Fortify-SCA-安装使用手册

Fortify SCA 安装使用手册

目录

1. 产品说明 (5)

1.1.特性说明 (5)

1.2.产品更新说明 (5)

2. 安装说明 (6)

2.1.安装所需的文件 (6)

2.2.F ORTIFY SCA支持的系统平台 (6)

2.3.支持的语言 (6)

2.4.F ORTIFY SCA的插件 (7)

2.5.F ORTIFY SCA支持的编译器 (7)

2.6.F ORTIFY SCA在WINDOWS上安装 (8)

2.7.F ORTIFY SCA安装E CLISPE插件 (9)

2.8.F ORTIFY SCA在LINUX上的安装(要有LINUX版本的安装文件) (9)

2.9.F ORTIFY SCA在U NIX上的安装(要有U NIX版本的安装文件) (10)

3. 使用说明 (11)

3.1.F ORTIFY SCA扫描指南 (11)

3.2.分析F ORTITFY SCA扫描的结果 (16)

4．故障修复 (20)

4.1使用日志文件去调试问题 (20)

4.2转换失败的信息 (20)

如果你的C/C++应用程序能够成功构建，但是当使用F ORTIFY SCA来进行构建的时候却发现一个或者多个“转换失败”的信息，这时你需要编辑

/C ORE/CONFIG/FORTIFY-SCA.PROPERTIES 文件来修改下面的这些行： 20 COM.FORTIFY.SCA.CPFE.OPTIONS=--REMOVE_UNNEEDED_ENTITIES --SUPPRESS_VTBL (20)

TO (20)

COM.FORTIFY.SCA.CPFE.OPTIONS=-W --REMOVE_UNNEEDED_ENTITIES -- (20)

SUPPRESS_VTBL (20)

重新执行构建，打印出转换器遇到的错误。如果输出的结果表明了在你的编译器和F ORTIFY 转换器之间存在冲突 (20)

4.3JSP的转换失败 (20)

4.4C/C++预编译的头文件 (21)

前言

Fortify SCA是目前业界最为全面的源代码白盒安全测试工具，它能精确定位到代码级的安全问题，完全自动化的完成测试，最广泛的安全漏洞规则，多维度的分析源代码的安全问题。

文档约定

本手册使用以下约定，以区分手册中其它部分。

约定表示含义

粗体字“粗体新宋体”：表示截图中的按钮或是选项。如：点击保存按纽

→

“右箭头”：用在两个或多个词语之间，表示分级，左边的内容是右边的

上一级。

如：文件→打开

●

“圆点”：表示同级的并列选项或是属性。

1，2，3“粗体数字”：表示一个过程中步骤。

“警告”:说明需要注意的事项。

“提示”：表示附加的说明性文字。

编写约定

指编写用户手册的规范和注意事项，编写人员在手册完成后应删除该篇约定。

●关于截图

⏹为使叙述更加明确、简洁，应避免不必要的截图。指可以用语言叙述清楚其操

作方法的界面。如：拉菜单、快捷菜单等可以避免截图。

⏹图片应尽量精准，不要留白边，和避免出现不相关的图标。如：输入法工具栏

等。

●关于斜体字

表示可变化的名称或是术语，编写手册时应用具体内容替换。

●关于说明

补充说明某一章/节中需描述的内容，提供了供参考的内容细则。手册编写完成后

应删除此部分内容。

●关于示例

具体实例辅助说明某一章/节的内容范围和格式。

手册完成后应删除此部分内容。

●关于分级

下分一级用圆点表示，具体分级设置请参照公司文档编写规范。

Fortify SCA（静态代码分析器）是组成Fortify360系列产品之一，SCA工作在开发阶段，以用于分析应用程序的源代码是否存在安全漏洞。它不但能够发现只能在静态情况下才能发现的新的漏洞，而且也能在测试和产品阶段验证已经发现的漏洞。

1.1. 特性说明

Fortify SCA主要的特性和优点如下：

1.业务最完整的静态代码分析器，以最大和最全面的安全编码规则为基础，而且这些规则可以不断地进行更新，以适应新的软件安全漏洞

2.跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言

3.在确认安全漏洞上有十分高的准确性

4.可以精确地定位漏洞产生的全路径，方便开发人员对漏洞进行修复

5.支持多种软件开发平台

1.2. 产品更新说明

名称版本发布日期功能修改说明

Fortify SCA V2.0

2.1. 安装所需的文件

1．Fortify SCA的安装文件

2．Fortify license(即安装授权文件)

3．Fortify的规则库文件（可在线下载最新的规则库）

4．要安装插件的IDE （例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7）2.2. Fortify SCA支持的系统平台

2.3. 支持的语言

2.4. Fortify SCA的插件

2.5. Fortify SCA支持的编译器

2.6. Fortify SCA在windows上安装

1．双击安装包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安装2．选择Fortify提供的授权文件所在路径(即安装包下的fotify_rule文件夹，该文件夹下有fortify.license)，点击‘NEXT’按钮

3．选择相应的安装路径，点击‘NEXT’按钮

4．选择相应的组件进行安装,在此处请注意，fortify默认不安装IDE插件，如果需要安装相应的IDE插件，如图所示：在此处我选择了基于eclipse3.x，VS2005的插件(选择安装VS的插件之前，得首先安装VS的IDE),然后点击‘NEXT’按钮

5．再点击‘NEXT’按钮即可完成安装

6．添加相应的规则库，可直接联网下载最新的规则库，或是将安装包下的fotify_rule 文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置

7．安装完成后把系统时间改成2008年,方可正常使用.