FortifySCA安裝使用手冊范本

...wd......wd......wd...FortifySCA安裝使用手冊目錄TOC\o"2-3"\h\z\t"標(biāo)題1,1"1.產(chǎn)品說明51.1.特性說明51.2.產(chǎn)品更新說明52.安裝說明62.1.安裝所需的文件62.2.FortifySCA支持的系統(tǒng)平臺62.3.支持的語言62.4.FortifySCA的插件72.5.FortifySCA支持的編譯器72.6.FortifySCA在windows上安裝82.7.FortifySCA安裝Eclispe插件92.8.FortifySCA在linux上的安裝(要有l(wèi)inux版本的安裝文件)92.9.FortifySCA在Unix上的安裝(要有Unix版本的安裝文件)103.使用說明113.1.FortifySCA掃描指南113.2.分析FortitfySCA掃描的結(jié)果164．故障修復(fù)204.1使用日志文件去調(diào)試問題204.2轉(zhuǎn)換失敗的信息20如果你的C/C++應(yīng)用程序能夠成功構(gòu)建，但是當(dāng)使用FortifySCA來進(jìn)展構(gòu)建的時(shí)候卻發(fā)現(xiàn)一個(gè)或者多個(gè)“轉(zhuǎn)換失敗〞的信息，這時(shí)你需要編輯<install_directory>/Core/config/perties文件來修改下面的這些行：20com.fortify.sca.cpfe.options=--remove_unneeded_entities--suppress_vtbl20to20com.fortify.sca.cpfe.options=-w--remove_unneeded_entities--20suppress_vtbl20重新執(zhí)行構(gòu)建，打印出轉(zhuǎn)換器遇到的錯(cuò)誤。如果輸出的結(jié)果說明了在你的編譯器和Fortify轉(zhuǎn)換器之間存在沖突204.3JSP的轉(zhuǎn)換失敗204.4C/C++預(yù)編譯的頭文件21前言FortifySCA是目前業(yè)界最為全面的源代碼白盒安全測試工具，它能準(zhǔn)確定位到代碼級的安全問題，完全自動(dòng)化的完成測試，最廣泛的安全漏洞規(guī)那么，多維度的分析源代碼的安全問題。文檔約定本手冊使用以下約定，以區(qū)分手冊中其它局部。約定表示含義粗體字“粗體新宋體〞：表示截圖中的按鈕或是選項(xiàng)。如：點(diǎn)擊保存按紐→“右箭頭〞：用在兩個(gè)或多個(gè)詞語之間，表示分級，左邊的內(nèi)容是右邊的上一級。如：文件→翻開“圓點(diǎn)〞：表示同級的并列選項(xiàng)或是屬性。1，2，3“粗體數(shù)字〞：表示一個(gè)過程中步驟?！熬妯?說明需要注意的事項(xiàng)?！疤崾鲸暎罕硎靖郊拥恼f明性文字。編寫約定指編寫用戶手冊的標(biāo)準(zhǔn)和本卷須知，編寫人員在手冊完成后應(yīng)刪除該篇約定。關(guān)于截圖為使表達(dá)更加明確、簡潔，應(yīng)防止不必要的截圖。指可以用語言表達(dá)清楚其操作方法的界面。如：拉菜單、快捷菜單等可以防止截圖。圖片應(yīng)盡量精準(zhǔn)，不要留白邊，和防止出現(xiàn)不相關(guān)的圖標(biāo)。如：輸入法工具欄等。關(guān)于斜體字表示可變化的名稱或是術(shù)語，編寫手冊時(shí)應(yīng)用具體內(nèi)容替換。關(guān)于說明補(bǔ)充說明某一章/節(jié)中需描述的內(nèi)容，提供了供參考的內(nèi)容細(xì)則。手冊編寫完成后應(yīng)刪除此局部內(nèi)容。關(guān)于例如具體實(shí)例輔助說明某一章/節(jié)的內(nèi)容范圍和格式。手冊完成后應(yīng)刪除此局部內(nèi)容。關(guān)于分級下分一級用圓點(diǎn)表示，具體分級設(shè)置請參照公司文檔編寫標(biāo)準(zhǔn)。產(chǎn)品說明FortifySCA〔靜態(tài)代碼分析器〕是組成Fortify360系列產(chǎn)品之一，SCA工作在開發(fā)階段，以用于分析應(yīng)用程序的源代碼是否存在安全漏洞。