研发云流水线配置中，以下关于Fortify步骤描述不正确的是

在解析这道关于研发云流水线配置中Fortify步骤的描述题目时，我们需要理解Fortify在软件开发安全流程中的作用及其通常的使用时机。Fortify是一款静态应用安全测试（SAST）工具，用于在软件开发生命周期中检测代码中的安全漏洞。

现在来分析每个选项：

A. Fortify步骤必须在上传制品步骤前使用

这个描述是不正确的。Fortify通常用于扫描源代码或构建后的代码（如二进制文件），但不一定需要在上传制品之前使用。制品上传通常发生在构建和测试阶段之后，而Fortify扫描可以在这些阶段中的任何时间点进行，只要代码可用。

B. Fortify步骤一定在构建步骤前使用

这个描述同样是不准确的。虽然Fortify可以扫描源代码，但它也可以扫描构建后的应用程序（如JAR、WAR文件等）。因此，Fortify扫描不一定需要在构建步骤之前进行；它也可以在构建步骤之后进行，特别是当扫描构建后的代码时。

C. Fortify步骤可以在sonar扫描步骤后使用

这个描述是正确的。SonarQube是另一种静态代码分析工具，与Fortify不同，它侧重于代码质量和规范性问题，而不是专门的安全漏洞。在流水线上，不同的静态分析工具（如SonarQube和Fortify）可以按需顺序或并行使用，因此Fortify可以在Sonar扫描之后使用。

D. Fortify步骤适合单独使用流水线完成功能

这个描述也是不准确的。虽然Fortify是一个强大的安全测试工具，但它通常不会单独作为整个流水线的唯一功能。流水线通常包含多个步骤，包括代码获取、构建、测试（包括安全测试如Fortify）、部署等。Fortify只是其中的一部分，用于增强代码的安全性。

综上所述，选项A、B和D中关于Fortify步骤的描述都是不正确的，因为它们对Fortify在流水线中的使用时机和方式存在误解。正确答案是ABD，而C描述了一种合理的使用场景。