搜档网
当前位置:搜档网 › fortify安装使用手册

fortify安装使用手册

fortify安装使用手册
fortify安装使用手册

Fortify SCA

安装使用手册

编号:GRG _YT-RDS-PD-D03_A.0.1

版本:V1.0

发布日期:2011-5-5

文档历史记录文档历史记录

编号与名称版本发布日期创建/修改说明参与人员

版权声明

版权声明

本软件产品(包括所含的任何程序、图像、文档和随附的印刷材料),以及本软件产品的任何副本的产权和著作权,均属广州广电运通金融电子股份有限公司所有。

您不得使用任何工具或任何方式对本软件产品进行反向工程,反向编译。

未经广州广电运通金融电子股份有限公司许可,您不得以任何目的和方式发布本软件产品及任何相关资料的部分或全部,否则您将受到严厉的民事和刑事制裁,并在法律允许的范围内受到最大可能的民事起诉。

目录

目录

文档历史记录..........................................................................................................................................................II 1. 产品说明.. (5)

1.1.特性说明 (5)

1.2.产品更新说明 (5)

2. 安装说明 (6)

2.1.安装所需的文件 (6)

2.2.F ORTIFY SCA支持的系统平台 (6)

2.3.支持的语言 (6)

2.4.F ORTIFY SCA的插件 (7)

2.5.F ORTIFY SCA支持的编译器 (7)

2.6.F ORTIFY SCA在WINDOWS上安装 (8)

2.7.F ORTIFY SCA安装E CLISPE插件 (9)

2.8.F ORTIFY SCA在LINUX上的安装(要有LINUX版本的安装文件) (9)

2.9.F ORTIFY SCA在U NIX上的安装(要有U NIX版本的安装文件) (10)

3. 使用说明 (11)

3.1.F OR TIFY SCA扫描指南 (11)

3.2.分析F OR TITFY SCA扫描的结果 (16)

4.故障修复 (21)

4.1使用日志文件去调试问题 (21)

4.2转换失败的信息 (21)

4.3JSP的转换失败 (21)

4.4C/C++预编译的头文件 (22)

前言

前言

Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。

文档约定

文档约定

本手册使用以下约定,以区分手册中其它部分。

约定表示含义

粗体字“粗体新宋体”:表示截图中的按钮或是选项。如:点击保存按纽

“右箭头”:用在两个或多个词语之间,表示分级,左边的内容是右边的

上一级。

如:文件→打开

●“圆点”:表示同级的并列选项或是属性。

1,2,3“粗体数字”:表示一个过程中步骤。

“警告”:说明需要注意的事项。

“提示”:表示附加的说明性文字。

编写约定

指编写用户手册的规范和注意事项,编写人员在手册完成后应删除该篇约定。

●关于截图

?为使叙述更加明确、简洁,应避免不必要的截图。指可以用语言叙述清楚其操

作方法的界面。如:拉菜单、快捷菜单等可以避免截图。

?图片应尽量精准,不要留白边,和避免出现不相关的图标。如:输入法工具栏

等。

●关于斜体字

表示可变化的名称或是术语,编写手册时应用具体内容替换。

●关于说明

补充说明某一章/节中需描述的内容,提供了供参考的内容细则。手册编写完成后

应删除此部分内容。

●关于示例

具体实例辅助说明某一章/节的内容范围和格式。

手册完成后应删除此部分内容。

●关于分级

下分一级用圆点表示,具体分级设置请参照公司文档编写规范。

1. 产品说明

Fortify SCA(静态代码分析器)是组成Fortify360系列产品之一,SCA工作在开发阶段,以用于分析应用程序的源代码是否存在安全漏洞。它不但能够发现只能在静态情况下才能发现的新的漏洞,而且也能在测试和产品阶段验证已经发现的漏洞。

1.1. 特性说明

Fortify SCA主要的特性和优点如下:

1.业务最完整的静态代码分析器,以最大和最全面的安全编码规则为基础,而且这些规则可以不断地进行更新,以适应新的软件安全漏洞

2.跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言

3.在确认安全漏洞上有十分高的准确性

4.可以精确地定位漏洞产生的全路径,方便开发人员对漏洞进行修复

5.支持多种软件开发平台

1.2. 产品更新说明

名称版本发布日期功能修改说明

Fortify SCA V2.0

2. 安装说明

2.1. 安装所需的文件

1.Fortify SCA的安装文件

2.Fortify license(即安装授权文件)

