《GB/T 38674-2020 信息安全技术 应用软件安全编程指南》 学习笔记

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 学习笔记

国标写作格式学习

每个标准基本都有的格式，供写文档的我们参考
定义和术语: 国家标准当中涉及到的相关专业名称，都会有一个定义，防止出现理解上的歧义,这个非常的赞
结构层次: 一般有个当前文档的完整结构，可以是图，可以是表，让没有时间的人，可以快速了解内容 ，自己写文档的时候 也强烈建议 ，满足不同人的查看需求
附件表格: 表格可能是文档必备，制度文档需要落地，都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的，将会提高自身的权威性 ，如果把国标的所有参考标准，都关联其他，是否能穷尽所有安全标准?
内容全面: 写的内容基本上符合内容相关独立，完全穷尽的原则，比如XXX和其他XXX
详细样例: 每种代码漏洞都有详细样例，可作为编写材料举例时使用 ，本国标的特色，不是每个标准都有

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 架构图

软件安全开发指南

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 内容学习

安全功能实现

安全功能实现，更偏向于安全要求或安全设计，与安全设计的checklist比较像，具体内容写的还是比较全，是一个综合以往安全开发规则的大一统版本，在实际工作中比较有参考意义。

比如数据加密，提到了密钥管理内容，这个在大部分文档里面都没有提现
比如口令安全，看了两遍没有想起来，可能遗漏的检查点

代码实现安全

主要介绍开发在编码过程中需要注意的事情，比如面向对象安全、线程安全、函数调用安全、异常处理

资源使用安全

这层主要是说开发所依赖的内容，比如文件、数据库、网络、内存、数据库管理

第三方软件使用安全

从官方下载，打全补丁，正确配置

总结

感觉最有价值的是最后的23页开始的错误代码示例，包括解决的问题及样例代码，这个在很多标准中都很难找到

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 下载

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 下载地址