標(biāo)準(zhǔn)解讀
《GB/T 34944-2017 Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為Java語(yǔ)言編寫的軟件提供一套系統(tǒng)的源代碼安全漏洞檢測(cè)方法。該標(biāo)準(zhǔn)適用于使用Java編程語(yǔ)言開發(fā)的應(yīng)用程序的安全性評(píng)估過程,其主要目的是通過定義一系列的規(guī)則和指導(dǎo)方針來幫助開發(fā)者識(shí)別并修復(fù)潛在的安全漏洞。
標(biāo)準(zhǔn)中詳細(xì)列出了多個(gè)方面的內(nèi)容,包括但不限于術(shù)語(yǔ)與定義、測(cè)試流程、測(cè)試用例設(shè)計(jì)原則以及具體的漏洞類型及其對(duì)應(yīng)的檢測(cè)方法。對(duì)于每種類型的漏洞,標(biāo)準(zhǔn)都給出了詳細(xì)的描述,包括漏洞可能造成的影響、如何利用自動(dòng)化工具或手動(dòng)檢查的方式發(fā)現(xiàn)這些漏洞,并提供了示例代碼以輔助理解。
此外,《GB/T 34944-2017》還強(qiáng)調(diào)了在進(jìn)行源代碼安全測(cè)試時(shí)應(yīng)遵循的最佳實(shí)踐,比如采用多層次的安全策略、確保測(cè)試環(huán)境與生產(chǎn)環(huán)境隔離等。它也提到了一些常見的安全編碼指南,鼓勵(lì)開發(fā)者從一開始就將安全性考慮進(jìn)設(shè)計(jì)之中,而不是作為事后補(bǔ)救措施。
此標(biāo)準(zhǔn)不僅針對(duì)專業(yè)的信息安全人員,同樣適用于所有參與軟件開發(fā)周期的技術(shù)人員,如程序員、架構(gòu)師等,通過對(duì)Java應(yīng)用程序進(jìn)行全面而深入的安全分析,有助于提高整個(gè)軟件生態(tài)系統(tǒng)的健壯性和安全性。
如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。
....
查看全部
- 現(xiàn)行
- 正在執(zhí)行有效
- 2017-11-01 頒布
- 2018-05-01 實(shí)施
下載本文檔
GB/T 34944-2017Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范-免費(fèi)下載試讀頁(yè)文檔簡(jiǎn)介
ICS35080
L77.
中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)
GB/T34944—2017
Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范
SourcecodevulnerabilitytestingspecificationforJava
2017-11-01發(fā)布2018-05-01實(shí)施
中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布
中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
GB/T34944—2017
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術(shù)語(yǔ)和定義
3………………1
縮略語(yǔ)
4……………………4
源代碼漏洞測(cè)試總則
5……………………4
源代碼漏洞測(cè)試目的
5.1………………4
源代碼漏洞測(cè)試過程
5.2………………4
源代碼漏洞測(cè)試管理
5.3………………5
源代碼漏洞測(cè)試工具
5.4………………7
源代碼漏洞測(cè)試文檔
5.5………………7
源代碼漏洞測(cè)試內(nèi)容
6……………………7
源代碼漏洞分類
6.1……………………7
源代碼漏洞說明
6.2……………………8
附錄資料性附錄語(yǔ)言源代碼漏洞測(cè)試案例
A()Java…………………50
附錄資料性附錄語(yǔ)言源代碼漏洞類別與名稱
B()Java………………56
參考文獻(xiàn)
……………………58
GB/T34944—2017
前言
本標(biāo)準(zhǔn)按照給出的規(guī)則起草
GB/T1.1—2009。
請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任
。。
本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口
(SAC/TC28)。
本標(biāo)準(zhǔn)起草單位珠海南方軟件網(wǎng)絡(luò)評(píng)測(cè)中心杭州安恒信息技術(shù)有限公司廈門理工學(xué)院上海端
:、、、
瑪計(jì)算機(jī)科技有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院東信和平科技股份有限公司遠(yuǎn)光軟件股份有限
、、、
公司南京大學(xué)國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心珠海中慧微電子有限公司廣東省科技基礎(chǔ)條件
、、、、
平臺(tái)中心珠海市軟件行業(yè)協(xié)會(huì)南昌金廬軟件園軟件評(píng)測(cè)培訓(xùn)有限公司吉林省電子信息產(chǎn)品監(jiān)督檢
、、、
驗(yàn)研究院
。
本標(biāo)準(zhǔn)主要起草人侯建華黃兆森王忠福范淵楊尚沅鄧人逖梁建新張旸旸李軍李璐
:、、、、、、、、、、
王威黃華婕劉早辛士界陳振宇肖梟崔建峰申煜湘
、、、、、、、。
Ⅰ
GB/T34944—2017
引言
