Fortify网上银行投资产品创新项目使用手册.docVIP

中国建设银行 网上银行投资产品创新项目 Fortify使用手册 总行信息技术管理部 广州开发中心 2008年6月 修改记录 编号 日期 描述 版本 作者 审核 发布日期 200 网银投资产品创新项目文档 1.1 廖敏飞、羌雪 本文档中所包含的信息属于机密信息，如无中国建设银行的书面许可，任何人都无权复制或利用。 ?Copy Right 2008 by China Construction Bank 目 录 TOC \o 1-3 \h \z 1、引言 4 1.1目的 4 1.2背景 4 1.3定义 4 1.4环境说明 5 1.5提醒注意 5 1.6相关要求 5 ２、安装Fortify 6 2.1　进入Fortify安装目录 6 2.2　输入LICENSE KEY: BAHODPERE9I9 6 2.3 选择ALL Users 7 2.4 下面选项全部选中 8 2.5选择No选项 9 ３、使用Fortify 9 3.1进入源码目录执行SCAcommandlineScan.bat 9 3.2 SCAcommandlineScan.bat的内容 9 ４、结果查询 10 5、可能的问题 11 6、结果分析 12 6.1　Race Condition 12 6.2　SQL Injection 12 6.3　Cross-Site Scripting 13 6.4　System Information Leak 14 6.5　HTTP Response Splitting 14 1、引言 1.1目的 提高中心项目软件安全意识 转达总行关于软件安全编码及测试的相关要求 了解、学习fortify SCA的使用 1.2背景 网银投资产品创新项目文档。 1.3定义 Fortify Source Code Analysis Suite是美国Fortify Software为软件开发企业提供的软件源代码安全漏洞扫描、分析和管理的工具。使用该工具能弥补软件开发人员、安全人员和管理人员在源代码方面的安全知识不足，加速代码安全审计和方便软件安全风险的管理。 Fortify Source Code Analysis Engine(源代码安全分析引擎) Fortify Secure Code rules（软件安全代码规则集） Fortify Audit Workbench （安全审计工作台） Fortify Rules Builder(安全代码规则构建器） Fortify Source Code Analysis Suite plug in（Fortify SCA IDE集成开发插件) Fortify Manager（软件安全管理器） 1.4环境说明 （１）硬件要求： CPU =1G 　　　　　　　　RAM=1G CDROM/DVD 光驱。 （２）软件要求:Java JDK 1.4.2/1.5 Eclipse3.x Java IDE开发环境。 1.5提醒注意 （１）每个项目指定安全测试工作负责人； （２）每个项目均安装软件，注意license必威体育官网网址； （３）安全检测必须提前进行，预留源码修改时间； （４）检测结果分析及代码需如何修改，可参考《软件代码安全编写指南》； （５）中心每季度分析汇总项目软件检测情况并上报总行。 1.6相关要求 （１）上线项目必须先进行软件代码安全测试； （２）软件代码安全检测必须提前进行； （３）测试结果中高危隐患数须为0，若实在不能消除高危隐患，需进行分析说明； （４）测试报告及审批表须提交项目实施管理处审批； （５）以电子邮件形式，发PIO、项目安全处，提交； （６）软件代码安全检测报告（选择.pdf格式）； （７）软件代码安全检测上线审批表（注意编号）； ２、安装Fortify 2.1　进入Fortify安装目录 （１）进入SCASEE-4[1].5.0.0337-WIN-XP-2000\SCASEE-337-WIN-XP-2000目录； （２）运行install.exe 2.2　输入LICENSE KEY: BAHODPERE9I9 2.3 选择ALL Users 2.4 下面选项全部选中 2.5选择No选项 完成软件安装。 ３、使用Fortify 3.1进入源码目录执行SCAcommandlineScan.bat 3.2 SCAcommandlineScan.bat的内容 ·sourceanalyzer -Xmx600M -b webgoat -clean ·sourceanalyzer -Xmx600M -b webgoat -debug -log -en