FortifySCA安装使用手册..docxVIP

Fortify SCA 安装使用手册目录1.产品说明51.1.特性说明51.2.产品更新说明52.安装说明62.1.安装所需的文件62.2. Fortify SCA支持的系统平台62.3.支持的语言62.4. Fortify SCA的插件72.5. Fortify SCA支持的编译器72.6. Fortify SCA在windows上安装82.7. Fortify SCA安装Eclispe插件92.8. Fortify SCA在linux上的安装(要有linux版本的安装文件)92.9. Fortify SCA在Unix上的安装(要有Unix版本的安装文件)103.使用说明113.1. Fortify SCA 扫描指南113.2.分析Fortitfy SCA扫描的结果164．故障修复204.1使用日志文件去调试问题204.2转换失败的信息20如果你的C/C++ 应用程序能够成功构建，但是当使用Fortify SCA 来进行构建的时候却发现一个或者多个“转换失败”的信息，这时你需要编辑install_directory/Core/config/perties 文件来修改下面的这些行：20com.fortify.sca.cpfe.options= --remove_unneeded_entities --suppress_vtbl20to20com.fortify.sca.cpfe.options=-w --remove_unneeded_entities --20suppress_vtbl20重新执行构建，打印出转换器遇到的错误。如果输出的结果表明了在你的编译器和Fortify 转换器之间存在冲突204.3JSP的转换失败204.4 C/C++ 预编译的头文件21前言Fortify SCA是目前业界最为全面的源代码白盒安全测试工具，它能精确定位到代码级的安全问题，完全自动化的完成测试，最广泛的安全漏洞规则，多维度的分析源代码的安全问题。文档约定本手册使用以下约定，以区分手册中其它部分。约定表示含义粗体字“粗体新宋体”：表示截图中的按钮或是选项。如：点击保存按纽→“右箭头”：用在两个或多个词语之间，表示分级，左边的内容是右边的上一级。如：文件→打开“圆点”：表示同级的并列选项或是属性。1，2，3“粗体数字”：表示一个过程中步骤。“警告”:说明需要注意的事项。“提示”：表示附加的说明性文字。编写约定指编写用户手册的规范和注意事项，编写人员在手册完成后应删除该篇约定。关于截图为使叙述更加明确、简洁，应避免不必要的截图。指可以用语言叙述清楚其操作方法的界面。如：拉菜单、快捷菜单等可以避免截图。图片应尽量精准，不要留白边，和避免出现不相关的图标。如：输入法工具栏等。关于斜体字表示可变化的名称或是术语，编写手册时应用具体内容替换。关于说明补充说明某一章/节中需描述的内容，提供了供参考的内容细则。手册编写完成后应删除此部分内容。关于示例具体实例辅助说明某一章/节的内容范围和格式。手册完成后应删除此部分内容。关于分级下分一级用圆点表示，具体分级设置请参照公司文档编写规范。产品说明Fortify SCA（静态代码分析器）是组成Fortify360系列产品之一，SCA工作在开发阶段，以用于分析应用程序的源代码是否存在安全漏洞。它不但能够发现只能在静态情况下才能发现的新的漏洞，而且也能在测试和产品阶段验证已经发现的漏洞。特性说明Fortify SCA主要的特性和优点如下：1.业务最完整的静态代码分析器，以最大和最全面的安全编码规则为基础，而且这些规则可以不断地进行更新，以适应新的软件安全漏洞2.跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言3.在确认安全漏洞上有十分高的准确性4.可以精确地定位漏洞产生的全路径，方便开发人员对漏洞进行修复5.支持多种软件开发平台产品更新说明名称版本发布日期功能修改说明Fortify SCAV2.0安装说明安装所需的文件1．Fortify SCA的安装文件2．Fortify license(即安装授权文件)3．Fortify的规则库文件（可在线下载最新的规则库）4．要安装插件的IDE （例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7）Fortify SCA支持的系统平台支持的语言Fortify SCA的插件Fortify SCA支持的编译器Fortify SCA在windows上安装双击安装包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安装选择Fortify提供的授权文件所在路径(即安装包下的fotify_rule文件夹，该文件夹下有fortify.license)，点击‘NEXT’按钮选择相应的安装路径，点击