版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
工作簡(jiǎn)況任務(wù)來(lái)源《代碼安全審計(jì)規(guī)范》是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2015年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。由信息安全共性技術(shù)國(guó)家工程研究中心主要負(fù)責(zé)進(jìn)行規(guī)范的起草,中國(guó)科學(xué)院信息工程研究所、國(guó)家保密科技測(cè)評(píng)中心、北京信息安全測(cè)評(píng)中心、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第三研究所等單位參與起草。主要工作過(guò)程1、2015年7月,組織參與本規(guī)范編寫的相關(guān)單位召開項(xiàng)目啟動(dòng)會(huì),成立規(guī)范編制小組,確立各自分工,進(jìn)行初步設(shè)計(jì),并聽取各協(xié)作單位的相關(guān)意見。2、2015年8-9月,根據(jù)任務(wù)書的要求,規(guī)范編制小組開展考察調(diào)研和資料搜集工作,研究國(guó)內(nèi)外代碼安全相關(guān)的材料,研究資料包括國(guó)內(nèi)外安全編碼標(biāo)準(zhǔn),代碼審計(jì)相關(guān)標(biāo)準(zhǔn),行業(yè)標(biāo)準(zhǔn),各大高校研究成果,漏洞庫(kù)以及主流產(chǎn)品的規(guī)則庫(kù)等各方面。對(duì)《C安全編碼標(biāo)準(zhǔn)》,《Java安全編碼標(biāo)準(zhǔn)》,ISO/IEC的標(biāo)準(zhǔn)《Informationtechnology--Programminglanguages,theirenvironmentsandsystemsoftwareinterfaces--Csecurecodingrules》《航天型號(hào)軟件C語(yǔ)言安全子集》,CWE(CommonWeaknessEnumeration通用軟件缺陷列表),《OWASP安全編碼規(guī)范快速參考指南》,,《NASA-GB-A301SoftwareQualityAssuranceAuditsGuidebook》,《NASA-GB-8719.13NASASoftwareSafetyGuidebook》,北京郵電大學(xué),西安電子科技大學(xué)等科研成果,以及Findbug,Fortify等產(chǎn)品規(guī)則庫(kù)進(jìn)行了重點(diǎn)分析,進(jìn)行標(biāo)準(zhǔn)漏洞收集整理,形成編制思路。3、2015年9月底,組織編制組專家進(jìn)行編制思路討論,形成意見匯總處理表。本次會(huì)議上主要對(duì)標(biāo)準(zhǔn)的定位,應(yīng)該覆蓋的內(nèi)容,編寫角度等進(jìn)行了討論。4、2015年10月,整理出源代碼安全審計(jì)規(guī)范的框架體系5、2015年11月-2016年1月,按照制定的框架結(jié)構(gòu),進(jìn)行分類方法研究,研究了7PK,CWEDevelopmentview,CWEResearchview等分類方法,最后確定審計(jì)規(guī)則分類的原則和方法主要參照CWEDevelopmentview。6、2016年2-9月,形成《代碼安全審計(jì)規(guī)范》編制組內(nèi)草案初稿V1.0。V1.0版本分C、Java兩個(gè)部分,其中融合了CWE、CERT等各方關(guān)于C語(yǔ)言和Java源代碼的規(guī)則,剔除了其中通用性較差或不易操作的規(guī)則。7、2016年10月,組織編制組內(nèi)專家進(jìn)行評(píng)審。8、2016年11月-2017年5月,根據(jù)專家意見進(jìn)行修改,增強(qiáng)審計(jì)的描述,增加概述等章節(jié),形成草案初稿V2.0。9.2017年6月,邀請(qǐng)安全標(biāo)準(zhǔn)專家進(jìn)行評(píng)審。10.2017年7月,根據(jù)專家意見,由于只有一個(gè)國(guó)標(biāo)號(hào),因此將標(biāo)準(zhǔn)由C、Java兩部分抽象提煉成一個(gè)標(biāo)準(zhǔn),補(bǔ)充完善了審計(jì)指標(biāo)和審計(jì)方法的內(nèi)容;將代碼示例移到附錄中作為補(bǔ)充性資料,形成了草案初稿V3.0。11.2017年8月,根據(jù)專家意見,增加了源代碼安全審計(jì)目的、審計(jì)時(shí)機(jī)、審計(jì)人員、審計(jì)方法以及審計(jì)過(guò)程等章節(jié);將原章節(jié)的源代碼安全審計(jì)要求改為源代碼安全弱點(diǎn)審計(jì)列表,并對(duì)弱點(diǎn)的二級(jí)分類取消,均衡各審計(jì)條款粒度,形成草案V4.0.12.2017年10月,在廈門安標(biāo)委第二次會(huì)議周上,經(jīng)過(guò)征求意見、會(huì)議討論、最終經(jīng)專家組決定將該標(biāo)準(zhǔn)由草案推進(jìn)為征求意見稿。