信息安全技術 代碼安全審計規(guī)范-編制說明

工作簡況任務來源《代碼安全審計規(guī)范》是國家標準化管理委員會2015年下達的信息安全國家標準制定項目。由信息安全共性技術國家工程研究中心主要負責進行規(guī)范的起草，中國科學院信息工程研究所、國家保密科技測評中心、北京信息安全測評中心、中國信息安全測評中心、中國電子技術標準化研究院、公安部第三研究所等單位參與起草。主要工作過程1、2015年7月，組織參與本規(guī)范編寫的相關單位召開項目啟動會，成立規(guī)范編制小組，確立各自分工，進行初步設計，并聽取各協(xié)作單位的相關意見。2、2015年8-9月，根據(jù)任務書的要求，規(guī)范編制小組開展考察調(diào)研和資料搜集工作，研究國內(nèi)外代碼安全相關的材料，研究資料包括國內(nèi)外安全編碼標準，代碼審計相關標準，行業(yè)標準，各大高校研究成果，漏洞庫以及主流產(chǎn)品的規(guī)則庫等各方面。對《C安全編碼標準》，《Java安全編碼標準》，ISO/IEC的標準《Informationtechnology--Programminglanguages,theirenvironmentsandsystemsoftwareinterfaces--Csecurecodingrules》《航天型號軟件C語言安全子集》，CWE（CommonWeaknessEnumeration通用軟件缺陷列表），《OWASP安全編碼規(guī)范快速參考指南》，，《NASA-GB-A301SoftwareQualityAssuranceAuditsGuidebook》，《NASA-GB-8719.13NASASoftwareSafetyGuidebook》，北京郵電大學，西安電子科技大學等科研成果,以及Findbug,Fortify等產(chǎn)品規(guī)則庫進行了重點分析，進行標準漏洞收集整理，形成編制思路。3、2015年9月底，組織編制組專家進行編制思路討論，形成意見匯總處理表。本次會議上主要對標準的定位，應該覆蓋的內(nèi)容，編寫角度等進行了討論。4、2015年10月，整理出源代碼安全審計規(guī)范的框架體系5、2015年11月-2016年1月，按照制定的框架結構，進行分類方法研究，研究了7PK，CWEDevelopmentview，CWEResearchview等分類方法，最后確定審計規(guī)則分類的原則和方法主要參照CWEDevelopmentview。6、2016年2-9月，形成《代碼安全審計規(guī)范》編制組內(nèi)草案初稿V1.0。V1.0版本分C、Java兩個部分，其中融合了CWE、CERT等各方關于C語言和Java源代碼的規(guī)則，剔除了其中通用性較差或不易操作的規(guī)則。7、2016年10月，組織編制組內(nèi)專家進行評審。8、2016年11月-2017年5月，根據(jù)專家意見進行修改，增強審計的描述，增加概述等章節(jié)，形成草案初稿V2.0。9．2017年6月，邀請安全標準專家進行評審。10．2017年7月，根據(jù)專家意見，由于只有一個國標號，因此將標準由C、Java兩部分抽象提煉成一個標準，補充完善了審計指標和審計方法的內(nèi)容；將代碼示例移到附錄中作為補充性資料，形成了草案初稿V3.0。11．2017年8月，根據(jù)專家意見，增加了源代碼安全審計目的、審計時機、審計人員、審計方法以及審計過程等章節(jié)；將原章節(jié)的源代碼安全審計要求改為源代碼安全弱點審計列表，并對弱點的二級分類取消，均衡各審計條款粒度，形成草案V4.0.12.2017年10月，在廈門安標委第二次會議周上，經(jīng)過征求意見、會議討論、最終經(jīng)專家組決定將該標準由草案推進為征求意見稿。編制原則和主要內(nèi)容2.1編制原則本標準的研究與編制工作遵循以下原則：（1）通用性原則對國內(nèi)外知名源代碼安全編碼標準進行總結、歸納，同時參考吸納國內(nèi)外相關領域的先進成果并融入標準，審計規(guī)則范圍覆蓋了編碼階段的常見缺陷。（2）可操作性和實用性原則對于比較抽象的審計規(guī)則，給出了規(guī)范代碼示例和不規(guī)范代碼示例等補充性資料。（3）簡化原則對大量規(guī)則進行篩選提煉，經(jīng)過剔除、替換，保持整體結構合理且維持原意和功能不變。（4）完備性原則融合了國內(nèi)外代碼審計相關標準規(guī)范，以及主流的代碼審計工具審計規(guī)則，保證了審計指標的完備性。2.2主要內(nèi)容《代碼安全審計規(guī)范》主要依據(jù)項目要求，制定了當前較為常用的編程語言源代碼層面的安全審計規(guī)范。