...wd......wd......wd...FortifySCA安裝使用手冊目錄TOC\o"2-3"\h\z\t"標題1,1"1.產品說明51.1.特性說明51.2.產品更新說明52.安裝說明62.1.安裝所需的文件62.2.FortifySCA支持的系統(tǒng)平臺62.3.支持的語言62.4.FortifySCA的插件72.5.FortifySCA支持的編譯器72.6.FortifySCA在windows上安裝82.7.FortifySCA安裝Eclispe插件92.8.FortifySCA在linux上的安裝(要有l(wèi)inux版本的安裝文件)92.9.FortifySCA在Unix上的安裝(要有Unix版本的安裝文件)103.使用說明113.1.FortifySCA掃描指南113.2.分析FortitfySCA掃描的結果164．故障修復204.1使用日志文件去調試問題204.2轉換失敗的信息20如果你的C/C++應用程序能夠成功構建，但是當使用FortifySCA來進展構建的時候卻發(fā)現(xiàn)一個或者多個“轉換失敗〞的信息，這時你需要編輯<install_directory>/Core/config/perties文件來修改下面的這些行：20com.fortify.sca.cpfe.options=--remove_unneeded_entities--suppress_vtbl20to20com.fortify.sca.cpfe.options=-w--remove_unneeded_entities--20suppress_vtbl20重新執(zhí)行構建，打印出轉換器遇到的錯誤。如果輸出的結果說明了在你的編譯器和Fortify轉換器之間存在沖突204.3JSP的轉換失敗204.4C/C++預編譯的頭文件21前言FortifySCA是目前業(yè)界最為全面的源代碼白盒安全測試工具，它能準確定位到代碼級的安全問題，完全自動化的完成測試，最廣泛的安全漏洞規(guī)那么，多維度的分析源代碼的安全問題。文檔約定本手冊使用以下約定，以區(qū)分手冊中其它局部。約定表示含義粗體字“粗體新宋體〞：表示截圖中的按鈕或是選項。如：點擊保存按紐→“右箭頭〞：用在兩個或多個詞語之間，表示分級，左邊的內容是右邊的上一級。如：文件→翻開“圓點〞：表示同級的并列選項或是屬性。1，2，3“粗體數(shù)字〞：表示一個過程中步驟。“警告〞:說明需要注意的事項。“提示〞：表示附加的說明性文字。編寫約定指編寫用戶手冊的標準和本卷須知，編寫人員在手冊完成后應刪除該篇約定。關于截圖為使表達更加明確、簡潔，應防止不必要的截圖。指可以用語言表達清楚其操作方法的界面。如：拉菜單、快捷菜單等可以防止截圖。圖片應盡量精準，不要留白邊，和防止出現(xiàn)不相關的圖標。如：輸入法工具欄等。關于斜體字表示可變化的名稱或是術語，編寫手冊時應用具體內容替換。關于說明補充說明某一章/節(jié)中需描述的內容，提供了供參考的內容細則。手冊編寫完成后應刪除此局部內容。關于例如具體實例輔助說明某一章/節(jié)的內容范圍和格式。手冊完成后應刪除此局部內容。關于分級下分一級用圓點表示，具體分級設置請參照公司文檔編寫標準。產品說明FortifySCA〔靜態(tài)代碼分析器〕是組成Fortify360系列產品之一，SCA工作在開發(fā)階段，以用于分析應用程序的源代碼是否存在安全漏洞。它不但能夠發(fā)現(xiàn)只能在靜態(tài)情況下才能發(fā)現(xiàn)的新的漏洞，而且也能在測試和產品階段驗證已經(jīng)發(fā)現(xiàn)的漏洞。特性說明FortifySCA主要的特性和優(yōu)點如下：1.業(yè)務最完整的靜態(tài)代碼分析器，以最大和最全面的安全編碼規(guī)那么為根基，而且這些規(guī)那么可以不斷地進展更新，以適應新的軟件安全漏洞2.跨層跨語言地分析代碼的漏洞產生，目前支持所有的主流開發(fā)語言3.在確認安全漏洞上有十分高的準確性4.可以準確地定位漏洞產生的全路徑，方便開發(fā)人員對漏洞進展修復5.支持多種軟件開發(fā)平臺產品更新說明名稱版本發(fā)布日期功能修改說明FortifySCAV2.0安裝說明安裝所需的文件1．FortifySCA的安裝文件2．Fortifylicense(即安裝授權文件)3．Fortify的規(guī)那么庫文件〔可在線下載最新的規(guī)那么庫〕4．