3.Fortify的规则库文件(可在线下载最新的规则库)

4.要安装插件的IDE (例如eclispe3.2,3.3;VS2003,2005;RAD7;RSD7)2.2. Fortify SCA支持的系统平台

2.3. 支持的语言

2.4. Fortify SCA的插件

2.5. Fortify SCA支持的编译器

2.6. Fortify SCA在windows上安装

1.双击安装包中的Fortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe即可安装

2.选择Fortify提供的授权文件所在路径(即安装包下的fotify_rule文件夹,该文件夹下有fortify.license),点击‘NEXT’按钮

3.选择相应的安装路径,点击‘NEXT’按钮

4.选择相应的组件进行安装,在此处请注意,fortify默认不安装IDE插件,如果需要安装相应的IDE插件,如图所示:在此处我选择了基于eclipse3.x,VS2005的插件(选择安装VS的插件之前,得首先安装VS的IDE),然后点击‘NEXT’按钮

5.再点击‘NEXT’按钮即可完成安装

6.添加相应的规则库,可直接联网下载最新的规则库,或是将安装包下的fotify_rule 文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置

2.7. Fortify SCA安装Eclispe插件

2.8. Fortify SCA在linux上的安装(要有linux版本的安装文件)

2.9. Fortify SCA在Unix上的安装(要有Unix版本的安装文件)

3.使用说明

Fortify SCA扫描方式:

1.IDE插件方式

2.命令行

3.Audit Workbench扫描目录

4.与构建工具集成(ant ,makefile)

5.SCA build monitor(c/c++ windows only)

下面主要是介绍常用的两种扫描方式:IDE插件方式,以及命令行方式

3.1.Fortify SCA 扫描指南

3.1.1Eclipse插件方式扫描

1.1首先你得正确安装fortify sca的插件,具体安装方法见前面所述的安装指南;安装成功后的ide界面如图所示,会有一个图标

1.2导入所要进行源码安全测试的项目,成功导入之后会显示以上界面右边的

Package Expl里面

1.3左键选中该项目,然后点击,就可以进行扫描了;或者是右键点击该

项目,弹出选项菜单,选中Analyze source code of project就可以进

行扫描.

3.1.2Audit Audit Workbench扫描目录

2.1首先在开始菜单->所有程序->Fortify Software->Fortify 360 v2.0->Audit

Workbench,启动Audit Workbench,界面如下

2.2建议采用Advanced Scan,然后选中要扫描的目录,点击确定按钮即可扫描

3.1.3命令行方式扫描

Java 命令行语法

这个主题描述了为Java 翻译源代码的Fortify SCA 命令语法。

基本的Java 命令行语法是:

sourceanalyzer -b -cp

有了Java 代码,Fortify SCA 既可以仿效编译程序(它使得构造结合很方便),也

可以直接接受源

文件(它使命令行扫描更方便)。

注意:有关所有你能使用的带有sourceanalyzer 命令的选项,请查看第33 页的

“命令行选项”。

使Fortify SCA 仿效编译程序,输入:sourceanalyzer -b javac

[]

直接传文件到Fortify SCA,输入:sourceanalyzer -b -cp

[] \|

这里:是传到编译程序的选项。-cp 具体指定

Classpath 来用在Java 源代码中。Classpath 是一个构造目录和jar 文件的列表。

格式和javac 所预期的相同(路径的冒号或独立的分号的列表)。你可以使用Fortify

SCA 文件说明符。-cp "build/classes:lib/*.jar"

注意:如果你没有使用选项来具体指定classpath,CLASSPATH 环境变量将被使

用。

|

文件说明符允许你容易地通过一个长文件列表到Fortify SCA 使用通配符。Fortify

SCA 能识别两种

类型的通配符:'*' 匹配部分文件名,'**' 递归地匹配目录。你可以指定一个或

更多的文件,一个或

更多的文件说明符,或文件和文件说明符的结合。

Java 命令行例子

在classpath 上用j2ee.jar 翻译一个命名为MyServlet.java 的文件,输入:

sourceanalyzer -b MyServlet -cp lib/j2ee.jar MyServlet.java

用lib 目录中所有jar 文件作为classpath 在src 目录中翻译所有的.java 文件:

sourceanalyzer -b MyProject -cp "lib/*.jar" "src/**/*.java"

