FORTIFY培训1.ppt

Fortify 安全测试 陈智浩 Fortify 测试工具简介 Fortify 测试工具分为： 1) Source Code Analysis Engine （白盒测试工具） Audit Workbench （补充SCA，提供图形用户界面） Software Security Manager （软件漏洞管理，生成各种表图报告） Fortify Security Tester （黑盒动态测试工具） 一、Source Code Analysis Engine 基于源代码的白盒测试工具，能对数据流、控制流、语义、结构和配置进行分析扫描，并精确定位违反选定安全规则的代码段。 特点： 1）提供全面的数据流分析，精确定位易损路径，找出外部输入能影响到的易损函数。 2）定位全部的安全漏洞。 3）查出整体系统运行时的漏洞。 4）提供命令行接口 5）生成问题和解决建议的XML 6) 分析手工查找代码漏洞所需的时间和费用，并给进行测试的软件打一个分数。 一、Source Code Analysis Engine Fortify SCA 这是一款基于源代码的白盒测试工具，能对数据流、控制流、语义、结构和配置进行安全漏洞分析，查出整体系统运行时的漏洞并定位。 SCA分析源代码时主要分成为两个阶段： 第一阶段：中间格式文件的转换阶段。将源代码转化成统一的格式,能实现对不同的语言的支持，跨越了编程语言上的，层次上的障碍。 第二阶段：分析阶段。运用分析器对其转换后的文件进行分析，由于各层的各种语言的代码都在第一阶段转换，因此可以跨层次、跨语言的对代码进行全面地、彻底地分析。 一、Source Code Analysis Engine 使用方法： （一）作为常用开发平台的插件： 1）Visual Studio 2005 、 Visual Studio 2003 2）Eclipse3.0 、Eclipse 2.1 3）RAD 6.0 4）WSAD 5.1.2 支持语言：C / C++ Java C# VB 等 一、Source Code Analysis Engine 1） Visual Studio 2005 、 Visual Studio 2003 (C/C++、C#、VB等) 在安装了Visual Studio 2005 的前提下，安装 Fortify SCA 的 Visual Studio 2005 插件，即可在Visual Studio 2005 使用。 一、Source Code Analysis Engine 需要提供编译通过的exe或sln文件。 一、Source Code Analysis Engine 一、Source Code Analysis Engine 点击每一条安全漏洞会在显示代码的窗口中显示对应的代码段，在Fortify Issue Details中显示漏洞的详细信息和修改建议。 一、Source Code Analysis Engine 选择Save Audit As 把测试结果保存为fpr文件 运行Audit Workbench 一、Source Code Analysis Engine 可以用Audit Workbench 对保存的fpr文件进行跟踪分析。 （VS2005关闭后，FORTIFY的扫描分析结果不保存） 一、Source Code Analysis Engine 2）Eclipse3.0 、Eclipse 2.1 （JAVA） 打开Eclipse3.0 ，通过创建一个新的JAVA Project，来导入要测试的程序。 一、Source Code Analysis Engine 选择Java界面 选择要测试的Project按下Fortify插件运行按钮，开始扫描。 一、Source Code Analysis Engine 扫描结果（Eclipse 中集成了Audit Workbench 界面） 一、Source Code Analysis Engine 选择Java界面，选择Save Project As 把测试结果保存为fpr文件。 一、Source Code Analysis Engine （二）命令行工作方式： 能对C / C++，Java，C#，VB等，以及之外的常用语言编写的代码进行安全测试。（如：类C语言等） 编辑一个批处理命令，把他放在需要测试的软件的目录下，然后运行该批处理命令。 一、Source Code Analysis Engine For Java: sourceanalyzer -cp lib/j2ee