Fortify SCA 安装使用手册.doc

Fortify SCA 安装使用手册目录1. 产品说明 51.1. 特性说明 51.2. 产品更新说明 52. 安装说明 62.1. 安装所需的文件 62.2. Fortify SCA支持的系统平台 62.3. 支持的语言 62.4. Fortify SCA的插件 72.5. Fortify SCA支持的编译器 72.6. Fortify SCA在windows上安装 82.7. Fortify SCA安装Eclispe插件 92.8. Fortify SCA在linux上的安装(要有linux版本的安装文件) 92.9. Fortify SCA在Unix上的安装(要有Unix版本的安装文件) 103. 使用说明 113.1. Fortify SCA 扫描指南 113.2. 分析Fortitfy SCA扫描的结果 164．故障修复 204.1使用日志文件去调试问题 204.2转换失败的信息 20如果你的C/C++ 应用程序能够成功构建，但是当使用Fortify SCA 来进行构建的时候却发现一个或者多个“转换失败”的信息，这时你需要编辑/Core/config/fortify-sca.properties 文件来修改下面的这些行： 20com.fortify.sca.cpfe.options= --remove_unneeded_entities --suppress_vtbl 20to 20com.fortify.sca.cpfe.options=-w --remove_unneeded_entities -- 20suppress_vtbl 20重新执行构建，打印出转换器遇到的错误。

如果输出的结果表明了在你的编译器和Fortify 转换器之间存在冲突 204.3JSP的转换失败 204.4 C/C++ 预编译的头文件 21前言Fortify SCA是目前业界最为全面的源代码白盒安全测试工具，它能精确定位到代码级的安全问题，完全自动化的完成测试，最广泛的安全漏洞规则，多维度的分析源代码的安全问题文档约定本手册使用以下约定， 以区分手册中其它部分约定表示含义粗体字“粗体新宋体”：表示截图中的按钮或是选项如：点击保存按纽→“右箭头”：用在两个或多个词语之间，表示分级，左边的内容是右边的上一级如：文件→打开l“圆点”：表示同级的并列选项或是属性1，2，3“粗体数字”：表示一个过程中步骤警告”:说明需要注意的事项提示”：表示附加的说明性文字编写约定指编写用户手册的规范和注意事项，编写人员在手册完成后应删除该篇约定l 关于截图n 为使叙述更加明确、简洁，应避免不必要的截图指可以用语言叙述清楚其操作方法的界面如：拉菜单、快捷菜单等可以避免截图n 图片应尽量精准，不要留白边，和避免出现不相关的图标如：输入法工具栏等l 关于斜体字表示可变化的名称或是术语，编写手册时应用具体内容替换。

