在Fortify里说“规则包更新”,本质上更新的是OpenText Application Security Content,也就是Secure Coding Rulepacks和相关元数据。官方文档已经把更新路径分成了两条,一条是直接连规则包更新服务器在线更新,另一条是先把内容下载到本地,再用命令行工具导入。真正遇到更新失败时,问题通常也集中在这两条线上,比如更新源地址改错了、代理没配好、网络读超时、环境本身不能直连外网,或者本来就应该改走离线导入。
一、fortify规则包怎么更新
规则包更新先不要只盯界面按钮,更稳的做法是先确认当前更新链路走的是哪一种。因为Fortify官方已经明确给出两种主路径,一种是从规则包更新服务器直接取最新内容,另一种是通过fortifyupdate导入本地ZIP包。只要先把更新方式定清,后面排查就不会乱。
1、命令行更新先认fortifyupdate
Fortify官方文档说明,fortifyupdate工具位于SAST安装目录下的bin目录,用它既可以直接下载最新安全内容,也可以导入本地副本。日常最常见的在线更新方式,就是在bin目录里直接执行fortifyupdate。
2、离线环境改走本地导入
如果部署环境本身不能连外网,官方明确建议用fortifyupdate的导入方式处理,也就是先拿到本地规则包ZIP,再执行fortifyupdate-import加本地路径。这条路本来就是给不能联网的安装和更新环境准备的,不要强行让内网环境去做在线直连。
3、更新源和代理先用scapostinstall配好
如果你需要改更新地址、代理地址、代理端口或代理认证信息,官方给出的标准入口不是手工乱改,而是先进入安装目录下的bin,再执行scapostinstall,进入Settings里的Fortify Update配置。这里可以设置规则包更新地址,也可以补代理主机、端口、用户名和密码。
4、默认更新地址不要随便改
官方文档明确写到,默认的规则包更新地址是update.fortify.com。对SAST侧来说,这个地址本身就是标准更新源;对SSC侧来说,官方还特别提醒,不要改Rulepack Update URL的默认值,除非技术支持明确要求你这样做。也就是说,很多“更新失败”并不是源站有问题,而是更新地址被人改偏了。
5、用SSC管理规则包时走管理页
如果你管的是Application Security这一侧的规则包,而不是本地SAST安装目录里的内容,官方文档给出的标准路径是登录后进入Administration,再到Metrics and Tracking下的Rulepacks页面,点击Update from Server完成更新。这条路更适合集中管理平台里的规则包版本。
二、fortify规则包在线更新失败怎么排查
在线更新失败时,不要一上来就反复点重试。更稳的顺序是先查更新地址,再查代理和网络,再查超时设置,最后才决定是否切换成离线导入。因为官方文档把这几个点都单独列出来了,说明它们本来就是高频故障入口。
1、先查更新地址是不是还在默认值
如果规则包更新地址不是默认的update.fortify.com,先确认是不是有人手工改过。尤其是在SSC里,官方明确提醒不要改默认Rulepack Update URL,除非技术支持要求。很多在线更新失败,根子就在这里。
2、再查代理是不是没配或配错
官方文档明确说明,如果访问更新服务器需要代理,就必须在Fortify Update配置里补代理主机、端口,以及必要时的用户名和密码。SSC这边也明确建议,如果组织访问外部资源依赖代理,就应该给Rulepack updates配好代理。也就是说,能上网不等于规则包更新一定能通,走代理的环境更要先核这一层。
3、读超时时先查等待时间
Fortify官方文档写得很直接,fortifyupdate的默认读超时是180秒。如果网络慢、代理链路长,或者内容下载本身较大,这个时间可能不够。官方给出的处理办法是,在server.properties里增加rulepackupdate.SocketReadTimeoutSeconds来延长等待时间。
4、原来走代理现在不需要时把旧代理清掉
这一步也很容易被忽略。官方新版本文档已经给出移除旧代理设置的路径,同样是进入bin目录运行scapostinstall,再进入Settings里的Fortify Update进行清理。也就是说,如果环境已经变成直连,但系统里还留着旧代理配置,更新也可能照样失败。
5、外网本来就不通时直接改走离线导入
如果服务器所在环境根本不能访问互联网,或者网络策略短期内改不了,就不要继续硬排在线更新。官方文档已经明确给出离线路径,也就是先把安全内容下载到本地,再用fortifyupdate-import导入。对这类环境来说,这通常比反复折腾代理和直连更稳。
三、fortify规则包更新与故障排查怎么收口
fortify规则包更新与故障排查怎么收口,关键不是单次把更新跑通,而是把更新方式、更新源、代理策略和备用导入路径固定下来。官方文档已经把fortifyupdate、scapostinstall、默认更新服务器、代理配置、超时调整和离线导入这些动作分开写清,这本身就说明最稳的做法不是临时救火,而是先把规则定住。
1、先固定一条标准更新路径
能直连外网的环境,就统一用fortifyupdate在线更新或SSC的Update from Server;不能直连的环境,就统一改走本地导入。路径固定下来以后,后面排查才不会每次都从头猜。
2、再固定更新源和代理口径
更新地址尽量保持默认值,代理要么完整配置,要么彻底移除,不要让一半环境走旧代理,一半环境走新代理。这样做的好处是,故障一旦出现,排查范围会小很多。
3、最后把超时和离线方案都预留好
如果你们的网络环境波动较大,最好提前把读超时调整口径和离线导入方案都准备好。这样在线更新一旦不稳定,不需要再临时找替代路径,直接切过去就行。
总结
fortify规则包怎么更新,核心就是先分清在线更新还是离线导入,再分别用fortifyupdate和scapostinstall把更新源、代理和导入路径配清。fortify规则包在线更新失败怎么排查,更实用的顺序则是先查默认更新地址,再查代理和网络,再查180秒读超时,最后确认是否该直接改走本地导入。把更新方式、更新地址、代理设置和备用方案一起收住,后面的规则包维护通常会稳定很多。