它不但能夠發(fā)現(xiàn)只能在靜態(tài)情況下才能發(fā)現(xiàn)的新的漏洞，而且也能在測試和產(chǎn)品階段驗(yàn)證已經(jīng)發(fā)現(xiàn)的漏洞。特性說明FortifySCA主要的特性和優(yōu)點(diǎn)如下：1.業(yè)務(wù)最完整的靜態(tài)代碼分析器，以最大和最全面的安全編碼規(guī)那么為根基，而且這些規(guī)那么可以不斷地進(jìn)展更新，以適應(yīng)新的軟件安全漏洞2.跨層跨語言地分析代碼的漏洞產(chǎn)生，目前支持所有的主流開發(fā)語言3.在確認(rèn)安全漏洞上有十分高的準(zhǔn)確性4.可以準(zhǔn)確地定位漏洞產(chǎn)生的全路徑，方便開發(fā)人員對漏洞進(jìn)展修復(fù)5.支持多種軟件開發(fā)平臺產(chǎn)品更新說明名稱版本發(fā)布日期功能修改說明FortifySCAV2.0安裝說明安裝所需的文件1．FortifySCA的安裝文件2．Fortifylicense(即安裝授權(quán)文件)3．Fortify的規(guī)那么庫文件〔可在線下載最新的規(guī)那么庫〕4．要安裝插件的IDE〔例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7〕FortifySCA支持的系統(tǒng)平臺支持的語言FortifySCA的插件FortifySCA支持的編譯器FortifySCA在windows上安裝雙擊安裝包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安裝選擇Fortify提供的授權(quán)文件所在路徑(即安裝包下的fotify_rule文件夾，該文件夾下有fortify.license)，點(diǎn)擊‘NEXT’按鈕選擇相應(yīng)的安裝路徑，點(diǎn)擊‘NEXT’按鈕選擇相應(yīng)的組件進(jìn)展安裝,在此處請注意，fortify默認(rèn)不安裝IDE插件，如果需要安裝相應(yīng)的IDE插件，如以以下圖：在此處我選擇了基于eclipse3.x，VS2005的插件(選擇安裝VS的插件之前，得首先安裝VS的IDE),然后點(diǎn)擊‘NEXT’按鈕再點(diǎn)擊‘NEXT’按鈕即可完成安裝添加相應(yīng)的規(guī)那么庫，可直接聯(lián)網(wǎng)下載最新的規(guī)那么庫，或是將安裝包下的fotify_rule文件夾下rules_ZH.rar解壓縮到fortify安裝目錄下的Core\config\rules位置安裝完成后把系統(tǒng)時(shí)間改成20xx年,方可正常使用.FortifySCA安裝Eclispe插件FortifySCA在linux上的安裝(要有l(wèi)inux版本的安裝文件)FortifySCA在Unix上的安裝(要有Unix版本的安裝文件)使用說明FortifySCA掃描方式：1．IDE插件方式2．命令行3．AuditWorkbench掃描目錄4．與構(gòu)建工具集成(ant,makefile)5．SCAbuildmonitor(c/c++windowsonly)下面主要是介紹常用的兩種掃描方式：IDE插件方式，以及命令行方式FortifySCA掃描指南Eclipse插件方式掃描1.1首先你得正確安裝fortifysca的插件，具體安裝方法見前面所述的安裝指南；安裝成功后的ide界面如以以下圖，會(huì)有一個(gè)圖標(biāo)1.2導(dǎo)入所要進(jìn)展源碼安全測試的工程，成功導(dǎo)入之后會(huì)顯示以上界面右邊的PackageExpl里面1.3左鍵選中該工程，然后點(diǎn)擊，就可以進(jìn)展掃描了；或者是右鍵點(diǎn)擊該工程，彈出選項(xiàng)菜單，選中Analyzesourcecodeofproject就可以進(jìn)展掃描.AuditAuditWorkbench掃描目錄2.1首先在開場菜單->所有程序->FortifySoftware->Fortify360v2.0->AuditWorkbench,啟動(dòng)AuditWorkbench,界面如下2.2建議采用AdvancedScan，然后選中要掃描的目錄，點(diǎn)擊確定按鈕即可掃描命令行方式掃描Java命令行語法這個(gè)主題描述了為Java翻譯源代碼的FortifySCA命令語法?