《GB/T 38674-2020 信息安全技术 应用软件安全编程指南》 学习笔记

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 学习笔记

国标写作格式学习

每个标准基本都有的格式,供写文档的我们参考
定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义,这个非常的赞
结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容 ,自己写文档的时候 也强烈建议 ,满足不同人的查看需求
附件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性 ,如果把国标的所有参考标准,都关联其他,是否能穷尽所有安全标准?
内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如XXX和其他XXX
详细样例: 每种代码漏洞都有详细样例,可作为编写材料举例时使用 ,本国标的特色,不是每个标准都有

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 架构图

软件安全开发指南

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 内容学习

安全功能实现

安全功能实现,更偏向于安全要求或安全设计,与安全设计的checklist比较像,具体内容写的还是比较全,是一个综合以往安全开发规则的大一统版本,在实际工作中比较有参考意义。

比如数据加密,提到了密钥管理内容,这个在大部分文档里面都没有提现
比如口令安全,看了两遍没有想起来,可能遗漏的检查点

代码实现安全

主要介绍开发在编码过程中需要注意的事情,比如面向对象安全、线程安全、函数调用安全、异常处理

资源使用安全

这层主要是说开发所依赖的内容,比如文件、数据库、网络、内存、数据库管理

第三方软件使用安全

从官方下载,打全补丁,正确配置

总结

感觉最有价值的是最后的23页开始的错误代码示例,包括解决的问题及样例代码,这个在很多标准中都很难找到

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 下载

GB/T 38674-2020 信息安全技术 应用软件安全编程指南 下载地址

你可能感兴趣的:(《GB/T 38674-2020 信息安全技术 应用软件安全编程指南》 学习笔记)