路径: 主页 > GB/T > 第208页 > GB/T 39412-2020 | 标准编号 | GB/T 39412-2020 (GB/T39412-2020) | | 中文名称 | 信息安全技术 代码安全审计规范 | | 英文名称 | Information security technology. Audit specification of code security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 41,411 | | 发布日期 | 2020-11-19 | | 实施日期 | 2021-06-01 | | 引用标准 | GB/T 15272-1994; GB/T 25069; GB/T 35273-2020 | | 标准依据 | 国家标准公告2020年第26号 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。本标准适用于指导代码安全审计相关工作。 | GB/T 39412-2020
Information security technology -- Audit specification of code security
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 代码安全审计规范
2020-11-19发布
2021-06-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 2
4 审计概述 2
4.1 审计说明 2
4.2 审计目的 2
4.3 审计时机 2
4.4 审计人员 3
4.5 审计方法 3
5 审计过程 3
5.1 总体流程 3
5.2 审计准备 4
5.3 审计实施 4
5.4 审计报告 5
5.5 改进跟踪 5
6 安全功能缺陷审计 5
6.1 数据清洗 5
6.2 数据加密与保护 8
6.3 访问控制 9
6.4 日志安全 11
7 代码实现安全缺陷审计 11
7.1 面向对象程序安全 11
7.2 并发程序安全 12
7.3 函数调用安全 13
7.4 异常处理安全 14
7.5 指针安全 14
7.6 代码生成安全 15
8 资源使用安全缺陷审计 15
8.1 资源管理 15
8.2 内存管理 16
8.3 数据库使用 18
8.4 文件管理 18
8.5 网络传输 19
9 环境安全缺陷审计 19
9.1 遗留调试代码 19
9.2 第三方软件安全可靠 19
9.3 保护重要配置信息 20
附录A(资料性附录) 代码安全审计报告 21
附录B(资料性附录) 代码示例 22
参考文献 37
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:信息安全共性技术国家工程研究中心、中国科学院信息工程研究所、国家保密科
技测评中心、北京信息安全测评中心、中国信息安全测评中心、中国电子技术标准化研究院、公安部第三
研究所、国家计算机网络应急技术处理协调中心。
本标准主要起草人:王彦杰、胡建勋、徐根炜、高振鹏、伊鹏达、肖树根、康蕊、霍玮、朴爱花、李丰、
何建波、刘国乐、刘海峰、赵章界、李晨旸、王嘉捷、辛伟、孙彦、孙永清、郭运尧、王博、吴倩。
信息安全技术 代码安全审计规范
1 范围
本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环
境安全缺陷等典型审计指标及对应的证实方法。
本标准适用于指导代码安全审计相关工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15272-1994 程序设计语言C
GB/T 25069 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语、定义和缩略语
3.1 术语和定义
GB/T 15272-1994、GB/T 25069和 GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1.1
代码安全审计 codesecurityaudit
对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。
3.1.2
安全缺陷
代码中存在的某种破坏软件安全能力的问题、错误。
3.1.3
跨站脚本攻击
攻击者向 Web页面里面插入恶意HTML代码,当用户浏览该页面时,嵌入到 Web里面的 HTML
代码会被执行,从而达到攻击者的特殊目的。
3.1.4
缓冲区溢出
向程序的缓冲区写入超出其长度......
|