；镜腏ava命令行語法是：sourceanalyzer-b<build-id>-cp<classpath><file-list>有了Java代碼，F(xiàn)ortifySCA既可以仿效編譯程序〔它使得構(gòu)造結(jié)合很方便〕，也可以直接承受源文件〔它使命令行掃描更方便〕。注意：有關(guān)所有你能使用的帶有sourceanalyzer命令的選項(xiàng)，請查看第33頁的“命令行選項(xiàng)〞。使FortifySCA仿效編譯程序，輸入：sourceanalyzer-b<build-id>javac[<compileroptions>]直接傳文件到FortifySCA，輸入：sourceanalyzer-b<build-id>-cp<classpath>[<compileroptions>]\<files>|<file-specifiers>這里：<compileroptions>是傳到編譯程序的選項(xiàng)。-cp<classpath>具體指定Classpath來用在Java源代碼中。Classpath是一個(gè)構(gòu)造目錄和jar文件的列表。格式和javac所預(yù)期的一樣〔路徑的冒號或獨(dú)立的分號的列表〕。你可以使用FortifySCA文件說明符。-cp"build/classes:lib/*.jar"注意：如果你沒有使用選項(xiàng)來具體指定classpath，CLASSPATH環(huán)境變量將被使用。<files>|<file-specifiers>文件說明符允許你容易地通過一個(gè)長文件列表到FortifySCA使用通配符。FortifySCA能識別兩種類型的通配符：'*'匹配局部文件名，'**'遞歸地匹配目錄。你可以指定一個(gè)或更多的文件，一個(gè)或更多的文件說明符，或文件和文件說明符的結(jié)合。Java命令行例子在classpath上用j2ee.jar翻譯一個(gè)命名為MyServlet.java的文件，輸入：sourceanalyzer-bMyServlet-cplib/j2ee.jarMyServlet.java用lib目錄中所有jar文件作為classpath在src目錄中翻譯所有的.java文件：sourceanalyzer-bMyProject-cp"lib/*.jar""src/**/*.java"當(dāng)運(yùn)行javac編譯程序時(shí)，翻譯MyCode.java文件：sourceanalyzer-bmybuildjavac-classpathlibs.jarMyCode.javaJ2EE工程轉(zhuǎn)換的簡單例如把工程的所有文件和庫都放在一個(gè)目錄下，運(yùn)行下面的命令：.sourceanalyzer-Xmx1000m-bpName-encoding"UTF-8"-cp"**/*.jar".sourceanalyzer-Xmx1000m-bpName-appserverweblogic-appserver-verion9–appserver-home“d:\bea\webloigc\server\lib〞-encoding"UTF-8"-cp"**/*.jar"翻譯JSP文件要翻譯JSP文件，F(xiàn)ortifySCA需要JSP文件遵循標(biāo)準(zhǔn)的WebApplicationArchive(WAR)設(shè)計(jì)格式。如果你的源目錄已經(jīng)以WAR格式組織了，那么你可以直接從源目錄中翻譯JSP文件。如果情況不是這樣的，那么你需要展開應(yīng)用程序并從展開目錄中翻譯你的JSP文件。如果你的JSP文件使用了任何標(biāo)簽庫，例如JSTL，確保庫的jar文件在WEB-INF/lib目錄中。否那么JSP編譯程序?qū)⒉惶幚順?biāo)簽庫，可能產(chǎn)生錯(cuò)誤的結(jié)果。默認(rèn)地，在翻譯程序段期間，F(xiàn)ortifySCA使用一個(gè)JasperJSP編譯程序的版本來編譯JSP文件到Java文件中去。然而，如果你的web應(yīng)用程序是特別為了某個(gè)應(yīng)用程序服務(wù)器而開發(fā)的，那么當(dāng)執(zhí)行翻譯時(shí)，你必須為那個(gè)應(yīng)用程序服務(wù)器使用JSP編譯程序。為了支持它，F(xiàn)ortifySCA提供了以下命令行選項(xiàng)：?