要安裝插件的IDE〔例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7〕FortifySCA支持的系統(tǒng)平臺支持的語言FortifySCA的插件FortifySCA支持的編譯器FortifySCA在windows上安裝雙擊安裝包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安裝選擇Fortify提供的授權文件所在路徑(即安裝包下的fotify_rule文件夾，該文件夾下有fortify.license)，點擊‘NEXT’按鈕選擇相應的安裝路徑，點擊‘NEXT’按鈕選擇相應的組件進展安裝,在此處請注意，fortify默認不安裝IDE插件，如果需要安裝相應的IDE插件，如以以下圖：在此處我選擇了基于eclipse3.x，VS2005的插件(選擇安裝VS的插件之前，得首先安裝VS的IDE),然后點擊‘NEXT’按鈕再點擊‘NEXT’按鈕即可完成安裝添加相應的規(guī)那么庫，可直接聯(lián)網(wǎng)下載最新的規(guī)那么庫，或是將安裝包下的fotify_rule文件夾下rules_ZH.rar解壓縮到fortify安裝目錄下的Core\config\rules位置安裝完成后把系統(tǒng)時間改成20xx年,方可正常使用.FortifySCA安裝Eclispe插件FortifySCA在linux上的安裝(要有l(wèi)inux版本的安裝文件)FortifySCA在Unix上的安裝(要有Unix版本的安裝文件)使用說明FortifySCA掃描方式：1．IDE插件方式2．命令行3．AuditWorkbench掃描目錄4．與構建工具集成(ant,makefile)5．SCAbuildmonitor(c/c++windowsonly)下面主要是介紹常用的兩種掃描方式：IDE插件方式，以及命令行方式FortifySCA掃描指南Eclipse插件方式掃描1.1首先你得正確安裝fortifysca的插件，具體安裝方法見前面所述的安裝指南；安裝成功后的ide界面如以以下圖，會有一個圖標1.2導入所要進展源碼安全測試的工程，成功導入之后會顯示以上界面右邊的PackageExpl里面1.3左鍵選中該工程，然后點擊，就可以進展掃描了；或者是右鍵點擊該工程，彈出選項菜單，選中Analyzesourcecodeofproject就可以進展掃描.AuditAuditWorkbench掃描目錄2.1首先在開場菜單->所有程序->FortifySoftware->Fortify360v2.0->AuditWorkbench,啟動AuditWorkbench,界面如下2.2建議采用AdvancedScan，然后選中要掃描的目錄，點擊確定按鈕即可掃描命令行方式掃描Java命令行語法這個主題描述了為Java翻譯源代碼的FortifySCA命令語法。基本的Java命令行語法是：sourceanalyzer-b<build-id>-cp<classpath><file-list>有了Java代碼，F(xiàn)ortifySCA既可以仿效編譯程序〔它使得構造結合很方便〕，也可以直接承受源文件〔它使命令行掃描更方便〕。注意：有關所有你能使用的帶有sourceanalyzer命令的選項，請查看第33頁的“命令行選項〞。使FortifySCA仿效編譯程序，輸入：sourceanalyzer-b<build-id>javac[<compileroptions>]直接傳文件到FortifySCA，輸入：sourceanalyzer-b<build-id>-cp<classpath>[<compileroptions>]\<files>|<file-specifiers>這里：<compileroptions>是傳到編譯程序的選項。-cp<classpath>具體指定Classpath來用在Java源代碼中。Classpath是一個構造目錄和jar文件的列表。格式和javac所預期的一樣〔路徑的冒號或獨立的分號的列表〕。你可以使用FortifySCA文件說明符。-cp"build/classes:lib/*.jar"注意：如果你沒有使用選項來具體指定classpath，CLASSPATH環(huán)境變量將被使用。<files>|<file-specifiers>文件說明符允許你容易地通過一個長文件列表到FortifySCA使用通配符。FortifySCA能識別兩種類型的通配符：'*'匹配局部文件名，'**'遞歸地匹配目錄。你可以指定一個或更多的文件，一個或更多的文件說明符，或文件和文件說明符的結合。