l 关于说明补充说明某一章/节中需描述的内容，提供了供参考的内容细则手册编写完成后应删除此部分内容l 关于示例具体实例辅助说明某一章/节的内容范围和格式手册完成后应删除此部分内容l 关于分级下分一级用圆点表示，具体分级设置请参照公司文档编写规范1. 产品说明Fortify SCA（静态代码分析器）是组成Fortify360系列产品之一，SCA工作在开发阶段，以用于分析应用程序的源代码是否存在安全漏洞它不但能够发现只能在静态情况下才能发现的新的漏洞，而且也能在测试和产品阶段验证已经发现的漏洞1.1. 特性说明Fortify SCA主要的特性和优点如下：1.业务最完整的静态代码分析器，以最大和最全面的安全编码规则为基础，而且这些规则可以不断地进行更新，以适应新的软件安全漏洞2.跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言3.在确认安全漏洞上有十分高的准确性4.可以精确地定位漏洞产生的全路径，方便开发人员对漏洞进行修复5.支持多种软件开发平台1.2. 产品更新说明名称版本发布日期功能修改说明Fortify SCAV2.02. 安装说明2.1. 安装所需的文件1．Fortify SCA的安装文件2．Fortify license(即安装授权文件)3．Fortify的规则库文件（可下载最新的规则库）4．要安装插件的IDE （例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7）2.2. Fortify SCA支持的系统平台2.3. 支持的语言2.4. Fortify SCA的插件2.5. Fortify SCA支持的编译器2.6. Fortify SCA在windows上安装1． 双击安装包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安装2． 选择Fortify提供的授权文件所在路径(即安装包下的fotify_rule文件夹，该文件夹下有fortify.license)，点击‘NEXT’按钮3． 选择相应的安装路径，点击‘NEXT’按钮4． 选择相应的组件进行安装,在此处请注意，fortify默认不安装IDE插件，如果需要安装相应的IDE插件，如图所示：在此处我选择了基于eclipse3.x，VS2005的插件(选择安装VS的插件之前，得首先安装VS的IDE),然后点击‘NEXT’按钮5． 再点击‘NEXT’按钮即可完成安装6． 添加相应的规则库，可直接联网下载最新的规则库，或是将安装包下的fotify_rule文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置7． 安装完成后把系统时间改成2008年,方可正常使用.2.7. Fortify SCA安装Eclispe插件2.8. Fortify SCA在linux上的安装(要有linux版本的安装文件)2.9. Fortify SCA在Unix上的安装(要有Unix版本的安装文件) 3. 使用说明Fortify SCA扫描方式：1．IDE插件方式2．命令行3．Audit Workbench扫描目录4．与构建工具集成(ant ,makefile)5．SCA build monitor(c/c++ windows only)下面主要是介绍常用的两种扫描方式：IDE插件方式，以及命令行方式3.1. Fortify SCA 扫描指南3.1.1 Eclipse插件方式扫描1.1首先你得正确安装fortify sca的插件，具体安装方法见前面所述的安装指南；安装成功后的ide界面如图所示，会有一个图标1.2导入所要进行源码安全测试的项目，成功导入之后会显示以上界面右边的Package Expl里面1.3左键选中该项目，然后点击，就可以进行扫描了；或者是右键点击该项目，弹出选项菜单，选中Analyze source code of project就可以进行扫描.3.1.2 Audit Audit Workbench扫描目录2.1首先在开始菜单->所有程序->Fortify Software->Fortify 360 v2.0->Audit Workbench,启动Audit Workbench,界面如下2.2建议采用Advanced Scan，然后选中要扫描的目录，点击确定按钮即可扫描3.1.3 命令行方式扫描Java 命令行语法这个主题描述了为Java 翻译源代码的Fortify SCA 命令语法。

基本的Java 命令行语法是：sourceanalyzer -b -cp 有了Java 代码， Fortify SCA 既可以仿效编译程序（它使得构造结合很方便），也可以直接接受源文件（它使命令行扫描更方便）注意：有关所有你能使用的带有sourceanalyzer 命令的选项，请查看第33 页的“命令行选项”使Fortify SCA 仿效编译程序，输入：sourceanalyzer -b javac []直接传文件到Fortify SCA，输入：sourceanalyzer -b -cp [] \|这里：是传到编译程序的选项cp 具体指定Classpath 来用在Java 源代码中Classpath 是一个构造目录和 jar 文件的列表格式和javac 所预期的相同（路径的冒号或独立的分号的列表）。

你可以使用Fortify SCA 文件说明符cp "build/classes:lib/*.jar"注意：如果你没有使用选项来具体指定classpath， CLASSPATH 环境变量将被使用 | 文件说明符允许你容易地通过一个长文件列表到Fortify SCA 使用通配符Fortify SCA 能识别两种类型的通配符：* 匹配部分文件名 ， ** 递归地匹配目录你可以指定一个或更多的文件，一个或更多的文件说明符，或文件和文件说明符的结合Java 命令行例子在classpath 上用j2ee.jar 翻译一个命名为MyServlet.java 的文件，输入：sourceanalyzer -b MyServlet -cp lib/j2ee.jar MyServlet.java用lib 目录中所有jar 文件作为classpath 在src 目录中翻译所有的.java 文件：sourceanalyzer -b MyProject -cp "lib/*.jar" "src/**/*.java"当运行javac 编译程序时，翻译MyCode.java 文件：sourceanalyzer -b mybuild javac -classpath libs.jar MyCode.javaJ2EE项目转换的简单示例把项目的所有文件和库都放在一个目录下，运行下面的命令：. sourceanalyzer -Xmx1000m -b pName -encoding "UTF-8" -cp "**/*.jar" . sourceanalyzer -Xmx1000m -b pName -appserver weblogic -appserver-verion 9 –appserver-home “d:\bea\webloigc\server\lib”-encoding "UTF-8" -cp "**/*.jar"翻译JSP 文件要翻译JSP 文件， Fortify SCA 需要JSP 文件遵循标准的Web Application Archive (WAR) 设计格式。

如果你的源目录已经以WAR 格式组织了，那么你可以直接从源目录中翻译JSP 文件如果情况不是这样的，那么你需要展开应用程序并从。