GB/T 38674-2020信息安全技術(shù)應(yīng)用軟件安全編程指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T38674—2020

信息安全技術(shù)應(yīng)用軟件安全編程指南

Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware

2020-04-28發(fā)布2020-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T38674—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………3

概述

4………………………3

安全功能實(shí)現(xiàn)

5……………4

數(shù)據(jù)清洗

5.1……………4

數(shù)據(jù)加密與保護(hù)

5.2……………………5

訪問(wèn)控制

5.3……………6

日志安全

5.4……………8

代碼實(shí)現(xiàn)安全

6……………9

面向?qū)ο蟪绦虬踩?/p>

6.1…………………9

并發(fā)程序安全

6.2………………………10

函數(shù)調(diào)用安全

6.3………………………10

異常處理安全

6.4………………………11

指針安全

6.5……………11

代碼生成安全

6.6………………………11

資源使用安全

7……………12

資源管理

7.1……………12

內(nèi)存管理

7.2……………12

數(shù)據(jù)庫(kù)管理

7.3…………………………13

文件管理

7.4……………13

網(wǎng)絡(luò)傳輸

7.5……………14

環(huán)境安全

8…………………15

第三方軟件使用安全

8.1………………15

開發(fā)環(huán)境安全

8.2………………………15

運(yùn)行環(huán)境安全

8.3………………………16

附錄資料性附錄代碼示例

A()…………17

概述

A.1………………17

安全功能實(shí)現(xiàn)

A.2……………………17

代碼實(shí)現(xiàn)安全

A.3……………………48

資源使用安全

A.4……………………98

環(huán)境安全

A.5…………………………129

參考文獻(xiàn)

……………………131

GB/T38674—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京郵電大學(xué)北京奇虎測(cè)騰安全技術(shù)

:、、

有限公司中國(guó)電力科學(xué)研究院有限公司上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心海通證券股份有限公司北京

、、、、

銀行股份有限公司信息安全共性技術(shù)國(guó)家工程研究中心

、。

本標(biāo)準(zhǔn)主要起草人舒敏王博吳倩王文磊黃元飛張家旺林星辰陳禹王鵬翩李燕偉高強(qiáng)

:、、、、、、、、、、、

楊鵬陳亮范樂(lè)君張曉娜杜薇夏劍鋒李曄張淼徐國(guó)愛郭燕慧李祺楊昕雨王晨宇葛慧晗

、、、、、、、、、、、、、、

黃永剛韓建章磊王彥杰胡建勛李凌

、、、、、。

Ⅰ

GB/T38674—2020

信息安全技術(shù)應(yīng)用軟件安全編程指南

1范圍

本標(biāo)準(zhǔn)提出了應(yīng)用軟件安全編程的通用框架從提升軟件安全性的角度對(duì)應(yīng)用軟件編程過(guò)程進(jìn)行

,

指導(dǎo)

。

本標(biāo)準(zhǔn)適用于客戶端服務(wù)器架構(gòu)的應(yīng)用軟件開發(fā)其他架構(gòu)的應(yīng)用軟件開發(fā)也可參照使用并根

/,,

據(jù)其應(yīng)用環(huán)境的特性補(bǔ)充必要的安全防護(hù)措施

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

界定的以及下列術(shù)語(yǔ)和定義適用于本文件為了便于使用以下重復(fù)列出了

GB/T25069—2010。,

中的某些術(shù)語(yǔ)和定義

GB/T25069—2010。

311

..

緩沖區(qū)溢出bufferoverflow

向程序的緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容從而破壞程序堆棧使程序轉(zhuǎn)而執(zhí)行其他指令以獲取程

,,,

序或系統(tǒng)的控制權(quán)

。

312

..

命令注入commandinjection

通過(guò)應(yīng)用程序?qū)⒂脩糨斎氲膼阂鈨?nèi)容拼接到命令中并提交給后臺(tái)引擎執(zhí)行的攻擊行為

,。

313

..