FortifySCA安装使用手册Word文件下载.docx
- 文档编号:14140142
- 上传时间:2022-10-19
- 格式:DOCX
- 页数:20
- 大小:1.89MB
FortifySCA安装使用手册Word文件下载.docx
《FortifySCA安装使用手册Word文件下载.docx》由会员分享,可在线阅读,更多相关《FortifySCA安装使用手册Word文件下载.docx(20页珍藏版)》请在冰豆网上搜索。
如果你的C/C++应用程序能够成功构建,但是当使用FortifySCA来进行构建的时候却发现一个或者多个“转换失败”的信息,这时你需要编辑<
install_directory>
/Core/config/fortify-sca.properties文件来修改下面的这些行:
20
com.fortify.sca.cpfe.options=--remove_unneeded_entities--suppress_vtbl20
to20
com.fortify.sca.cpfe.options=-w--remove_unneeded_entities--20
suppress_vtbl20
重新执行构建,打印出转换器遇到的错误。
如果输出的结果表明了在你的编译器和Fortify转换器之间存在冲突20
4.3JSP的转换失败20
4.4C/C++预编译的头文件21
前言
FortifySCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。
文档约定
本手册使用以下约定,以区分手册中其它部分。
约定
表示含义
粗体字
“粗体新宋体”:
表示截图中的按钮或是选项。
如:
点击保存按纽
→
“右箭头”:
用在两个或多个词语之间,表示分级,左边的内容是右边的上一级。
文件→打开
●
“圆点”:
表示同级的并列选项或是属性。
1,2,3
“粗体数字”:
表示一个过程中步骤。
“警告”:
说明需要注意的事项。
“提示”:
表示附加的说明性文字。
编写约定
指编写用户手册的规范和注意事项,编写人员在手册完成后应删除该篇约定。
●关于截图
⏹为使叙述更加明确、简洁,应避免不必要的截图。
指可以用语言叙述清楚其操作方法的界面。
拉菜单、快捷菜单等可以避免截图。
⏹图片应尽量精准,不要留白边,和避免出现不相关的图标。
输入法工具栏等。
●关于斜体字
表示可变化的名称或是术语,编写手册时应用具体内容替换。
●关于说明
补充说明某一章/节中需描述的内容,提供了供参考的内容细则。
手册编写完成后应删除此部分内容。
●关于示例
具体实例辅助说明某一章/节的内容范围和格式。
手册完成后应删除此部分内容。
●关于分级
下分一级用圆点表示,具体分级设置请参照公司文档编写规范。
1.产品说明
FortifySCA(静态代码分析器)是组成Fortify360系列产品之一,SCA工作在开发阶段,以用于分析应用程序的源代码是否存在安全漏洞。
它不但能够发现只能在静态情况下才能发现的新的漏洞,而且也能在测试和产品阶段验证已经发现的漏洞。
1.1.特性说明
FortifySCA主要的特性和优点如下:
1.业务最完整的静态代码分析器,以最大和最全面的安全编码规则为基础,而且这些规则可以不断地进行更新,以适应新的软件安全漏洞
2.跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言
3.在确认安全漏洞上有十分高的准确性
4.可以精确地定位漏洞产生的全路径,方便开发人员对漏洞进行修复
5.支持多种软件开发平台
1.2.产品更新说明
名称
版本
发布日期
功能修改说明
FortifySCA
V2.0
2.安装说明
2.1.安装所需的文件
1.FortifySCA的安装文件
2.Fortifylicense(即安装授权文件)
3.Fortify的规则库文件(可在线下载最新的规则库)
4.要安装插件的IDE(例如eclispe3.2,3.3;
VS2003,2005;
RAD7;
RSD7)
2.2.FortifySCA支持的系统平台
2.3.支持的语言
2.4.FortifySCA的插件
2.5.FortifySCA支持的编译器
2.6.FortifySCA在windows上安装
1.双击安装包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安装
2.选择Fortify提供的授权文件所在路径(即安装包下的fotify_rule文件夹,该文件夹下有fortify.license),点击‘NEXT’按钮
3.选择相应的安装路径,点击‘NEXT’按钮
4.选择相应的组件进行安装,在此处请注意,fortify默认不安装IDE插件,如果需要安装相应的IDE插件,如图所示:
在此处我选择了基于eclipse3.x,VS2005的插件(选择安装VS的插件之前,得首先安装VS的IDE),然后点击‘NEXT’按钮
5.再点击‘NEXT’按钮即可完成安装
6.添加相应的规则库,可直接联网下载最新的规则库,或是将安装包下的fotify_rule
文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置
7.安装完成后把系统时间改成2008年,方可正常使用.