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則:(1)通用性原則對(duì)國(guó)內(nèi)外知名源代碼安全編碼標(biāo)準(zhǔn)進(jìn)行總結(jié)、歸納,同時(shí)參考吸納國(guó)內(nèi)外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn),審計(jì)規(guī)則范圍覆蓋了編碼階段的常見缺陷。(2)可操作性和實(shí)用性原則對(duì)于比較抽象的審計(jì)規(guī)則,給出了規(guī)范代碼示例和不規(guī)范代碼示例等補(bǔ)充性資料。(3)簡(jiǎn)化原則對(duì)大量規(guī)則進(jìn)行篩選提煉,經(jīng)過(guò)剔除、替換,保持整體結(jié)構(gòu)合理且維持原意和功能不變。(4)完備性原則融合了國(guó)內(nèi)外代碼審計(jì)相關(guān)標(biāo)準(zhǔn)規(guī)范,以及主流的代碼審計(jì)工具審計(jì)規(guī)則,保證了審計(jì)指標(biāo)的完備性。2.2主要內(nèi)容《代碼安全審計(jì)規(guī)范》主要依據(jù)項(xiàng)目要求,制定了當(dāng)前較為常用的編程語(yǔ)言源代碼層面的安全審計(jì)規(guī)范。本規(guī)范的審計(jì)對(duì)象是源代碼,描述了審計(jì)目的、審計(jì)時(shí)機(jī)、審計(jì)人員、審計(jì)方法以及審計(jì)過(guò)程的規(guī)范,并描述了源代碼安全弱點(diǎn)審計(jì)列表供審計(jì)時(shí)參考。文本主體由6個(gè)章節(jié)正文組成。第1章、第2章和第3章為標(biāo)準(zhǔn)的固定格式要求,說(shuō)明《信息安全技術(shù)代碼安全審計(jì)規(guī)范》標(biāo)準(zhǔn)的使用范圍、引用的其他標(biāo)準(zhǔn)、使用到的術(shù)語(yǔ)定義。第4章《源代碼安全審計(jì)概述》描述了審計(jì)目的、審計(jì)時(shí)機(jī)、審計(jì)人員、審計(jì)方法。第5章是對(duì)源代碼安全審計(jì)過(guò)程的具體描述。第6章描述了源代碼審計(jì)通用弱點(diǎn)檢查列表,供審計(jì)過(guò)程中參考使用。根據(jù)常見的軟件缺陷分類進(jìn)行了各小節(jié)的劃分并列出了相關(guān)的具體審計(jì)指標(biāo)。附錄A描述了源代碼審計(jì)報(bào)告的參考內(nèi)容。附錄B中對(duì)于部分比較抽象的規(guī)則給出了代碼層面不規(guī)范用法示例和規(guī)范用法示例。最后給出了參考文獻(xiàn)??紤]到計(jì)算語(yǔ)言有很多種,我們以典型的結(jié)構(gòu)化語(yǔ)言(C)和面向?qū)ο笳Z(yǔ)言(Java)為規(guī)范示例目標(biāo),討論源代碼安全缺陷的常見問(wèn)題。部分規(guī)則給出了詳細(xì)的代碼示例。主要試驗(yàn)(或驗(yàn)證)的分析、綜述報(bào)告,技術(shù)經(jīng)濟(jì)論證,預(yù)期的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)中審計(jì)條款所附的所有的C語(yǔ)言和Java語(yǔ)言代碼示例都在相應(yīng)環(huán)境下進(jìn)行了驗(yàn)證。本標(biāo)準(zhǔn)將為代碼安全審計(jì)的服務(wù)開展提供技術(shù)規(guī)范,將使國(guó)內(nèi)軟件代碼安全審計(jì)擁有可靠的標(biāo)準(zhǔn)和依據(jù)。同時(shí)也將為相關(guān)工具的開發(fā)提供規(guī)則需求支持,對(duì)于引導(dǎo)國(guó)產(chǎn)自主可控代碼安全檢測(cè)工具的開發(fā)以及網(wǎng)絡(luò)安全審查工作的開展具有重要意義。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度,以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況,或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況無(wú)與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系當(dāng)前,國(guó)內(nèi)一些標(biāo)準(zhǔn)中明確提到需要實(shí)施代碼審計(jì):(1)《信息安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)一級(jí)要求“應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼”(5.2.4.5);二級(jí)要求“應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門”(6.2.4.5);三級(jí)要求“應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試,并出具安全性測(cè)試報(bào)告”(7.2.4.7);四級(jí)要求“應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道”(8.2.4.5)。