当运行javac 编译程序时,翻译MyCode.java 文件:

sourceanalyzer -b mybuild javac -classpath libs.jar MyCode.java

J2EE项目转换的简单示例

把项目的所有文件和库都放在一个目录下,运行下面的命令:

. sourceanalyzer -Xmx1000m -b pName -encoding "UTF-8" -cp "**/*.jar"

. sourceanalyzer -Xmx1000m -b pName -appserver weblogic -appserver-verion 9 –appserver-home “d:\bea\webloigc\server\lib”-encoding "UTF-8" -cp "**/*.jar" 翻译JSP 文件

要翻译JSP 文件,Fortify SCA 需要JSP 文件遵循标准的Web Application Archive (WAR) 设计格

式。如果你的源目录已经以WAR 格式组织了,那么你可以直接从源目录中翻译JSP 文件。如果情况

不是这样的,那么你需要展开应用程序并从展开目录中翻译你的JSP 文件。

如果你的JSP 文件使用了任何标签库,例如JSTL,确保库的jar 文件在WEB-INF/lib 目录中。否

则JSP 编译程序将不处理标签库,可能产生错误的结果。

默认地,在翻译程序段期间,Fortify SCA 使用一个Jasper JSP 编译程序的版本来编译JSP 文件到

Java 文件中去。

然而,如果你的web 应用程序是特别为了某个应用程序服务器而开发的,那么当执行翻译时,你必

须为那个应用程序服务器使用JSP 编译程序。

为了支持它,Fortify SCA 提供了以下命令行选项:

?-appserver 支持变量:weblogic/websphere

?-appserver-home

有关Weblogic:到目录的路径包含server/lib 目录

有关WebSphere:到目录的路径包含bin/JspBatchCompiler 脚本

?-appserver-version 支持变量:

Weblogic 版本7 和8

WebSphere 版本6

如果你在使用一个没有被列出来的应用程序服务器,使用默认内部Fortify JSP 编译程序。

例如:sourceanalyzer -b my_buildid -cp "WEB-INF/lib/*.jar" "WEB-INF/**/*.jsp"

使用FindBugs

FindBugs(https://www.sodocs.net/doc/bd12464171.html,) 是一个静态分析工具,它在Java 代码中检测质量问题。你可以和Fortify SCA 一起使用FindBugs,结果会被合并到分析结果文件中。与Fortify SCA 运行在Java 源文件中不同,FindBugs 运行在Java 字节码中。因此,在项目中运行分析之前,你应该首先编译项目产生类文件。

为了示范如何与Fortify SCA 一起自动地运行FindBugs,编译例子代码,Warning.java,如下:

1. 定位到以下目录:

/Samples/advanced/findbugs

2. 输入以下命令并编译例子:

mkdir build

javac -d build Warning.java

3. 用FindBugs 和Fortify SCA 扫描例子,如下:

sourceanalyzer -b findbugs_sample -java-build-dir build Warning.java sourceanalyzer -b findbugs_sample -scan -findbugs -f findbugs_sample.fpr

4. 检查早Fortify Audit Workbench 中的分析结果:

auditworkbench findbugs_sample.fpr

输出包括了以下问题类别:

?Object model violation

?Dead local store

?Equal objects must have equal hashcodes

?Useless self-assignment (2)

?Unwritten field (2)

翻译C/C++ 代码

翻译一个文挡所用的基本命令行语法是:

sourceanalyzer -b []

其中:

? 是在项目创建扫描之时,你想使用的编译器的名字。比gcc 或者是cl。

? 是传递到典型编译文挡的编译器的选项。

C 和C++ 命令行举例

以下是一些简单的可用范例:

使用gcc 编译器,翻译一个名为helloworld.c 的文件,键入:sourceanalyzer -b my_buildid gcc helloworld.c

结合Make

你可以使用以下方法中的其中一项去结合Make 使用Fortify SCA:

?无入侵式的集成

?入侵式的集成(修改一个Makefile 去调用Fortify SCA)

