| 标准编号 | GB/T 34946-2017 (GB/T34946-2017) | | 中文名称 | C#语言源代码漏洞测试规范 | | 英文名称 | Source code vulnerability testing specification for C# | | 行业 | 国家标准 (推荐) | | 中标分类 | L77 | | 字数估计 | 61,664 | | 发布日期 | 2017-11-01 | | 实施日期 | 2018-05-01 | | 标准依据 | 国家标准公告2017年第29号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 34946-2017
(C # language source code vulnerability testing specification)
ICS 35.080
L77
中华人民共和国国家标准
C#语言源代码漏洞测试规范
2017-11-01发布
2018-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 4
5 源代码漏洞测试总则 4
5.1 源代码漏洞测试目的 4
5.2 源代码漏洞测试过程 4
5.3 源代码漏洞测试管理 5
5.4 源代码漏洞测试工具 7
5.5 源代码漏洞测试文档 7
6 源代码漏洞测试内容 7
6.1 源代码漏洞分类 7
6.2 源代码漏洞说明 8
附录A(资料性附录) C#语言源代码漏洞测试案例 50
附录B(资料性附录) C#语言源代码漏洞类别与名称 55
参考文献 57
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本标准起草单位.珠海南方软件网络评测中心、广东省科技基础条件平台中心、中国电子技术标准
化研究院、珠海中慧微电子有限公司、吉林省电子信息产品监督检验研究院、上海端玛计算机科技有限
公司、南京大学、国家应用软件产品质量监督检验中心、珠海市软件行业协会、南昌金庐软件园软件评测
培训有限公司。
本标准主要起草人.侯建华、梁建新、黄兆森、杨尚沅、陆薇、张旸旸、邓人逖、潘宇聪、李璐、倪玉华、
周悦、黄华婕、刘早、辛士界、吴小勇、王丽明、陈振宇、肖枭、杨雪君。
引 言
C#语言是一种面向对象的、运行于.NETFramework之上的高级程序设计语言。它广泛应用于
Windows平台应用软件的开发,是.NET 开发的首选语言。本标准的 C# 语 言 语 法 遵 循
ISO/IEC 23270.2006。众所周知,由于各种人为因素影响,每个软件的源代码都难免会存在漏洞,而软
件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少C#语
言源代码中存在的漏洞,有必要制定针对C#语言程序的源代码漏洞测试规范。
源代码漏洞测试可在开发过程的软件编码活动之后实施,也可在运行和维护过程中实施。
meration),同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进
行说明。
注.本标准漏洞参考了CWE2.9版本,示例代码适用于本标准选择的漏洞说明。
本标准仅针对自动化静态分析工具支持的关键漏洞进行说明,应用本标准开展源代码漏洞测试时
应根据实际需要对漏洞进行裁剪和补充。
C#语言源代码漏洞测试规范
1 范围
本标准规定了C#语言源代码漏洞测试的测试总则和测试内容。
本标准适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的C#语言源代码测
试活动,C#语言的程序设计和编码人员以及源代码漏洞测试工具的设计人员也可参考使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 11457 信息技术 软件工程术语
GB/T 15532-2008 计算机软件测试规范
GB/T 20158-2006 信息技术 软件生存周期过程配置管理(ISO/IEC TR15846.1998,IDT)
3 术语和定义
GB/T 11457界定的以及下列术语和定义适用于本文件。
3.1
访问控制 access control
一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。
[GB/T 25069-2010,定义2.2.1.42]
3.2
攻击 attack
在信息系统中,对系统或信息进行破坏、泄露、更改或使其丧失功能的尝试(包括窃取数据)。
[GB/T 25069-2010,定义2.2.1.58]
3.3
密码分组链接 cipher block chaining
对信息加密时,每一密文块在加密时都依赖于前一密文块的方式。
3.4
密文 ciphertext
利用加密技术,经变换,信息......
|