(2)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》提出了“防范惡意代碼和移動(dòng)代碼”,“應(yīng)用中正確處理”,“技術(shù)脆弱性管理”的要求;應(yīng)用系統(tǒng)必須以相應(yīng)的控制措施提供相應(yīng)的功能。(3)IT審計(jì)工程為驗(yàn)證安全功能的實(shí)現(xiàn),必然需要相應(yīng)的測(cè)試結(jié)論提供相應(yīng)的支持:“防范惡意代碼和移動(dòng)代碼”,“應(yīng)用中正確處理”,“技術(shù)脆弱性管理”等要求均可以利用代碼審查進(jìn)行控制目標(biāo)的驗(yàn)證。(4)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI明確提出了由獨(dú)立于開發(fā)團(tuán)隊(duì)的內(nèi)部組織或第三方專業(yè)機(jī)構(gòu)進(jìn)行代碼安全審查。綜合而言,上述標(biāo)準(zhǔn)均對(duì)代碼審計(jì)提出了要求,但目前并沒(méi)有具體規(guī)范供參考執(zhí)行,本項(xiàng)目研究的代碼審計(jì)標(biāo)準(zhǔn)將會(huì)對(duì)現(xiàn)有的標(biāo)準(zhǔn)形成較好的補(bǔ)充。重大分歧意見的處理經(jīng)過(guò)和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議(包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容)無(wú)其他事項(xiàng)說(shuō)明(1)關(guān)于審計(jì)結(jié)果指標(biāo)量化判定問(wèn)題說(shuō)明:本標(biāo)準(zhǔn)審計(jì)目標(biāo)在于發(fā)現(xiàn)源代碼中存在的弱點(diǎn)而不是漏洞,由于弱點(diǎn)只有在特定應(yīng)用環(huán)境(某些情況下多個(gè)弱點(diǎn)才構(gòu)成一個(gè)漏洞)下才構(gòu)成漏洞,而且具體危害針對(duì)漏洞應(yīng)用環(huán)境不同而不同,因此量化審計(jì)指標(biāo)不具有實(shí)際意義。鑒于這種情況,項(xiàng)目組不給出實(shí)際審計(jì)結(jié)果量化指標(biāo)。(2)關(guān)于適用對(duì)象的問(wèn)題說(shuō)明:根據(jù)項(xiàng)目合同要求,本標(biāo)準(zhǔn)審計(jì)的源代碼對(duì)象以C語(yǔ)言和Java語(yǔ)言為主,對(duì)其他語(yǔ)言審計(jì)可以將此標(biāo)準(zhǔn)做為參考來(lái)執(zhí)行。審計(jì)對(duì)象僅限于源代碼,審計(jì)目的是源代碼層面安全弱點(diǎn)問(wèn)題,不包含軟件開發(fā)生命周期中的其他階段如需求分析、設(shè)計(jì)、測(cè)試、部署、運(yùn)維管理等安全問(wèn)題。2017年10月,經(jīng)專家討論,本標(biāo)準(zhǔn)適用對(duì)象從僅針對(duì)于C語(yǔ)言和Java語(yǔ)言,調(diào)整為不針對(duì)特定語(yǔ)言的源代碼安全審計(jì)規(guī)范,但參考實(shí)例仍以C語(yǔ)言和Java語(yǔ)言為主。(3)關(guān)于正確性說(shuō)明:對(duì)標(biāo)準(zhǔn)所列的審計(jì)條款,盡可能給出了示例代碼,并在Java或C相應(yīng)環(huán)境下進(jìn)行了驗(yàn)證,但
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國(guó)核材料資金申請(qǐng)報(bào)告
- 2024-2030年中國(guó)柴油機(jī)消防泵組項(xiàng)目可行性研究報(bào)告
- 2024-2030年中國(guó)果糖行業(yè)市場(chǎng)競(jìng)爭(zhēng)力策略及投資盈利預(yù)測(cè)報(bào)告版
- 2024-2030年中國(guó)村鎮(zhèn)銀行市場(chǎng)前景調(diào)研及發(fā)展模式分析報(bào)告
- 2024-2030年中國(guó)旅游文化書籍項(xiàng)目可行性研究報(bào)告
- 幼兒園防溺水安全演習(xí)方案
- 化療藥物配置的規(guī)范流程
- 體育教師個(gè)人成長(zhǎng)計(jì)劃
- 家庭聚會(huì)餐飲配送工作方案
- 旅游導(dǎo)覽員形象設(shè)計(jì)方案
- 2023年甘肅隴東學(xué)院招聘事業(yè)編制工作人員筆試真題
- 2023年北京語(yǔ)言大學(xué)新編長(zhǎng)聘人員招聘考試真題
- 《雙因素理論視角下L市鄉(xiāng)鎮(zhèn)公務(wù)員激勵(lì)問(wèn)題研究》
- 2024垃圾處理公司與城市的垃圾處理合同
- 語(yǔ)文-重慶市(重慶南開中學(xué))高2025屆高三第三次質(zhì)量檢測(cè)試題和答案
- 安徽省蕪湖市2023-2024學(xué)年高二上學(xué)期期末考試 生物 含解析
- 更換窗戶施工方案
- 酒店銷售部部門培訓(xùn)
- 管道保溫施工方案
- 工藝工程師招聘筆試題與參考答案(某大型集團(tuán)公司)
- 智慧樹知到人工智能基礎(chǔ)章節(jié)測(cè)試答案
評(píng)論
0/150
提交評(píng)論