Fortify SCA Windows平台安装和项目扫描指南.doc

中国信息安全产品测评认证中心 Fortify SCA Windows平台安装和项目扫描指南 本指南主要包括了在windows2000/windows xp平台如何安装Fortify SCA Enterprise Editor和Developer Edition for Eclipse 3，以及如何使用这两个版本去扫描JAVA/J2EE项目。同时也提到在windows平台如何使用SCA Enterprise Editor的命令行功能去如何扫描Visual Studio 6.0 project、Visual Studio .Net 2005 /2003项目一、Fortify SCA Enterprise Editor Windows平台安装指南为了让大家了解Fortify SCA Enterprise Editor Windows平台安装过程，快速完成软件安装过程，现把整个安装过程描述如下.1 准备安装环境和安装软件：A)确保所安装的windows机器的硬件配置不得低于如下条件： CPU= 1G, RAM= 1G 如果扫描代码行超过20万行，最好RAM在2G以上。 B)Download Fortify SCA Enterprise Editor Windows平台软件安装包 SCASEE-337-WIN-XP-2000.zip Download Address:2 解压安装软件包解压SCASEE-337-WIN-XP-2000.zip得到Fortify SCA Enterprise安装文件：install.exe3、双击install.exe进入安装界面， 点击“Next”,进入下一步。接受Fortify SCA的license协议。应用购买的fortify SCA license Key. 选择“install”(如果是第一次安装)，选择Update(如果本机先前已经安装Fortify SCA Enterprise的组件。选择安装的路经。选择使用Fortify SCA的用户，选择“All Users”选择安装的组件，这儿选择所有的组件。选择是否升级现在的安全规则包，如果没有直接连接internet,就暂时不用升级，选择“NO”，以后再升级规则包，因为如果马上升级会花几分钟时间。安装完成。此时在所有程序的快捷列表里可以看到有如下的安装组件。二、 Fortify SCA Developer Edition for Eclipse 3 Windows平台安装指南为了让大家了解Fortify SCA Developer Edition for Eclipse 3 Windows平台安装过程，快速完成软件安装过程，现把整个安装过程描述如下. 1 准备安装环境和安装软件：A)确保所安装的windows机器的硬件配置不得低于如下条件： CPU= 1G, RAM= 1G 如果扫描代码行超过20万行，最好RAM在2G以上。 B)确保所安装的windows机器安装有如下的软件包Java J2EE JDK 1.4.2 or Later version ,Java 集成开发环境eclipse3.xC)Download Fortify SCA Developer Edition for Eclipse 3 Windows平台软件安装包 SCASDE-337-ECLIPSE-3-WIN-XP-2000.zip Download Address:2解压安装软件包安装软件解压SCASDE-337-ECLIPSE-3-WIN-XP-2000.zip得到Fortify SCA for Eclipse3.x plug-in安装文件：install.exe，双击install.exe进入安装界面，开始安装。 点击“Next”进入下一个安装界面。接受Fortify SCA的license协议。应用购买的fortify SCA license Key.指定Eclipse的安装路经。是否升级现在的安全规则包，如果没有直接连接internet,就暂时不用升级，选择“NO”，以后再升级规则包，因为如果马上升级会花几分钟时间。 安装完成。打开Eclipse开发环境，就会在Eclipse的java视图里看到如下红色圆圈标注的安装组件。三、Fortify SCA Windows平台扫描项目指南 SCA扫描Java/J2EE 项目 1. 安装Fortify SCA企业版或者开发者版分析软件。安装Fortify SCA Enterprise Editor windows平台软件压缩包：SCASEE-337-WIN-XP-2000.zip 和Developer Edition for Eclipse Windows平台压缩包 SCASDE-337-ECLIPSE-3-WIN-XP-2000.zip，具体安装要求请参照前面的Fortify SCA Enterprise Editor Windows平台安装指南和Fortify SCA Developer Edition for Eclipse 3 Windows平台安装指南。 2. 准备扫描JAVA项目的所有源文件和相关的库。主要涉及如下的文件：a) Java files*.javab) JSP files *.jspc) configuration files *.xml,*.cfg .and mored) lib库文件*.jar *.dll .确保所提供的项目源代码和相关依耐的库文件是完整的，能在开发环境编译和构建。2. 扫描JAVA项目。扫描JAVA项目有两种方式，一种是使用Fortify SCA Developer Edition for Eclipse 3插件图形用户方式扫描和分析项目，另一种是使用 Fortify SCA Enterprise Editor Windows命令行扫描项目。 方法一： 使用Fortify SCA Developer Edition for Eclipse 3插件扫描和分析项目。在Eclipse3.x的开发环境里，把所有要分析的项目源文件建成Eclipse项目，确保编译通过，然后按“Fortify Source Code Analysis”扫描按钮即可对项目进行自动扫描和分析。其具体过程如下：导入Java源文件，在eclipse里构建java项目。使用Eclipse把要分析的文件或者项目导入开发环境。本例以C:Program FilesFortify SoftwareSCAS-EE4.5.0Tutorialjavasourcewebgoat项目为例子说明。从Eclipse File-New project-Java-Java project指定webgoat项目名和所有项目相关的源文件所在的位置。点击”Finish” 完成新建项目。导入项目到eclipse,确保所有的文件都能通过编译。通过项目属性配置安全代码规则、SCA的分析内存，默认的是650M，可以根据机器的内存大小调整。配置使用“Findbugs”去检查java的质量问题、指定最后生成的扫描结果文件Webgoat.fpr 增加其它在代码运行过程中所需要的库和文件的路经。选择Webgoat项目，点击：“Fortify Source Code Analysis”扫描项目。扫描完了以后，得到如下的分析结果，在Fortify Audit WorkBeach打开分析结果如下：利用Audit WorkBeach分析和审计具体的软件安全问题。保存或者导出审计分析结果，得到带审计信息的webgoat.fpr审计文件。然后就可以利用Security Manager保存、分析和跟踪分析结果。 方法二：使用 Fortify SCA Enterprise Editor Windows命令行扫描项目.