使用无入侵式的集成,运行以下命令:

sourceanalyzer -b make

Fortify SCA 运行make 命令。当make 调用了任意被Fortify SCA 认作为是一个编译器的命令,这个

命令就会被Fortify SCA 处理。注意makefile 不会被修改。

这个构建集成的方法不局限于make。任何一个执行编译器处理的构建命令可以被用到系统里去;只

要拿去运行一个构建的命令来替代以上命令中的'make' 部分。

如果不是已经存在的话,你可能必须为你的构建工具添加一个条目进/

Core/config/fortify-sca.properties。

比如,结合一个名为dobuild 的构建脚本,添加以下到fortify-sca.properties 里去:https://www.sodocs.net/doc/bd12464171.html,pilers.dobuild

=https://www.sodocs.net/doc/bd12464171.html,pilers.TouchlessCompiler

注意: Fortify touchless build adapter 会表现异常,如果:

?构建脚本给编译器调用了一个完整路径,或者如果构建脚本拒绝可执行搜索路径。

?构建脚本没有创建一个新的进程去运行编译器。许多Java 构造工具,包括Ant,都以这种方式运行。

入侵式的集成, 运行以下命令:

修改一个makefile 去调用Fortify SCA,代替任何一个链接,被调用到编译器,文件,或者是

makefile 和Fortify SCA 里。这些工具在makefile 中一个特殊变量中被特别指明,如以下范例所示:

CC=gcc

CXX=g++

AR=ar

这个步骤可以像这些makefile 里提及的的工具、Fortify SCA,和一些适当选项一

样简单。

CC=sourceanalyzer -b mybuild -c gcc

CXX=sourceanalyzer -b mybuild -c g++

AR=sourceanalyzer -b mybuild -c ar

VC6.0项目的转换与分析示例

.sourceanalyzer -b my_buildid –c msdev MyProject.dsp /Make /BUILD

.sourceanalyzer -b my_buildid –scan –f xx.fpr

3.2.分析Fortitfy SCA扫描的结果

1. 审计结果的基本概念

审计:将Fortify SCA 扫描分析出来的结果中的漏洞进行审查,分析,定性,指导

开发人员进行漏洞的修复工作。

Hide/Suppress/Suspicious/Not An Issue四个的不同

Hide: 是将此漏洞不显示出来,在报告中也不显示出来

Suppress:是此漏洞不是问题,可以不用看的

Suspicious: 是审计的一个定性,这个问题有可能是真的,值得怀疑。

Not An Issue: 也是审计的一个定性,说明这一漏洞不是个问题。

2. 首先是将扫描结果导成后缀为fpr文件,然后用Audit WorkBench打开该文件,界面如下所示

3. 验证测试结果的正确性,有效性(包括application,project,build information,analysis information)

4. 将(Group By)分组方式选择为按Category(漏洞种类)分组,这也是最常用的分组方式,然后在下面对相应的漏洞进行定性,审记;所图所示

5. 可以跟踪该漏洞产生的全路径,有两种方式跟踪,建议采用第二种图表方式,比较直观;

Ubuntu下Android源码修改、编译及运行、launcher定制

环境 Linux 版本:Ubuntu 11.04 (可由10.10的版本进行升级)64位系统 GCC版本:gcc version 4.5.2 Java版本:java version "1.6.0_26" 下载android源码前注意: 1、保证Ubuntu系统中的容量在80G左右,以保证足够的空间来存放android源码以及编译后的相关文件。 2、保证Ubuntu系统进行Internet访问。 联网方法:采用拨号进行连接。相关操作步骤如下所示: 1、虚拟机→设置→硬件→网络适配器→网络连接→桥接 2、启动Ubuntu系统,打开终端(在普通用户下),输入相关命令如下: $ pppoeconf //打开后输入上网账号跟密码,确认保存 $ sudo pon dsl-provider //上网连接命令 经过这两个步骤后就可以进行上网了。 Android源码编译所依赖的tools 01.$ sudo apt-get update 02.$ sudo apt-get -y install git-core 03.$ sudo apt-get -y install gnupg 04.$ sudo apt-get -y install sun-java6-jdk flex 05.$ sudo apt-get -y install bison 06.$ sudo apt-get -y install gperf 07.$ sudo apt-get -y install libsdl-dev 08.$ sudo apt-get -y install libesd0-dev 09.$ sudo apt-get -y install libwxgtk2.6-dev 10.$ sudo apt-get -y install build-essential 11.$ sudo apt-get -y install zip 12.$ sudo apt-get -y install curl 13.$ sudo apt-get -y install libncurses5-dev 14.$ sudo apt-get -y install zlib1g-dev 15.$ sudo apt-get -y install valgrind 注意:(如果是32bit的系统的话,则要更改几个Android.mk文件) 01./external/clearsilver/cgi/Android.mk 02./external/clearsilver/java-jni/Android.mk 03./external/clearsilver/util/Android.mk 04./external/clearsilver/cs/Android.mk 用gedit打开,修改m64为m32即可 另外 将build/core/main.mk中的ifneq (64,$(findstring 64,$(build_arch)))修改为: ifneq (i686,$(findstring i686,$(build_arch)))

