標(biāo)準(zhǔn)解讀

《GB/T 39412-2020 信息安全技術(shù) 代碼安全審計規(guī)范》是中國國家標(biāo)準(zhǔn)之一,旨在提供一套指導(dǎo)性文件,幫助組織和個人在軟件開發(fā)過程中實施有效的代碼安全審計。該標(biāo)準(zhǔn)詳細規(guī)定了代碼安全審計的基本原則、流程以及具體的操作指南。

根據(jù)此標(biāo)準(zhǔn),代碼安全審計應(yīng)遵循一定的基本原則,包括但不限于完整性、準(zhǔn)確性、可追溯性和保密性等,確保整個審計過程既全面又細致,同時保護被審計對象的信息不外泄。

在流程方面,《GB/T 39412-2020》建議了一個完整的代碼安全審計生命周期管理框架,涵蓋了從準(zhǔn)備階段到執(zhí)行審計再到報告編寫和后續(xù)跟進的全過程。準(zhǔn)備階段主要包括確定審計目標(biāo)、范圍及計劃;執(zhí)行階段則涉及到使用自動化工具與人工審查相結(jié)合的方法對源代碼進行深入分析,識別潛在的安全漏洞或不符合項;報告階段需要將發(fā)現(xiàn)的問題整理成文檔,并提出相應(yīng)的改進建議;最后,在跟進階段跟蹤問題解決情況,直至所有已知風(fēng)險得到有效控制為止。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-11-19 頒布
  • 2021-06-01 實施
?正版授權(quán)
GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范_第1頁
GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范_第2頁
GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范_第3頁
GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范_第4頁
GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范_第5頁
免費預(yù)覽已結(jié)束,剩余39頁可下載查看

下載本文檔

GB/T 39412-2020信息安全技術(shù)代碼安全審計規(guī)范-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T39412—2020

信息安全技術(shù)代碼安全審計規(guī)范

Informationsecuritytechnology—Auditspecificationofcodesecurity

2020-11-19發(fā)布2021-06-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T39412—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………2

審計概述

4…………………2

審計說明

4.1……………2

審計目的

4.2……………2

審計時機

4.3……………2

審計人員

4.4……………3

審計方法

4.5……………3

審計過程

5…………………3

總體流程

5.1……………3

審計準(zhǔn)備

5.2……………4

審計實施

5.3……………4

審計報告

5.4……………5

改進跟蹤

5.5……………5

安全功能缺陷審計

6………………………5

數(shù)據(jù)清洗

6.1……………5

數(shù)據(jù)加密與保護

6.2……………………8

訪問控制

6.3……………9

日志安全

6.4……………11

代碼實現(xiàn)安全缺陷審計

7…………………11

面向?qū)ο蟪绦虬踩?/p>

7.1…………………11

并發(fā)程序安全

7.2………………………12

函數(shù)調(diào)用安全

7.3………………………13

異常處理安全

7.4………………………14

指針安全

7.5……………14

代碼生成安全

7.6………………………15

資源使用安全缺陷審計

8…………………15

資源管理

8.1……………15

內(nèi)存管理

8.2……………16

數(shù)據(jù)庫使用

8.3…………………………18

文件管理

8.4……………18

網(wǎng)絡(luò)傳輸

8.5……………19

GB/T39412—2020

環(huán)境安全缺陷審計

9………………………19

遺留調(diào)試代碼

9.1………………………19

第三方軟件安全可靠

9.2………………19

保護重要配置信息

9.3…………………20

附錄資料性附錄代碼安全審計報告

A()………………21

附錄資料性附錄代碼示例

B()…………22

參考文獻

……………………37

GB/T39412—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位信息安全共性技術(shù)國家工程研究中心中國科學(xué)院信息工程研究所國家保密科

:、、

技測評中心北京信息安全測評中心中國信息安全測評中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院公安部第三

、、、、

研究所國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

、。

本標(biāo)準(zhǔn)主要起草人王彥杰胡建勛徐根煒高振鵬伊鵬達肖樹根康蕊霍瑋樸愛花李豐

:、、、、、、、、、、

何建波劉國樂劉海峰趙章界李晨旸王嘉捷辛偉孫彥孫永清郭運堯王博吳倩

、、、、、、、、、、、。

GB/T39412—2020

信息安全技術(shù)代碼安全審計規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了代碼安全的審計過程以及安全功能缺陷代碼實現(xiàn)安全缺陷資源使用安全缺陷環(huán)

、、、

境安全缺陷等典型審計指標(biāo)及對應(yīng)的證實方法

。

本標(biāo)準(zhǔn)適用于指導(dǎo)代碼安全審計相關(guān)工作

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

程序設(shè)計語言

GB/T15272—1994C

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273—2020

3術(shù)語定義和縮略語

31術(shù)語和定義

.

和界定的以及下列術(shù)語和定義適用于本

GB/T15272—1994、GB/T25069GB/T35273—2020

文件

311

..

代碼安全審計codesecurityaudit

對代碼進行安全分析以發(fā)現(xiàn)代碼安全缺陷或違反代碼安全規(guī)范的動作

,。

312

..

安全缺陷securitydefect

代碼中存在的某種破壞軟件安全能力的問題

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論