| 标准编号 | GB/T 38674-2020 (GB/T38674-2020) | | 中文名称 | 信息安全技术 应用软件安全编程指南 | | 英文名称 | Information security technology - Guideline on secure coding of application software | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 134,183 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 引用标准 | GB/T 25069-2010 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | 本标准提出了应用软件安全编程的通用框架,从提升软件安全性的角度对应用软件编程过程进行指导。本标准适用于客户端/服务器架构的应用软件开发,其他架构的应用软件开发也可参照使用,并根据其应用环境的特性补充必要的安全防护措施。 | GB/T 38674-2020
(Information Security Technology Application Software Security Programming Guide)
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 应用软件安全编程指南
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 概述 3
5 安全功能实现 4
5.1 数据清洗 4
5.2 数据加密与保护 5
5.3 访问控制 6
5.4 日志安全 8
6 代码实现安全 9
6.1 面向对象程序安全 9
6.2 并发程序安全 10
6.3 函数调用安全 10
6.4 异常处理安全 11
6.5 指针安全 11
6.6 代码生成安全 11
7 资源使用安全 12
7.1 资源管理 12
7.2 内存管理 12
7.3 数据库管理 13
7.4 文件管理 13
7.5 网络传输 14
8 环境安全 15
8.1 第三方软件使用安全 15
8.2 开发环境安全 15
8.3 运行环境安全 16
附录A(资料性附录) 代码示例 17
A.1 概述 17
A.2 安全功能实现 17
A.3 代码实现安全 48
A.4 资源使用安全 98
A.5 环境安全 129
参考文献 131
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:国家计算机网络应急技术处理协调中心、北京邮电大学、北京奇虎测腾安全技术
有限公司、中国电力科学研究院有限公司、上海计算机软件技术开发中心、海通证券股份有限公司、北京
银行股份有限公司、信息安全共性技术国家工程研究中心。
本标准主要起草人:舒敏、王博、吴倩、王文磊、黄元飞、张家旺、林星辰、陈禹、王鹏翩、李燕伟、高强、
杨鹏、陈亮、范乐君、张晓娜、杜薇、夏剑锋、李晔、张淼、徐国爱、郭燕慧、李祺、杨昕雨、王晨宇、葛慧晗、
黄永刚、韩建、章磊、王彦杰、胡建勋、李凌。
信息安全技术 应用软件安全编程指南
1 范围
本标准提出了应用软件安全编程的通用框架,从提升软件安全性的角度对应用软件编程过程进行
指导。
本标准适用于客户端/服务器架构的应用软件开发,其他架构的应用软件开发也可参照使用,并根
据其应用环境的特性补充必要的安全防护措施。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
3 术语和定义、缩略语
3.1 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了
GB/T 25069-2010中的某些术语和定义。
3.1.1
缓冲区溢出 bufferoverflow
向程序的缓冲区写入超出其长度的内容,从而破坏程序堆栈,使程序转而执行其他指令,以获取程
序或系统的控制权。
3.1.2
命令注入 commandinjection
通过应用程序将用户输入的恶意内容拼接到命令中,并提交给后台引擎执行的攻击行为。
3.1.3
用于记录系统操作事件的文件集合。
3.1.4
线程安全 threadsafe
某个函数、函数库在多线程环境中被调用时能够正确地处理多个线程之间的共享变量,使程序功能
正确执行的能力。
3.1.5
多个线......
|