-appserver支持變量：weblogic/websphere?-appserver-home有關(guān)Weblogic：到目錄的路徑包含server/lib目錄有關(guān)WebSphere：到目錄的路徑包含bin/JspBatchCompiler腳本?-appserver-version支持變量：Weblogic版本7和8WebSphere版本6如果你在使用一個(gè)沒有被列出來的應(yīng)用程序服務(wù)器，使用默認(rèn)內(nèi)部FortifyJSP編譯程序。例如：sourceanalyzer-bmy_buildid-cp"WEB-INF/lib/*.jar""WEB-INF/**/*.jsp"使用FindBugsFindBugs(://)是一個(gè)靜態(tài)分析工具，它在Java代碼中檢測質(zhì)量問題。你可以和FortifySCA一起使用FindBugs，結(jié)果會(huì)被合并到分析結(jié)果文件中。與FortifySCA運(yùn)行在Java源文件中不同，F(xiàn)indBugs運(yùn)行在Java字節(jié)碼中。因此，在工程中運(yùn)行分析之前，你應(yīng)該首先編譯工程產(chǎn)生類文件。為了示范如何與FortifySCA一起自動(dòng)地運(yùn)行FindBugs，編譯例子代碼，Warning.java，如下：1.定位到以下目錄：<install_directory>/Samples/advanced/findbugs2.輸入以下命令并編譯例子：mkdirbuildjavac-dbuildWarning.java3.用FindBugs和FortifySCA掃描例子，如下：sourceanalyzer-bfindbugs_sample-java-build-dirbuildWarning.javasourceanalyzer-bfindbugs_sample-scan-findbugs-ffindbugs_sample.fpr4.檢查早FortifyAuditWorkbench中的分析結(jié)果：auditworkbenchfindbugs_sample.fpr輸出包括了以下問題類別：?Objectmodelviolation?Deadlocalstore?Equalobjectsmusthaveequalhashcodes?Uselessself-assignment(2)?Unwrittenfield(2)翻譯C/C++代碼翻譯一個(gè)文擋所用的基本命令行語法是：sourceanalyzer-b<build-id><compiler>[<compileroptions>]其中：?<compiler>是在工程創(chuàng)立掃描之時(shí)，你想使用的編譯器的名字。比gcc或者是cl。?<compiler_options>是傳遞到典型編譯文擋的編譯器的選項(xiàng)。C和C++命令行舉例以下是一些簡單的可用范例：使用gcc編譯器，翻譯一個(gè)名為helloworld.c的文件，鍵入：sourceanalyzer-bmy_buildidgcchelloworld.c結(jié)合Make你可以使用以下方法中的其中一項(xiàng)去結(jié)合Make使用FortifySCA：?無入侵式的集成?入侵式的集成(修改一個(gè)Makefile去調(diào)用FortifySCA)使用無入侵式的集成，運(yùn)行以下命令：sourceanalyzer-b<build-id>makeFortifySCA運(yùn)行make命令。當(dāng)make調(diào)用了任意被FortifySCA認(rèn)作為是一個(gè)編譯器的命令，這個(gè)命令就會(huì)被FortifySCA處理。注意makefile不會(huì)被修改。這個(gè)構(gòu)建集成的方法不局限于make。任何一個(gè)執(zhí)行編譯器處理的構(gòu)建命令可以被用到系統(tǒng)里去；只要拿去運(yùn)行一個(gè)構(gòu)建的命令來替代以上命令中的'make'局部。如果不是已經(jīng)存在的話，你可能必須為你的構(gòu)建工具添加一個(gè)條目進(jìn)<install_directory>/Core/config/perties。