数控新代系统解锁▉▉▉【一电一 17154833762-】▉▉▉Klocwork是一款静态代码分析和SAST工具，适用于 C、C++、C#、Java、JavaScript、Python和Kotlin，可识别软件安全性、质量和可靠性问题，帮助强制遵守标准。

阅读本文，您将了解Klocwork的设置步骤，助力您实现安全的最佳实践。如需了解更多关于Klocwork的信息，请联系Perforce授权合作伙伴——龙智。

在安装任何基于web的应用程序时，都必须遵循安全最佳实践。本文概述了设置Klocwork的步骤，这是一款静态分析和SAST工具，旨在实现安全操作。Klocwork通常本地部署，并且位于防火墙之后。如有可能在互联网上暴露任何内容，则需采取额外的预防措施。

安全最佳实践与Klocwork概述

Klocwork门户可接收分析结果，用以制作关于合规、趋势和问题细节的总体报告。您登录后可以查看报告、进行问题分类并配置分析设置。此外，Klocwork门户部署在本地或云上，可在裸机、虚拟机或容器中运行。

通过配置Klocwork的开箱即用身份验证和安全设置，可以方便地在测试设置中进行设置并尽快熟悉Klocwork，但在生产环境中使用时，此时门户要处理重要数据，则需要更改其配置。

需配置的关键方面包括：

1. 移至HTTPS (SSL/TSL 设置)
2. 打开选择性端口和路由
3. 验证和SSO

从安全角度而言，以下是Klocwork组件。为简单起见，这些是默认端口号，而所有的端口号都是可配置的。

△ 采用一或两个虚拟机的典型Klocwork服务布局

Klocwork的服务器端组件可以驻留在同一个虚拟机上，或者许可证服务可以运行在单独的虚拟机上。但是必须打开以下三个端口：

1. 许可服务共用 (27000)
2. 许可服务Klocwork守护程序(33133)
3. Klocwork门户 (443)

配置客户端工具时需要使用许可服务公共端口和Klocwork 门户端口。

SSL/TSL

对Klocwork门户和Klocwork客户端工具或浏览器之间的通信进行加密的基本技术有两种：

1. 使用反向代理
2. 为SSL/TSL配置Klocwork门户

使用反向代理通常是IT部门的选择，因为他们熟悉它们的安装和配置，并且效果良好。如果您希望在Linux主机的443端口上部署Klocwork门户，则需要一个反向代理。

配置Klocwork本身作为SSL/TSL (https)服务运行，可以通过以下三个简单的步骤完成：

1. 为运行Klocwork门户的主机向企业签名授权机构索取一个签名的SSL/TSL证书。在等待期间，您可以使用由kwauthconfig生成的未签名证书。
2. 运行kwauthconfig，配置用于https连接的门户。
3. 通知用户使用https，并使用“使用安全连接”和新的端口号更新IDE的Klocwork插件配置。

请求已签名的SSL/TSL证书

下面是生成密钥对和证书签名请求文件(.csr)的openssl命令示例。只有portal.csr文件会发送到签名机构。

openssl genrsa -out portal.key 2048

openssl req -new -key portal.key -out portal.csr

 Country Name (2 letter code) []: US

 State or Province Name (full name) []: Minnesota

 Locality Name (eg, city) []: Minneapolis

 Organization Name (eg, company) []: mycompany Inc.

 Organizational Unit Name (eg, section) []: Defense

 Common Name (eg, your server's hostname) []: klocwork.mycompany.com

 Email Address []: me@mycompany.com

收到的证书文件格式可能不同。它可能包含主机的证书、任何中间证书和签名机构的根证书。如果它只包含主机证书，则需要手动下载中间证书和根证书。需要将私钥与所有这些证书结合起来，形成密钥存储库。

下面是接收到p7b文件时openssl命令的一个示例。

openssl pkcs7 -print_certs -in myhost.p7b -out myhost.cer -inform der
openssl pkcs12 -export -in myhost.cer -inkey portal.key -out
        myhost_keystore.pfx -name tomcat
  Enter Export Password: changeit
  Verifying - Enter Export Password: changeit
openssl pkcs12 -nokeys -info -in myhost_keystore.pfx

密码和名称是Klocwork门户使用的默认值，但您也可以使用其他名称。之后需要手动编辑projects_root/tomcat/conf/server.template文件中的tomcat服务器配置信息。最后一个命令输出用于验证的密钥库内容。

输出文件myhost_keystore.Pfx是pkcs12密钥库，必须拷贝到projects_root/tomcat/conf/.keystore，以便Klocwork门户找到它。

用于LDAP服务器的SSL/TSL连接

当使用SSL/TSL连接到LDAP服务器(即ldaps://…)，这是推荐的做法，服务器的证书必须保存在门户的信任存储(<Klocwork服务器安装>/_jvm/lib/security/cacerts)。Klocwork安装包含了<Klocwork install>/_jvm/bin/keytool实用工具，可用于这个任务。例如：

keytool -import -alias ldaproot -file rootca.cer -keystore cacerts
keytool -import -alias ldapInter -file inter.cer -keystore cacerts
keytool -import -alias ldap -file ldap.cer -keystore cacerts