ubuntu11.04下成功安装ns2-2.34

Ubuntu 11.04 安装 ns2-allinone-2.34【完整版】(附各种问题解决方案) 这真是一个痛苦并快乐到过程,尝试多次安装,最终迎来来伟大的复兴!终于安装成功了!!!++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 经验:先将本文提到的错误在./INSTALL之前全部改正后可减少出错机会 1.首先,修改更新源,原有的更新源无法完成更新。 以下是ubuntu 11.04 教育网的源: sudo gedit /etc/apt/sources.list #网易资源 deb https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty main restricted universe multiverse deb https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-security main restricted universe multiverse deb https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-updates main restricted universe multiverse deb https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-proposed main restricted universe multiverse deb https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-backports main restricted universe multiverse deb-src https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty main restricted universe multiverse deb-src https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-security main restricted universe multiverse deb-src https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-updates main restricted universe multiverse deb-src https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-proposed main restricted universe multiverse deb-src https://www.sodocs.net/doc/bd12464171.html,/ubuntu/ natty-backports main restricted universe multiverse 2、更新Ubuntu系统文件,虽然系统是最新版本的,但是不代表里面的文件都是最新的,需要更新。 使用快捷键Alt + F2,得到程序查找窗口,输入gnome termina,打开Ubuntu的终端,里面依次输入命令 sudo apt-get update sudo apt-get upgrade sudo apt-get dist-upgrade 即可。这里首次采用sudo时,需要用户密码,也就是安装ubuntu时设置的。 3、为了更好的安装ns2,还需要进行一些package的安装,打开终端,输入 sudo apt-get install build-essential sudo apt-get install tcl8.4 tcl8.4-dev tk8.4 tk8.4-dev sudo apt-get install libxmu-dev libxmu-headers 4、在https://www.sodocs.net/doc/bd12464171.html,/projects/nsnam/files/上可以下载到ns-allinone-2.34.tar.gz,(或者在国内CSDN下载:

Fortify SCA验收方法及操作流程

Fortify SCA验收方法及操作流程 本次将要验收的软件源代码安全漏洞检测产品——Fortify SCA,是由美国Fortify公司生产的产品,版本为Fortify 360_V2.1_SCA,产品为正版合格产品,有厂商正版授予的产品使用授权(纸制)。产品的各项功能指标应与《Fortify SCA 产品功能详细说明》中一致,同时应能够满足我方提出的产品功能的各项需求。为了能够顺利地对Fortify SCA进行验收,将验收内容分为如下几个方面: 一、F ortify SCA 产品安装介质验收: 由厂商/代理商提供的Fortify SCA产品的安装介质(光盘)应含如下内容:Fortify360_V2_SCA产品验收清单 1.Fortify 360_V2_SCA安装软件列表验收清单:

2. F ortify 360_V2_SCA产品技术文档: 我方技术人员在检查安装介质(光盘)中内容完全与上表内容一致后,方为验收通过。 二、F ortify SCA 厂商产品使用授权(纸制)验收: 检验是否有Fortify厂商授权我方的产品使用授权书(纸制)。确保我方合法使用Fortify SCA正版产品,方为验收通过。 三、F orify SCA 产品使用License文件验收: 检验并确保厂商/代理商提供的Fortify SCA产品License文件是可用

