ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T39412—2020

信息安全技術(shù)代碼安全審計(jì)規(guī)范

Informationsecuritytechnology—Auditspecificationofcodesecurity

2020-11-19發(fā)布2021-06-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T39412—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

審計(jì)概述

4…………………2

審計(jì)說(shuō)明

4.1……………2

審計(jì)目的

4.2……………2

審計(jì)時(shí)機(jī)

4.3……………2

審計(jì)人員

4.4……………3

審計(jì)方法

4.5……………3

審計(jì)過(guò)程

5…………………3

總體流程

5.1……………3

審計(jì)準(zhǔn)備

5.2……………4

審計(jì)實(shí)施

5.3……………4

審計(jì)報(bào)告

5.4……………5

改進(jìn)跟蹤

5.5……………5

安全功能缺陷審計(jì)

6………………………5

數(shù)據(jù)清洗

6.1……………5

數(shù)據(jù)加密與保護(hù)

6.2……………………8

訪問(wèn)控制

6.3……………9

日志安全

6.4……………11

代碼實(shí)現(xiàn)安全缺陷審計(jì)

7…………………11

面向?qū)ο蟪绦虬踩?/p>

7.1…………………11

并發(fā)程序安全

7.2………………………12

函數(shù)調(diào)用安全

7.3………………………13

異常處理安全

7.4………………………14

指針安全

7.5……………14

代碼生成安全

7.6………………………15

資源使用安全缺陷審計(jì)

8…………………15

資源管理

8.1……………15

內(nèi)存管理

8.2……………16

數(shù)據(jù)庫(kù)使用

8.3…………………………18

文件管理

8.4……………18

網(wǎng)絡(luò)傳輸

8.5……………19

Ⅰ

GB/T39412—2020

環(huán)境安全缺陷審計(jì)

9………………………19

遺留調(diào)試代碼

9.1………………………19

第三方軟件安全可靠

9.2………………19

保護(hù)重要配置信息

9.3…………………20

附錄資料性附錄代碼安全審計(jì)報(bào)告

A()………………21

附錄資料性附錄代碼示例

B()…………22

參考文獻(xiàn)

……………………37

Ⅱ

GB/T39412—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位信息安全共性技術(shù)國(guó)家工程研究中心中國(guó)科學(xué)院信息工程研究所國(guó)家保密科

:、、

技測(cè)評(píng)中心北京信息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院公安部第三

、、、、

研究所國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

、。

本標(biāo)準(zhǔn)主要起草人王彥杰胡建勛徐根煒高振鵬伊鵬達(dá)肖樹(shù)根康蕊霍瑋樸愛(ài)花李豐

:、、、、、、、、、、

何建波劉國(guó)樂(lè)劉海峰趙章界李晨旸王嘉捷辛偉孫彥孫永清郭運(yùn)堯王博吳倩

、、、、、、、、、、、。

Ⅲ

GB/T39412—2020

信息安全技術(shù)代碼安全審計(jì)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了代碼安全的審計(jì)過(guò)程以及安全功能缺陷代碼實(shí)現(xiàn)安全缺陷資源使用安全缺陷環(huán)

、、、

境安全缺陷等典型審計(jì)指標(biāo)及對(duì)應(yīng)的證實(shí)方法

。

本標(biāo)準(zhǔn)適用于指導(dǎo)代碼安全審計(jì)相關(guān)工作

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

程序設(shè)計(jì)語(yǔ)言

GB/T15272—1994C

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

3術(shù)語(yǔ)定義和縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

和界定的以及下列術(shù)語(yǔ)和定義適用于本

GB/T15272—1994、GB/T25069GB/T35273—2020

文件

。

311

..

代碼安全審計(jì)codesecurityaudit

對(duì)代碼進(jìn)行安全分析以發(fā)現(xiàn)代碼安全缺陷或違反代碼安全規(guī)范的動(dòng)作

,。

312

..

安全缺陷securitydefect

代碼中存在的某種破壞軟件安全能力的問(wèn)題