語(yǔ)言是一種面向?qū)ο蟮倪\(yùn)行于虛擬機(jī)之上的高級(jí)程序設(shè)計(jì)語(yǔ)言它廣泛應(yīng)用于各種大
Java、Java。
型信息系統(tǒng)和智能終端應(yīng)用軟件的開發(fā)眾所周知由于各種人為因素影響每個(gè)軟件的源代碼都難免
。,,
會(huì)存在漏洞而軟件信息泄露數(shù)據(jù)或代碼被惡意篡改等安全事件的發(fā)生一般都與源代碼漏洞有關(guān)為
,、。
盡量減少語(yǔ)言源代碼中存在的漏洞有必要制定針對(duì)語(yǔ)言程序的源代碼漏洞測(cè)試規(guī)范
Java,Java。
源代碼漏洞測(cè)試可在開發(fā)過程的軟件編碼活動(dòng)之后實(shí)施也可在運(yùn)行和維護(hù)過程中實(shí)施
,。
本標(biāo)準(zhǔn)的漏洞分類與漏洞說明主要參考了公司發(fā)布的
MITRECWE(CommonWeaknessEnu-
同時(shí)結(jié)合了當(dāng)前行業(yè)主流的自動(dòng)化靜態(tài)分析工具在測(cè)試實(shí)踐中發(fā)現(xiàn)的典型漏洞來確定并進(jìn)
meration),
行說明
。
注本標(biāo)準(zhǔn)漏洞參考了版本示例代碼適用于本標(biāo)準(zhǔn)選擇的漏洞說明
:CWE2.9,。
本標(biāo)準(zhǔn)僅針對(duì)自動(dòng)化靜態(tài)分析工具支持的關(guān)鍵漏洞進(jìn)行說明應(yīng)用本標(biāo)準(zhǔn)開展源代碼漏洞測(cè)試時(shí)
,
應(yīng)根據(jù)實(shí)際需要對(duì)漏洞進(jìn)行裁剪和補(bǔ)充
。
Ⅱ
GB/T34944—2017
Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范
1范圍
本標(biāo)準(zhǔn)規(guī)定了語(yǔ)言源代碼漏洞測(cè)試的測(cè)試總則和測(cè)試內(nèi)容
Java。
本標(biāo)準(zhǔn)適用于開發(fā)方或第三方機(jī)構(gòu)的測(cè)試人員利用自動(dòng)化靜態(tài)分析工具開展的語(yǔ)言源代碼
Java
漏洞測(cè)試活動(dòng)語(yǔ)言的程序設(shè)計(jì)和編碼人員以及源代碼漏洞測(cè)試工具的設(shè)計(jì)人員也可參考使用
,Java。
2規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件
。,()。
信息技術(shù)軟件工程術(shù)語(yǔ)
GB/T11457
計(jì)算機(jī)軟件測(cè)試規(guī)范
GB/T15532—2008
信息技術(shù)軟件生存周期過程配置管理
GB/T20158—2006(ISO/IECTR15846:1998,IDT)
3術(shù)語(yǔ)和定義
界定的以及下列術(shù)語(yǔ)和定義適用于本文件
GB/T11457。
31
.
訪問控制accesscontrol
一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段
。
定義
[GB/T25069—2010,2.2.1.42]
32
.
攻擊attack
在信息系統(tǒng)中對(duì)系統(tǒng)或信息進(jìn)行破壞泄露更改或使其喪失功能的嘗試包括竊取數(shù)據(jù)
,、、()。
定義
[GB/T25069—2010,2.2.1.58]
33
.
密碼分組鏈接cipherblockchaining
溫馨提示
- 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問題。
最新文檔
- 2024年混凝土管樁購(gòu)銷協(xié)議版B版
- 滬科版九年級(jí)數(shù)學(xué)上冊(cè)期末復(fù)習(xí)考點(diǎn) 第24章 圓知識(shí)歸納與題型突破(17類題型清單)
- 2024-2030年中國(guó)塑料中空成型機(jī)市場(chǎng)供需形勢(shì)分析及未來發(fā)展策略研究報(bào)告
- 2024年版土地中介合同(精練)3篇
- 2024全新股東合作協(xié)議書下載:企業(yè)戰(zhàn)略聯(lián)盟與共同投資協(xié)議3篇
- 2024年三輪車維修保養(yǎng)及配件供應(yīng)協(xié)議3篇
- 2024年樁基施工項(xiàng)目合作合同書版B版
- 2025年昆明貨運(yùn)資格證試題答案解析
- 2024年特定借款權(quán)讓渡合同版B版
- 2025年陜西貨運(yùn)從業(yè)資格證考題500道
- 《物流信息技術(shù)與應(yīng)用》期末考試復(fù)習(xí)題庫(kù)(含答案)
- LNG加氣站運(yùn)營(yíng)與維護(hù)方案
- 人教版數(shù)學(xué)六上第四單元《比》全單元教學(xué)設(shè)計(jì)
- 2024年下半年教師資格考試高中思想政治學(xué)科知識(shí)與教學(xué)能力測(cè)試試卷及答案解析
- LY/T 3371-2024草原生態(tài)狀況評(píng)價(jià)技術(shù)規(guī)范
- 2024年中華全國(guó)律師協(xié)會(huì)招聘5人歷年(高頻重點(diǎn)復(fù)習(xí)提升訓(xùn)練)共500題附帶答案詳解
- 供貨能力方案
- 四川2024年四川省公安廳招聘警務(wù)輔助人員186人筆試歷年典型考題及考點(diǎn)附答案解析
- 艾滋病性病的健康教育與行為干預(yù)
- 2023年12月遼寧大連甘井子區(qū)招考聘用社區(qū)工作者50人 筆試歷年典型考題及考點(diǎn)剖析附答案詳解
- 2024事業(yè)單位聘用合同書封面
評(píng)論
0/150
提交評(píng)論