的,能够正确地驱动Fortify SCA产品正常使用,方为验收通过。 四、F ortify SCA 产品验收测试环境准备: Fortify SCA 产品测试环境需要准备如下内容: 硬件准备: CPU主频>= 1G, 内存>= 2G 硬盘(系统盘可用空间):>=2G 软件准备: 操作系统:Windows, Radhat Liunx, AIX 5.3 ,HP Unix 11 任一皆可。 推荐使用Windows XP 系统。 开发环境:VS2005/2003, VC6.0,Eclipse2.X,Eclipse3.X ,RAD 6 ,WSAD 5 任一皆可。推荐使用Eclipse 3.X 测试项目:任一种Fortify SCA支持的语言开发项目。并保正该项目 在测试机器上编译通过。测试项目在《Fortify SCA 验收 测试用例及指标》中已经提供,请参见。 五、F ortify SCA产品安装验收测试: Fortify SCA产品应能够在其声明支持的操作系统中顺利地进行安装,并能够使用。Fortify SCA产品安装验收应由于我方技术人员在厂商的技术人员的指导下自行完成,方为验收通过。 六、F ortify SCA产品功能指标验收: 我方人员在正确安装好Fortify SCA产品后,再结合《Fortify SCA验收测试用例及指标》一文中所提供的测试用例,对测试用例项目进行正确地测试,测试完成后对《FortifySCA验收测试指标列表》中的每一项进行对照,当每一项目指标都能够满足时,方为Fortify SCA产品功能验收通过。 七、F ortify SCA产品验收结果: 在我方技术人员对以上6个部分验收结果统一确认验收通过时,Fortify SCA产品验收方为通过,验收测试结束。

FortifySCA安装使用手册

Fortify SCA 安装使用手册

目录 1. 产品说明 (5) 1.1.特性说明 (5) 1.2.产品更新说明 (5) 2. 安装说明 (6) 2.1.安装所需的文件 (6) 2.2.F ORTIFY SCA支持的系统平台 (6) 2.3.支持的语言 (6) 2.4.F ORTIFY SCA的插件 (7) 2.5.F ORTIFY SCA支持的编译器 (7) 2.6.F ORTIFY SCA在WINDOWS上安装 (8) 2.7.F ORTIFY SCA安装E CLISPE插件 (9) 2.8.F ORTIFY SCA在LINUX上的安装(要有LINUX版本的安装文件) (9) 2.9.F ORTIFY SCA在U NIX上的安装(要有U NIX版本的安装文件) (10) 3. 使用说明 (11) 3.1.F ORTIFY SCA扫描指南 (11) 3.2.分析F ORTITFY SCA扫描的结果 (16) 4.故障修复 (20) 4.1使用日志文件去调试问题 (20) 4.2转换失败的信息 (20) 如果你的C/C++应用程序能够成功构建,但是当使用F ORTIFY SCA来进行构建的时候却发现一个或者多个“转换失败”的信息,这时你需要编辑 /C ORE/CONFIG/FORTIFY-SCA.PROPERTIES 文件来修改下面的这些行:20 COM.FORTIFY.SCA.CPFE.OPTIONS=--REMOVE_UNNEEDED_ENTITIES --SUPPRESS_VTBL (20) TO (20) COM.FORTIFY.SCA.CPFE.OPTIONS=-W --REMOVE_UNNEEDED_ENTITIES -- (20) SUPPRESS_VTBL (20) 重新执行构建,打印出转换器遇到的错误。如果输出的结果表明了在你的编译器和F ORTIFY 转换器之间存在冲突 (20) 4.3JSP的转换失败 (20) 4.4C/C++预编译的头文件 (21)

三款静态源代码安全检测工具比较

源代码安全要靠谁? 段晨晖2010-03-04 三款静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。 对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法,这种方法仍然带有明显的黑盒测试本身的不足,需要大量的测试用例来进行覆盖,且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术,使用源代码扫描产品对软件进行代码扫描,一方面可以找出潜在的风险,从内对软件进行检测,提高代码的安全性,另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合,可以使得软件的安全性得到很大程度的提高。 源代码分析技术由来已久,Colorado 大学的 Lloyd D. Fosdick 和 Leon J. Osterweil 1976 年的 9 月曾在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software Reliability,其中就提到了数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进,源代码分析的技术也在日趋完善,在不同的细分领域,出现了很多不错的源代码分析产品,如 Klocwork Insight、Rational Software Analyzer 和 Coverity、Parasoft 等公司的产品。而在静态源代码安全分析方面,Fortify 公司和 Ounce Labs 公司的静态代码分析器都是非常不错的产品。对于源代码安全检测领域目前的供应商有很多,这里我们选择其中的三款具有代表性的进行对比,分别是Fortify公司的Fortify SCA,Security Innovation公司的Checkmarx Suite和Armorize 公司的CodeSecure。 2. 工具介绍

