fortify sca 安装使用手册.docxVIP

Fortify SCA 安装使用手册 目录 TOC \o 2-3 \h \z \t 标题 1,1 1. 产品说明 5 1.1. 特性说明 5 1.2. 产品更新说明 5 2. 安装说明 6 2.1. 安装所需的文件 6 2.2. Fortify SCA支持的系统平台 6 2.3. 支持的语言 6 2.4. Fortify SCA的插件 7 2.5. Fortify SCA支持的编译器 7 2.6. Fortify SCA在windows上安装 8 2.7. Fortify SCA安装Eclispe插件 9 2.8. Fortify SCA在linux上的安装(要有linux版本的安装文件) 9 2.9. Fortify SCA在Unix上的安装(要有Unix版本的安装文件) 10 3. 使用说明 11 3.1. Fortify SCA 扫描指南 11 3.2. 分析Fortitfy SCA扫描的结果 16 4．故障修复 20 4.1使用日志文件去调试问题 20 4.2转换失败的信息 20 如果你的C/C++ 应用程序能够成功构建，但是当使用Fortify SCA 来进行构建的时候却发现一个或者多个“转换失败”的信息，这时你需要编辑install_directory/Core/config/perties 文件来修改下面的这些行： 20 com.fortify.sca.cpfe.options= --remove_unneeded_entities --suppress_vtbl 20 to 20 com.fortify.sca.cpfe.options=-w --remove_unneeded_entities -- 20 suppress_vtbl 20 重新执行构建，打印出转换器遇到的错误。如果输出的结果表明了在你的编译器和Fortify 转换器之间存在冲突 20 4.3JSP的转换失败 20 4.4 C/C++ 预编译的头文件 21 前言 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具，它能精确定位到代码级的安全问题，完全自动化的完成测试，最广泛的安全漏洞规则，多维度的分析源代码的安全问题。 文档约定 本手册使用以下约定， 以区分手册中其它部分。 约定 表示含义 粗体字 “粗体新宋体”：表示截图中的按钮或是选项。如：点击保存按纽 → “右箭头”：用在两个或多个词语之间，表示分级，左边的内容是右边的上一级。 如：文件→打开 “圆点”：表示同级的并列选项或是属性。 1，2，3 “粗体数字”：表示一个过程中步骤。 “警告”:说明需要注意的事项。 “提示”：表示附加的说明性文字。 编写约定 指编写用户手册的规范和注意事项，编写人员在手册完成后应删除该篇约定。 关于截图 为使叙述更加明确、简洁，应避免不必要的截图。指可以用语言叙述清楚其操作方法的界面。如：拉菜单、快捷菜单等可以避免截图。 图片应尽量精准，不要留白边，和避免出现不相关的图标。如：输入法工具栏等。 关于斜体字 表示可变化的名称或是术语，编写手册时应用具体内容替换。 关于说明 补充说明某一章/节中需描述的内容，提供了供参考的内容细则。手册编写完成后应删除此部分内容。 关于示例 具体实例辅助说明某一章/节的内容范围和格式。 手册完成后应删除此部分内容。 关于分级 下分一级用圆点表示，具体分级设置请参照公司文档编写规范。 产品说明 Fortify SCA（静态代码分析器）是组成Fortify360系列产品之一，SCA工作在开发阶段，以用于分析应用程序的源代码是否存在安全漏洞。它不但能够发现只能在静态情况下才能发现的新的漏洞，而且也能在测试和产品阶段验证已经发现的漏洞。 特性说明 Fortify SCA主要的特性和优点如下： 1.业务最完整的静态代码分析器，以最大和最全面的安全编码规则为基础，而且这些规则可以不断地进行更新，以适应新的软件安全漏洞 2.跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言 3.在确认安全漏洞上有十分高的准确性 4.可以精确地定位漏洞产生的全路径，方便开发人员对漏洞进行修复 5.支持多种软件开发平台 产品更新说明 名称 版本 发布日期 功能修改说明 Fortify SCA V2.0 安装说明 安装所需的文件 1．Fortify SCA的安装文件 2．Fortify license(即安装授权文件) 3．Fortify的规则库文件（可在线下载最新的规则库） 4．要安装插件的IDE （例如eclispe3.2,3.3；VS2003，2005；RAD7；RSD7