標準解讀

《GB/T 38674-2020 信息安全技術(shù) 應(yīng)用軟件安全編程指南》是中國國家標準之一,旨在為應(yīng)用軟件開發(fā)過程中的安全編程提供指導(dǎo)。該標準涵蓋了從設(shè)計到實現(xiàn)階段的安全考慮因素,強調(diào)了在軟件開發(fā)生命周期中應(yīng)遵循的最佳實踐以提高軟件安全性。

標準首先定義了一系列術(shù)語和定義,確保所有讀者對于關(guān)鍵概念有一致的理解。接著,它詳細描述了安全編程的基本原則,包括但不限于最小權(quán)限原則、縱深防御策略以及避免使用不安全的函數(shù)等。這些原則構(gòu)成了整個文檔的基礎(chǔ)框架,指導(dǎo)開發(fā)者如何從源頭上減少潛在的安全漏洞。

針對具體的安全威脅,《GB/T 38674-2020》列舉了幾類常見的攻擊方式(如緩沖區(qū)溢出、SQL注入等),并針對每一種威脅類型提出了相應(yīng)的預(yù)防措施和技術(shù)建議。此外,還特別提到了輸入驗證的重要性,指出正確處理用戶提供的數(shù)據(jù)是防止許多類型攻擊的關(guān)鍵步驟之一。

除了技術(shù)層面的指導(dǎo)外,該標準也強調(diào)了安全管理在整個軟件開發(fā)流程中的作用。它提倡建立一套完善的安全管理體系來支持安全編程活動,比如通過代碼審查、自動化測試等方式持續(xù)監(jiān)控項目的安全狀態(tài),并及時發(fā)現(xiàn)并修復(fù)存在的問題。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-04-28 頒布
  • 2020-11-01 實施
?正版授權(quán)
GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南_第1頁
GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南_第2頁
GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南_第3頁
GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南_第4頁
免費預(yù)覽已結(jié)束,剩余132頁可下載查看

下載本文檔

GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T38674—2020

信息安全技術(shù)應(yīng)用軟件安全編程指南

Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T38674—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………3

概述

4………………………3

安全功能實現(xiàn)

5……………4

數(shù)據(jù)清洗

5.1……………4

數(shù)據(jù)加密與保護

5.2……………………5

訪問控制

5.3……………6

日志安全

5.4……………8

代碼實現(xiàn)安全

6……………9

面向?qū)ο蟪绦虬踩?/p>

6.1…………………9

并發(fā)程序安全

6.2………………………10

函數(shù)調(diào)用安全

6.3………………………10

異常處理安全

6.4………………………11

指針安全

6.5……………11

代碼生成安全

6.6………………………11

資源使用安全

7……………12

資源管理

7.1……………12

內(nèi)存管理

7.2……………12

數(shù)據(jù)庫管理

7.3…………………………13

文件管理

7.4……………13

網(wǎng)絡(luò)傳輸

7.5……………14

環(huán)境安全

8…………………15

第三方軟件使用安全

8.1………………15

開發(fā)環(huán)境安全

8.2………………………15

運行環(huán)境安全

8.3………………………16

附錄資料性附錄代碼示例

A()…………17

概述

A.1………………17

安全功能實現(xiàn)

A.2……………………17

代碼實現(xiàn)安全

A.3……………………48

資源使用安全

A.4……………………98

環(huán)境安全

A.5…………………………129

參考文獻

……………………131

GB/T38674—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京郵電大學北京奇虎測騰安全技術(shù)

:、、

有限公司中國電力科學研究院有限公司上海計算機軟件技術(shù)開發(fā)中心海通證券股份有限公司北京

、、、、

銀行股份有限公司信息安全共性技術(shù)國家工程研究中心

、。

本標準主要起草人舒敏王博吳倩王文磊黃元飛張家旺林星辰陳禹王鵬翩李燕偉高強

:、、、、、、、、、、、

楊鵬陳亮范樂君張曉娜杜薇夏劍鋒李曄張淼徐國愛郭燕慧李祺楊昕雨王晨宇葛慧晗

、、、、、、、、、、、、、、

黃永剛韓建章磊王彥杰胡建勛李凌

、、、、、。

GB/T38674—2020

信息安全技術(shù)應(yīng)用軟件安全編程指南

1范圍

本標準提出了應(yīng)用軟件安全編程的通用框架從提升軟件安全性的角度對應(yīng)用軟件編程過程進行

,

指導(dǎo)

。

本標準適用于客戶端服務(wù)器架構(gòu)的應(yīng)用軟件開發(fā)其他架構(gòu)的應(yīng)用軟件開發(fā)也可參照使用并根

/,,

據(jù)其應(yīng)用環(huán)境的特性補充必要的安全防護措施

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義縮略語

、

31術(shù)語和定義

.

界定的以及下列術(shù)語和定義適用于本文件為了便于使用以下重復(fù)列出了

GB/T25069—2010。,

中的某些術(shù)語和定義

GB/T25069—2010。

311

..

緩沖區(qū)溢出bufferoverflow

向程序的緩沖區(qū)寫入超出其長度的內(nèi)容從而破壞程序堆棧使程序轉(zhuǎn)而執(zhí)行其他指令以獲取程

,,,

序或系統(tǒng)的控制權(quán)

。

312

..

命令注入commandinjection

通過應(yīng)用程序?qū)⒂脩糨斎氲膼阂鈨?nèi)容拼接到命令中并提交給后臺引擎執(zhí)行的攻擊行為

,。

313

..

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論