信息安全技术 代码安全审计规范

声明

本文是学习GB-T 39412-2020 信息安全技术 代码安全审计规范. 下载地址 http://github5.com/view/789而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

代码安全审计规范 范围

本标准规定了代码安全的审计过程及方法，描述了软件代码安全缺陷的典型审计指标。本标准的审计活动主要对象是代码，主要针对代码层面的安全问题，不包含需求分析、设计、测试、部署配置、运维等方面的安全问题。

本标准适用于执行代码安全审计和相关测试工作。

代码安全审计规范规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范

GB/T 25069 信息安全技术 术语

GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求

GB/T 35273-2017 信息安全技术 个人信息安全规范

代码安全审计规范 术语、定义和缩略语

术语和定义

GB/T 15272、GB/T 25069和GB/T 25056-2010界定的以及下列术语和定义适用于本文件。

代码安全审计 code security audit

一种以发现代码安全缺陷和违反代码安全规范为目标的代码安全性分析。

安全缺陷 security defect

代码中存在的某种破坏软件安全能力的问题、错误。

跨站脚本攻击 cross site script

恶意攻击者向WEB页面里面插入恶意HTML代码，当用户浏览该页面时，嵌入到WEB里面的HTML代码会被执行，从而达到恶意用户的特殊目的。

缓冲区溢出 buffer overflow

当应用程序向为某特定数据结构分配的内存空间边界之外写入数据时，即会发生缓冲区溢出。

线程访问安全 thread access safe

多线程访问时采用了加锁机制，当一个线程访问该类的某个数据时进行保护，其他线程不能进行访问直到该线程读取完其他线程才可使用。

死锁 deadlock

指两个或两个以上的进程在执行过程中，由于竞争资源或者由于彼此通信而造成的一种阻塞的现象，若无外力作用，它们都将无法推进下去。

错误 error

系统运行中出现的非预期问题，可能导致系统崩溃或者暂停运行。

特殊元素 special elements

字节、字符或字的序列, 用于特定表达式或语言中分隔数据的不同部分。如CRLF（回车/换行）被用于MIME消息中作为多个头部之间的分隔符，是特殊元素。

异常 exception

导致程序中断运行的一种指令流。如果不对异常进行正确的处理，则可能导致程序的中断执行。

SQL注入 SQL injection

通过把SQL命令插入到WEB表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

缩略语

下列缩略语适用于本文件。

HTTP 超级文本传输协议（HyperText Transfer Protocol）

SQL 结构化查询语言（Structured Query Language）

延伸阅读

更多内容 可以点击下载 GB-T 39412-2020 信息安全技术 代码安全审计规范. http://github5.com/view/789进一步学习

联系我们

信通院 - 信息无障碍动态 2019年第11期.pdf