Java命令行例子在classpath上用j2ee.jar翻譯一個命名為MyServlet.java的文件，輸入：sourceanalyzer-bMyServlet-cplib/j2ee.jarMyServlet.java用lib目錄中所有jar文件作為classpath在src目錄中翻譯所有的.java文件：sourceanalyzer-bMyProject-cp"lib/*.jar""src/**/*.java"當運行javac編譯程序時，翻譯MyCode.java文件：sourceanalyzer-bmybuildjavac-classpathlibs.jarMyCode.javaJ2EE工程轉換的簡單例如把工程的所有文件和庫都放在一個目錄下，運行下面的命令：.sourceanalyzer-Xmx1000m-bpName-encoding"UTF-8"-cp"**/*.jar".sourceanalyzer-Xmx1000m-bpName-appserverweblogic-appserver-verion9–appserver-home“d:\bea\webloigc\server\lib〞-encoding"UTF-8"-cp"**/*.jar"翻譯JSP文件要翻譯JSP文件，F(xiàn)ortifySCA需要JSP文件遵循標準的WebApplicationArchive(WAR)設計格式。如果你的源目錄已經(jīng)以WAR格式組織了，那么你可以直接從源目錄中翻譯JSP文件。如果情況不是這樣的，那么你需要展開應用程序并從展開目錄中翻譯你的JSP文件。如果你的JSP文件使用了任何標簽庫，例如JSTL，確保庫的jar文件在WEB-INF/lib目錄中。否那么JSP編譯程序將不處理標簽庫，可能產生錯誤的結果。默認地，在翻譯程序段期間，F(xiàn)ortifySCA使用一個JasperJSP編譯程序的版本來編譯JSP文件到Java文件中去。然而，如果你的web應用程序是特別為了某個應用程序服務器而開發(fā)的，那么當執(zhí)行翻譯時，你必須為那個應用程序服務器使用JSP編譯程序。為了支持它，F(xiàn)ortifySCA提供了以下命令行選項：?-appserver支持變量：weblogic/websphere?-appserver-home有關Weblogic：到目錄的路徑包含server/lib目錄有關WebSphere：到目錄的路徑包含bin/JspBatchCompiler腳本?-appserver-version支持變量：Weblogic版本7和8WebSphere版本6如果你在使用一個沒有被列出來的應用程序服務器，使用默認內部FortifyJSP編譯程序。例如：sourceanalyzer-bmy_buildid-cp"WEB-INF/lib/*.jar""WEB-INF/**/*.jsp"使用FindBugsFindBugs(://)是一個靜態(tài)分析工具，它在Java代碼中檢測質量問題。你可以和FortifySCA一起使用FindBugs，結果會被合并到分析結果文件中。與FortifySCA運行在Java源文件中不同，F(xiàn)indBugs運行在Java字節(jié)碼中。因此，在工程中運行分析之前，你應該首先編譯工程產生類文件。為了示范如何與FortifySCA一起自動地運行FindBugs，編譯例子代碼，Warning.java，如下：1.定位到以下目錄：<install_directory>/Samples/advanced/findbugs2.輸入以下命令并編譯例子：mkdirbuildjavac-dbuildWarning.java3.用FindBugs和FortifySCA掃描例子，如下：sourceanalyzer-bfindbugs_sample-java-build-dirbuildWarning.javasourceanalyzer-bfindbugs_sample-scan-findbugs-ffindbugs_sample.fpr4.檢查早FortifyAuditWorkbench中的分析結果：auditworkbenchfindbugs_sample.fpr輸出包括了以下問題類別：?Objectmodelviolation?Deadlocalstore?Equalobjectsmusthaveequalhashcodes?Uselessself-assignment(2)?Unwrittenfield(2)翻譯C/C++代碼翻譯一個文擋所用的基本命令行語法是：sourceanalyzer-b<build-id><compiler>[<compileroptions>]其中：?<compiler>是在工程創(chuàng)立掃描之時，你想使用的編譯器的名字。比gcc或者是cl。?<compiler_options>是傳遞到典型編譯文擋的編譯器的選項。