Ubuntu下Android源码修改、编译及运行、launcher定制

环境 Linux版本: Ubuntu 11.04(可由 10.10的版本进行升级)64位系统 GCC版本: gcc version 4.5.2 Java版本: java version " 1.6.0_26" 下载android源码前注意: 1、保证Ubuntu系统中的容量在80G左右,以保证足够的空间来存放android源码以及编译后的相关文件。 联网方法: 采用拨号进行连接。相关操作步骤如下所示: 1、虚拟机设置硬件网络适配器网络连接桥接 2、启动Ubuntu系统,打开终端(在普通用户下),输入相关命令如下: $ pppoeconf//打开后输入上网账号跟密码,确认保存 $ sudo pon dsl-provider//上网连接命令

经过这两个步骤后就可以进行上网了。 Android源码编译所依赖的tools 01.$ sudo apt-get update 02.$ sudo apt-get -y install git-core 03.$ sudo apt-get -y install gnupg 04.$ sudo apt-get -y install sun-java6-jdk flex 05.$ sudo apt-get -y install bison 06.$ sudo apt-get -y install gperf 07.$ sudo apt-get -y install libsdl-dev 08.$ sudo apt-get -y install libesd0-dev 09.$ sudo apt-get -y install libwxgtk 2.6-dev 10.$ sudo apt-get -y install build-essential 11.$ sudo apt-get -y install zip 12.$ sudo apt-get -y install curl 13.$ sudo apt-get -y install libncurses5-dev 14.$ sudo apt-get -y install zlib1g-dev 15.$ sudo apt-get -y install valgrind 注意: (如果是32bit的系统的话,则要更改几个Android.mk文件)01./external/clearsilver/cgi/Android.mk

安卓系统源码编译

安卓源码编译 1、编译环境的搭建 操作系统推荐安装64位的ubuntu10.04,其他版本的ubuntu也可以安装,但是可能出现一些莫名其妙的Bug。 系统安装结束之后,还需要安装一些编译源码需要的工具和依赖包。具体内容如下:确认下列软件安装成功并且版本号正确: 1.1 gcc4.4,而不是gcc4.6,如果是4.6,需要安装gcc4.4,命令如下: sudo apt-get install gcc-4.4 sudo apt-get install g++-4.4 cd /usr/bin ls -l gcc* sudo mv gcc gcc.bak sudo ln -s gcc-4.4 gcc ls -l g++* sudo mv g++ g++.bak sudo ln -s g++-4.4 g++ gcc -v g++ -v 1.2 python 2.5-2.7,ubuntu10.04版本,默认的python版本是2.6。 1.3 JDK版本是1.6.0,而不是openJDK, 1.4 安装git sudo apt-get install git-core gnupg 1.5 一些依赖包的安装: Ubuntu系统版本不同,所需要安装的依赖包也不同,具体情况如下所述: u buntu 10.04(64位) $ sudo apt-get install git-core gnupg flex bison gperf build-essential \ zip curl zlib1g-dev libc6-dev lib32ncurses5-dev ia32-libs \ x11proto-core-dev libx11-dev lib32readline5-dev lib32z-dev \ libgl1-mesa-dev g++-multilib mingw32 tofrodos python-markdown \ libxml2-utils xsltproc ubuntu 11.10(64位)

Fortify_SCA_Utilities_Guide_v5.2

Fortify SCA 工具 用户指南 版本 5.1 2008 年 3 月

版权所有 ? 2008 Fortify Software, Inc.3 26, 2008 保留所有权利。美国印刷。 Fortify Software, Inc. 2215 Bridgepointe Pkwy Suite 400 San Mateo, CA 94404 Fortify Software, Inc.(以下简称 "Fortify")和他的授权者保留对此文档(以下简称“文档”)的一切所有权。本文档的使用需遵守相关的版权法。Fortify 保留在不预先通知的情况下随时修改本文档的权利。 本文档在没有任何承诺的情况下按“此版本”提供。对于本文档中发现的任何错误所引起的特殊的、巧合的或间接的损害,包括对其业务、利益、使用或数据等以及其他的任何方面造成的任何损失和意外中断,Fortify 均不对此承担责任。Fortify 保留有在不预先通知的情况下对本文档中所介绍的最终产品的任何功能或组件进行修改和删除的权利。 Fortify 是 Fortify Software, Inc. 的注册商标。 本文档中的品牌和产品名称是其各自所有者的商标。 Fortify SCA 工具用户指南