本規(guī)范的審計對象是源代碼，描述了審計目的、審計時機、審計人員、審計方法以及審計過程的規(guī)范，并描述了源代碼安全弱點審計列表供審計時參考。文本主體由6個章節(jié)正文組成。第1章、第2章和第3章為標準的固定格式要求，說明《信息安全技術代碼安全審計規(guī)范》標準的使用范圍、引用的其他標準、使用到的術語定義。第4章《源代碼安全審計概述》描述了審計目的、審計時機、審計人員、審計方法。第5章是對源代碼安全審計過程的具體描述。第6章描述了源代碼審計通用弱點檢查列表，供審計過程中參考使用。根據(jù)常見的軟件缺陷分類進行了各小節(jié)的劃分并列出了相關的具體審計指標。附錄A描述了源代碼審計報告的參考內(nèi)容。附錄B中對于部分比較抽象的規(guī)則給出了代碼層面不規(guī)范用法示例和規(guī)范用法示例。最后給出了參考文獻。考慮到計算語言有很多種，我們以典型的結構化語言（C）和面向?qū)ο笳Z言（Java）為規(guī)范示例目標，討論源代碼安全缺陷的常見問題。部分規(guī)則給出了詳細的代碼示例。主要試驗（或驗證）的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效果本標準中審計條款所附的所有的C語言和Java語言代碼示例都在相應環(huán)境下進行了驗證。本標準將為代碼安全審計的服務開展提供技術規(guī)范，將使國內(nèi)軟件代碼安全審計擁有可靠的標準和依據(jù)。同時也將為相關工具的開發(fā)提供規(guī)則需求支持，對于引導國產(chǎn)自主可控代碼安全檢測工具的開發(fā)以及網(wǎng)絡安全審查工作的開展具有重要意義。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況無與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系當前，國內(nèi)一些標準中明確提到需要實施代碼審計：（1）《信息安全等級保護基本要求》標準一級要求“應在軟件安裝之前檢測軟件包中可能存在的惡意代碼”（5.2.4.5）；二級要求“應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門”（6.2.4.5）；三級要求“應委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告”（7.2.4.7）；四級要求“應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道”（8.2.4.5）。（2）GB/T22080-2008《信息技術安全技術信息安全管理體系要求》提出了“防范惡意代碼和移動代碼”，“應用中正確處理”，“技術脆弱性管理”的要求；應用系統(tǒng)必須以相應的控制措施提供相應的功能。（3）IT審計工程為驗證安全功能的實現(xiàn)，必然需要相應的測試結論提供相應的支持：“防范惡意代碼和移動代碼”，“應用中正確處理”，“技術脆弱性管理”等要求均可以利用代碼審查進行控制目標的驗證。（4）支付卡行業(yè)數(shù)據(jù)安全標準PCI明確提出了由獨立于開發(fā)團隊的內(nèi)部組織或第三方專業(yè)機構進行代碼安全審查。綜合而言，上述標準均對代碼審計提出了要求，但目前并沒有具體規(guī)范供參考執(zhí)行，本項目研究的代碼審計標準將會對現(xiàn)有的標準形成較好的補充。重大分歧意見的處理經(jīng)過和依據(jù)詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內(nèi)容）無其他事項說明（1）關于審計結果指標量化判定問題說明：本標準審計目標在于發(fā)現(xiàn)源代碼中存在的弱點而不是漏洞，由于弱點只有在特定應用環(huán)境（某些情況下多個弱點才構成一個漏洞）下才構成漏洞，而且具體危害針對漏洞應用環(huán)境不同而不同，因此量化審計指標不具有實際意義。鑒于這種情況，項目組不給出實際審計結果量化指標。（2）關于適用對象的問題說明：根據(jù)項目合同要求，本標準審計的源代碼對象以C語言和Java語言為主，對其他語言審計可以將此標準做為參考來執(zhí)行。審計對象僅限于源代碼，審計目的是源代碼層面安全弱點問題，不包含軟件開發(fā)生命周期中的其他階段如需求分析、設計、測試、部署、運維管理等安全問題。2017年10月，經(jīng)專家討論，本標準適用對象從僅針對于C語言和Java語言，調(diào)整為不針對特定語言的源代碼安全審計規(guī)范，但參考實例仍以C語言和Java語言為主。（3）關于正確性說明：對標準所列的審計條款，盡可能給出了示例代碼，并在Java或C相應環(huán)境下進行了驗證，但