2.7.FortifySCA安装Eclispe插件
2.8.FortifySCA在linux上的安装(要有linux版本的安装文件)
2.9.FortifySCA在Unix上的安装(要有Unix版本的安装文件)
3.使用说明
FortifySCA扫描方式:
1.IDE插件方式
2.命令行
3.AuditWorkbench扫描目录
4.与构建工具集成(ant,makefile)
5.SCAbuildmonitor(c/c++windowsonly)
下面主要是介绍常用的两种扫描方式:
IDE插件方式,以及命令行方式
3.1.FortifySCA扫描指南
3.1.1Eclipse插件方式扫描
1.1首先你得正确安装fortifysca的插件,具体安装方法见前面所述的安装指南;
安装成功后的ide界面如图所示,会有一个图标
1.2导入所要进行源码安全测试的项目,成功导入之后会显示以上界面右边的PackageExpl里面
1.3左键选中该项目,然后点击,就可以进行扫描了;
或者是右键点击该项目,弹出选项菜单,选中Analyzesourcecodeofproject就可以进行扫描.
3.1.2AuditAuditWorkbench扫描目录
2.1首先在开始菜单->
所有程序->
FortifySoftware->
Fortify360v2.0->
AuditWorkbench,启动AuditWorkbench,界面如下
2.2建议采用AdvancedScan,然后选中要扫描的目录,点击确定按钮即可扫描
3.1.3命令行方式扫描
Java命令行语法
这个主题描述了为Java翻译源代码的FortifySCA命令语法。
基本的Java命令行语法是:
sourceanalyzer-b<
build-id>
-cp<
classpath>
<
file-list>
有了Java代码,FortifySCA既可以仿效编译程序(它使得构造结合很方便),也可以直接接受源
文件(它使命令行扫描更方便)。
注意:
有关所有你能使用的带有sourceanalyzer命令的选项,请查看第33页的“命令行选项”。
使FortifySCA仿效编译程序,输入:
javac[<
compileroptions>
]
直接传文件到FortifySCA,输入:
[<
]\<
files>
|<
file-specifiers>
这里:
<
是传到编译程序的选项。
-cp<
具体指定Classpath来用在Java源代码中。
Classpath是一个构造目录和jar文件的列表。
格式和javac所预期的相同(路径的冒号或独立的分号的列表)。
你可以使用FortifySCA文件说明符。
-cp"
build/classes:
lib/*.jar"
如果你没有使用选项来具体指定classpath,CLASSPATH环境变量将被使用。
|<
文件说明符允许你容易地通过一个长文件列表到FortifySCA使用通配符。
FortifySCA能识别两种
类型的通配符:
'
*'
匹配部分文件名,'
**'
递归地匹配目录。
你可以指定一个或更多的文件,一个或
更多的文件说明符,或文件和文件说明符的结合。
Java命令行例子
在classpath上用j2ee.jar翻译一个命名为MyServlet.java的文件,输入:
sourceanalyzer-bMyServlet-cplib/j2ee.jarMyServlet.java
用lib目录中所有jar文件作为classpath在src目录中翻译所有的.java文件:
sourceanalyzer-bMyProject-cp"
"
src/**/*.java"
当运行javac编译程序时,翻译MyCode.java文件:
sourceanalyzer-bmybuildjavac-classpathlibs.jarMyCode.java
J2EE项目转换的简单示例
把项目的所有文件和库都放在一个目录下,运行下面的命令:
.sourceanalyzer-Xmx1000m-bpName-encoding"
UTF-8"
-cp"
**/*.jar"
.sourceanalyzer-Xmx1000m-bpName-appserverweblogic-appserver-verion9–appserver-home“d:
\bea\webloigc\server\lib”-encoding"
翻译JSP文件
要翻译JSP文件,FortifySCA需要JSP文件遵循标准的WebApplicationArchive(WAR)设计格
式。
如果你的源目录已经以WAR格式组织了,那么你可以直接从源目录中翻译JSP文件。
如果情况
不是这样的,那么你需要展开应用程序并从展开目录中翻译
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- FortifySCA 安装 使用手册