目录 前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1第 1 章:Fortify 命令行工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3工具概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3预编译 MS Visual Studio ASP 页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4处理 FPR 文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 合并 FPR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 显示 FPR 的结果认证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 从以前的 FPR 版本迁移审计数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 从 FPR 文件中提取 Fortify 源代码存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6将 FPR 文件上传到 Fortify Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7将规则包迁移到项目模板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8使用命令行生成报告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8更新规则包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9将 Fortify SCA 整合到简单的 Build 中 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 SCA 后续安装任务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10将 FPR 文件上传到 Team Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 上传 FPR 文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 下载 FPR 文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 更改 Team Server URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10索引. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Fortify SCA 工具用户指南 i

Windows下NS2的详细安装过程

Windows下NS2的详细安装过程[通信网络]发布时间:2009-07-02 16:07:53 简单的说,NS-2是一个网络模拟器,所以经常被用到网络课的教学中。 NS-2是OpenSource的,最早的版本是在linux/unix下运行的,后来有了windows下用vc编译运行的版本,但从2.26以后就放弃了对vc的支持,所以现在装NS2只有两条路,要么装个linux,要么就在wind ows下装个cygwin,然后再在cygwin上装ns2. 为了一个ns2(完成安装后不过100M)而安装linux(RH9完全安装大概在5G左右)实在不值,所以我决定用cygwin 先去 https://www.sodocs.net/doc/bd12464171.html,/setup.exe 下载setup.exe,运行,得到这个界面: 点下一步,出现这个界面:

选择“Install from Internet”,当然,如果本地已经下载了你所需要的package,也可以选“Install from Loc al Directory” 接下来选择安装位置: 可以自己选择一个目录安装。现在(10/13/05)的cygwin版本跟NTFS完全兼容,所以不用担心,可以放心的把它装在NTFS分区。至于Test File Type,建议最好设成unix,虽然我没试过用dos格式,但是鉴于

OpenSource的软件原本都是linux/unix下的,所以最好还是用unix 继续下一步 选择一个保存package的地方,我们要用到的package大小大概是60M。当然,如果选择的是Install Fr om Local Directory,那么这一步就会变成“指定package所在的位置” 下一步

规则包用户手册

安全编码规则包 用户手册 版本4.5 2007年4月

Copyright ? 2003-2007 Fortify? Software, Inc.7/24/07 All Rights Reserved. Printed in the United States of America. Fortify Software, Inc. 2300 Geng Road, Suite 102 Palo Alto, California 94303 Fortify Software, Inc.(以下简称“Fortify”)和许可证颁布者保留对此文档(以下简称“文档”)的一切所有权。对文档的使用受适当的版权法支配。Fortify可以在没有预 先通知的情况下随时修改该文档。 此文档在没有任何类型保证的情况下按原样被提供。对于从此文档中发现的任何错误所引起直接的、故意的、巧合的或导致严重后果的损害,Fortify决不会对此负责,包括在限制范围之外的任何损失或者对商业\利益、使用或数据造成的麻烦。Fortify可以在没有预先通知的情况下保留对从最终产品得出的此文档中的任何细节和元素进行修改和删除的权利 Fortify是Fortify Software, Inc.的注册商标。 在此文档中商标和产品名称是是他们的各自所有者的商标。. Secure Coding Rulepacks User’s Guide

目录 Preface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Chapter 1: 安全编码规则包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3安全编码规则包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3漏洞分类. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 C/C++相关漏洞分类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 .NET相关漏洞分类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 ColdFusion相关漏洞分类. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Java相关漏洞分类. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 SQL相关漏洞分类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Fortify分类方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 Input Validation and Representation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 API Abuse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Security Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Time and State . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Errors. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Code Quality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Encapsulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Secure Coding Rulepacks User’s Guide iii

相关主题