C和C++命令行舉例以下是一些簡單的可用范例：使用gcc編譯器，翻譯一個名為helloworld.c的文件，鍵入：sourceanalyzer-bmy_buildidgcchelloworld.c結合Make你可以使用以下方法中的其中一項去結合Make使用FortifySCA：?無入侵式的集成?入侵式的集成(修改一個Makefile去調用FortifySCA)使用無入侵式的集成，運行以下命令：sourceanalyzer-b<build-id>makeFortifySCA運行make命令。當make調用了任意被FortifySCA認作為是一個編譯器的命令，這個命令就會被FortifySCA處理。注意makefile不會被修改。這個構建集成的方法不局限于make。任何一個執(zhí)行編譯器處理的構建命令可以被用到系統(tǒng)里去；只要拿去運行一個構建的命令來替代以上命令中的'make'局部。如果不是已經(jīng)存在的話，你可能必須為你的構建工具添加一個條目進<install_directory>/Core/config/perties。比方，結合一個名為dobuild的構建腳本，添加以下到perties里去：com.fortify.scapilers.dobuild=com.fortify.sca.utilpilers.TouchlessCompiler注意:Fortifytouchlessbuildadapter會表現(xiàn)異常，如果：?構建腳本給編譯器調用了一個完整路徑，或者如果構建腳本拒絕可執(zhí)行搜索路徑。?構建腳本沒有創(chuàng)立一個新的進程去運行編譯器。許多Java構造工具，包括Ant，都以這種方式運行。入侵式的集成,運行以下命令：修改一個makefile去調用FortifySCA，代替任何一個鏈接，被調用到編譯器，文件，或者是makefile和FortifySCA里。這些工具在makefile中一個特殊變量中被特別指明，如以下范例所示：CC=gccCXX=g++AR=ar這個步驟可以像這些makefile里提及的的工具、FortifySCA，和一些適中選項一樣簡單。CC=sourceanalyzer-bmybuild-cgccCXX=sourceanalyzer-bmybuild-cg++AR=sourceanalyzer-bmybuild-carVC6.0工程的轉換與分析例如.sourceanalyzer-bmy_buildid–cmsdevMyProject.dsp/Make/BUILD.sourceanalyzer-bmy_buildid–scan–fxx.fpr分析FortitfySCA掃描的結果審計結果的基本概念審計：將FortifySCA掃描分析出來的結果中的漏洞進展審查，分析，定性，指導開發(fā)人員進展漏洞的修復工作。Hide/Suppress/Suspicious/NotAnIssue四個的不同Hide:是將此漏洞不顯示出來，在報告中也不顯示出來Suppress:是此漏洞不是問題，可以不用看的Suspicious:是審計的一個定性，這個問題有可能是真的，值得疑心。NotAnIssue:也是審計的一個定性，說明這一漏洞不是個問題。首先是將掃描結果導成后綴為fpr文件，然后用AuditWorkBench翻開該文件,界面如下所示驗證測試結果的正確性，有效性〔包括application，project，buildinformation，analysisinformation〕將〔GroupBy〕分組方式選擇為按Category(漏洞種類)分組，這也是最常用的分組方式，然后在下面對相應的漏洞進展定性，審記；所圖所示可以跟蹤該漏洞產生的全路徑，有兩種方式跟蹤，建議采用第二種圖表方式，對比直觀；選擇下面選項卡中Detail,Recommandation，可以獲得相應的漏洞的詳細說明，以及推薦的解決方法；如以以下圖：導出經(jīng)過審計，定性的掃描結果的報表，可以有兩種格式，一種是HTML，一種是PDF；如以以下圖：4．故障修復4.1使用日志文件去調試問題當你在運行FortifySCA的時候，如果遇到了警告或者問題，可以使用-debug選項再次運行FortifySCA。這會在下面的路徑中生成一個叫做sca.log的文件。?在Windows平臺上：C:\DocumentsandSettings\<username>\LocalSettings\ApplicationData\Fortify\sca\log?在其它的平臺上：$HOME/.fortify/sca4.5/log4.2轉換失敗的信息如果你的C/C++應用程序能夠成功構建，但是當使用FortifySCA來進展構建的時候卻發(fā)現(xiàn)一個或者多個“轉換失敗〞的信息，這時你需要編輯<install_directory>/Core/config/perties文