把项目的所有文件和库都放在一个目录下，从命令行运行下面的命令：C:cd C:Program FilesFortify SoftwareSCAS-EE4.5.0TutorialjavasourcewebgoatC:Program FilesFortify SoftwareSCAS-EE4.5.0Tutorialjavasourcewebgoatsourceanalyzer -Xmx600M -b SCA-webgoat -cleanC:Program FilesFortify SoftwareSCAS-EE4.5.0Tutorialjavasourcewebgoatsourceanalyzer -Xmx600M -b SCA-webgoat -encoding UTF-8 -cp */*.jar .C:Program FilesFortify SoftwareSCAS-EE4.5.0Tutorialjavasourcewebgoatsourceanalyzer -Xmx600M -b SCA-webgoat -scan -f webgoat.fpr 得到 webgoat.fpr扫描结果文件。然后就可以把该文件使用Audit WorkBeach打开，进行具体的安全问题审计。 （注意：如果所扫描的项目是基于weblogic或者websphere的webapplication ，在原有的基础上需要指定如下几个J2EE选项参数：J2EE Options -appserver Specifies the J2EE application server to use for JSP compilation. Supported values are weblogic and websphere. -appserver-home Used to specify the location of the J2EE application server. -appserver-version Supported J2EE application server versions are 7 and 8 for Weblogic and 6 for Websphere. 其最终的命令行扫描格式类似如下： 使用 weblogic appserver version 7 sourceanalyzer -Xmx600M -b SCA-webgoat appserver weblogic appserver-home “appserver install directory” appserver-version 7 -encoding UTF-8 -cp */*.jar .sourceanalyzer -Xmx600M -b SCA-webgoat appserver weblogic appserver-home “appserver install directory” appserver-version 7 -scan -f webgoat.fpr 使用 websphere appserver version 6 sourceanalyzer -Xmx600M -b SCA-webgoat appserver websphere appserver-home “appserver install directory” appserver-version 6 -encoding UTF-8 -cp */*.jar .sourceanalyzer -Xmx600M -b SCA-webgoat appserver websphere appserver-home “appserver install directory” appserver-version 6 -scan -f webgoat.fpr 想了解更多信息，请参照fortify sca的命令行帮助。在S命令行进入如下命令：sourceanalyzer help SCA扫描Visual Studio 6.0 项目 1. 安装Fortify SCA企业版：安装Fortify SCA Enterprise Editor windows平台软件压缩包：SCASEE-337-WIN-XP-2000.zip,具体安装要求请参照前面的Fortify SCA Enterprise Editor Windows平台安装指南2. 使用VC6.0把项目导入VC6.0开发环境，确保所有的文件都能编译和构建。并导出make file文件，并确保在make file文件里保持文件依耐关系。方法一: Use VC6.0 dsw/dsp 文件扫描项目3. 退出VC6.0, 使用windows commandline go to projectname.dsw/dsp directory then run: 1sourceanalyzer -b BuildID -c msdev projectname.dsp /MAKE /clean 2sourceanalyzer -b BuildID -c msdev projectname.dsp /MAKE /REBUILD 3sourceanalyzer -b BuildID -scan -f projectname.fpr 4. 使用Fortify Audit WorkBeanch 打开fpr文件，就可以开始审计软件安全弱点 。审计完后保存审计结果为.fpr文件。5. 把Fpr或者Fvdl文件导入 Fortify manager查看分析报告和与风险管理。For example: use vc6.0 dsw/dsp file to scan the project. go to projectname.dsw/dsp directory: 1sourceanalyzer -b mytest -c msdev mytest.dsp /MAKE /clean 2sourceanalyzer -b mytest -c msdev mytest.dsp /MAKE /REBUILD 3sourceanalyzer -b mytest -scan -f mytest.fpr you can got the cpptest.fvdl. 方法二: Use VC6.0 makefile 去扫描 Visual Studio 6.0项目这下面是扫描步骤： step1: in makefile,replace all invocationsof cl and link with: sourceanalyzer -b cpptest -c cl sourceanalyzer -b cpptest -c link step2: in command line : nmake -f cpptest.mak clean nmake -f cpptest.mak step3: sourceanalyzer -b cpptest -scan -f cpptest.fvdlyou got the cpptest.fvdl.SCA扫描Visual Studio .Net 2005 /2003项目 1. 安装Fortify SCA企业版：安装Fortify SCA Enterprise Editor windows平台软件压缩包：SCASEE-337-WIN-XP-2000.zip。具体安装要求请参照前面的Fortify SCA Enterprise Editor Windows平台安装指南2.安装Developer Edition for Visual Studio .Net SCASDE-337-VS.NET-2005-WIN-XP-2000.zip或者SCASDE-337-VS.NET-2003-WIN-XP-2000.zip3.把项目导入V/Vs2005开发环境，确保所有的文件都能编译和构建.4.set Sca 的扫描内存。5.扫描项目。可以有两种方式： 方法1： 直接点击V 的Fortify 按钮，就可以分析。 方法二：使用windows commandline: 1. Open Sample1Sample1.sln in Microsoft Visual Studio .NET. 2. Do Build-Build Solution. 3. i got the ex