比方，結(jié)合一個(gè)名為dobuild的構(gòu)建腳本，添加以下到perties里去：com.fortify.scapilers.dobuild=com.fortify.sca.utilpilers.TouchlessCompiler注意:Fortifytouchlessbuildadapter會(huì)表現(xiàn)異常，如果：?構(gòu)建腳本給編譯器調(diào)用了一個(gè)完整路徑，或者如果構(gòu)建腳本拒絕可執(zhí)行搜索路徑。?構(gòu)建腳本沒有創(chuàng)立一個(gè)新的進(jìn)程去運(yùn)行編譯器。許多Java構(gòu)造工具，包括Ant，都以這種方式運(yùn)行。入侵式的集成,運(yùn)行以下命令：修改一個(gè)makefile去調(diào)用FortifySCA，代替任何一個(gè)鏈接，被調(diào)用到編譯器，文件，或者是makefile和FortifySCA里。這些工具在makefile中一個(gè)特殊變量中被特別指明，如以下范例所示：CC=gccCXX=g++AR=ar這個(gè)步驟可以像這些makefile里提及的的工具、FortifySCA，和一些適中選項(xiàng)一樣簡單。CC=sourceanalyzer-bmybuild-cgccCXX=sourceanalyzer-bmybuild-cg++AR=sourceanalyzer-bmybuild-carVC6.0工程的轉(zhuǎn)換與分析例如.sourceanalyzer-bmy_buildid–cmsdevMyProject.dsp/Make/BUILD.sourceanalyzer-bmy_buildid–scan–fxx.fpr分析FortitfySCA掃描的結(jié)果審計(jì)結(jié)果的基本概念審計(jì)：將FortifySCA掃描分析出來的結(jié)果中的漏洞進(jìn)展審查，分析，定性，指導(dǎo)開發(fā)人員進(jìn)展漏洞的修復(fù)工作。Hide/Suppress/Suspicious/NotAnIssue四個(gè)的不同Hide:是將此漏洞不顯示出來，在報(bào)告中也不顯示出來Suppress:是此漏洞不是問題，可以不用看的Suspicious:是審計(jì)的一個(gè)定性，這個(gè)問題有可能是真的，值得疑心。NotAnIssue:也是審計(jì)的一個(gè)定性，說明這一漏洞不是個(gè)問題。首先是將掃描結(jié)果導(dǎo)成后綴為fpr文件，然后用AuditWorkBench翻開該文件,界面如下所示驗(yàn)證測試結(jié)果的正確性，有效性〔包括application，project，buildinformation，analysisinformation〕將〔GroupBy〕分組方式選擇為按Category(漏洞種類)分組，這也是最常用的分組方式，然后在下面對相應(yīng)的漏洞進(jìn)展定性，審記；所圖所示可以跟蹤該漏洞產(chǎn)生的全路徑，有兩種方式跟蹤，建議采用第二種圖表方式，對比直觀；選擇下面選項(xiàng)卡中Detail,Recommandation，可以獲得相應(yīng)的漏洞的詳細(xì)說明，以及推薦的解決方法；如以以下圖：導(dǎo)出經(jīng)過審計(jì)，定性的掃描結(jié)果的報(bào)表，可以有兩種格式，一種是HTML，一種是PDF；如以以下圖：4．故障修復(fù)4.1使用日志文件去調(diào)試問題當(dāng)你在運(yùn)行FortifySCA的時(shí)候，如果遇到了警告或者問題，可以使用-debug選項(xiàng)再次運(yùn)行FortifySCA。這會(huì)在下面的路徑中生成一個(gè)叫做sca.log的文件。?在Windows平臺上：C:\DocumentsandSettings\<username>\LocalSettings\ApplicationData\Fortify\sca\log?在其它的平臺上：$HOME/.fortify/sca4.5/log4.2轉(zhuǎn)換失敗的信息如果你的C/C++應(yīng)用程序能夠成功構(gòu)建，但是當(dāng)使用FortifySCA來進(jìn)展構(gòu)建的時(shí)候卻發(fā)現(xiàn)一個(gè)或者多個(gè)“轉(zhuǎn)換失敗〞的信息，這時(shí)你需要編輯<install_directory>/Core/config/perties文