV2.02. 安装说明2.2.1. 安装所需的文件1. Fortify SCA 的安装文件2. Fortify license( 即安装授权文件 )3. Fortify 的规则库文件(可下载最新的规则库)4. 要安装插件的 IDE (例如 eclispe3.2,3.3 ;VS2003,2005; RAD7; RSD7)2.2. Fortify SCA 支持的系统平台2.3. 支持的语言2.4. Fortify SCA 的插件2.5. Fortify SCA 支持的编译器2.6.1.Fortify SCA双击安装包中的安装在 windows 上安装Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可2.选择 Fortify提供的授权文件所在路径 ( 即安装包下的 fotify_rule文件夹, 该文件夹下有 fortify.license),点击‘ NEXT’按钮3.4.选择相应的安装路径,点击‘ NEXT’按钮选择相应的组件进行安装 , 在此处请注意,fortify默认不安装 IDE 插件,如果需要安装相应的 IDE 插件, 如图所示: 在此处我选择了基于 eclipse3.x ,VS2005 的插件( 选择安装 VS的插件之前,得首先安装 VS的 IDE), 然后点击‘ NEXT’按钮5. 再点击‘ NEXT’按钮即可完成安装6. 添加相应的规则库, 可直接联网下载最新的规则库, 或是将安装包下的 fotify_rule文件夹下 rules_ZH.rar 解压缩到 fortify 安装目录下的 Core\config\rules 位置2.7. Fortify SCA 安装 Eclispe 插件2.8. Fortify SCA 在 linux 上的安装 ( 要有 linux 版本的安装文件)2.9. FortifySCA在 Unix 上的安装 ( 要有 Unix 版本的安装文件 )3. 使用说明3.Fortify SCA 扫描方式:1. IDE 插件方式2. 命令行3. Audit Workbench 扫描目录4. 与构建工具集成 (ant ,makefile)5. SCA build monitor(c/c++ windows only)下面主要是介绍常用的两种扫描方式: IDE 插件方式,以及命令行方式3.1. Fortify SCA 扫描指南3.1.1 Eclipse 插件方式扫描1.1 首先你得正确安装 fortify sca 的插件,具体安装方法见前面所述的安装指南;安装成功后的 ide 界面如图所示,会有一个 图标1.2 导入所要进行源码安全测试的项目,成功导入之后会显示以上界面右边的Package Expl 里面1.3 左键选中该项目,然后点击 ,就可以进行扫描了;或者是右键点击该项 目,弹出选项菜单,选中 Analyze source code of project 就可以进行扫描.3.1.2 Audit Audit Workbench 扫描目录2.1 首先在开始菜单 -> 所有程序 ->Fortify Software->Fortify 360 v2.0->Audit Workbench, 启动 Audit Workbench, 界面如下2.2 建议采用 Advanced Scan ,然后选中要扫描的目录,点击确定按钮即可扫描3.1.3 命令行方式扫描Java 命令行语法这个主题描述了为 Java 翻译源代码的 Fortify SCA 命令语法。
基本的 Java 命令行语法是:sourceanalyzer -b
