ICS35040

L80.

中華人民共和國國家標準

GB/T39412—2020

信息安全技術代碼安全審計規范

Informationsecuritytechnology—Auditspecificationofcodesecurity

2020-11-19發布2021-06-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T39412—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

審計概述

4…………………2

審計說明

4.1……………2

審計目的

4.2……………2

審計時機

4.3……………2

審計人員

4.4……………3

審計方法

4.5……………3

審計過程

5…………………3

總體流程

5.1……………3

審計準備

5.2……………4

審計實施

5.3……………4

審計報告

5.4……………5

改進跟蹤

5.5……………5

安全功能缺陷審計

6………………………5

數據清洗

6.1……………5

數據加密與保護

6.2……………………8

訪問控制

6.3……………9

日志安全

6.4……………11

代碼實現安全缺陷審計

7…………………11

面向對象程序安全

7.1…………………11

并發程序安全

7.2………………………12

函數調用安全

7.3………………………13

異常處理安全

7.4………………………14

指針安全

7.5……………14

代碼生成安全

7.6………………………15

資源使用安全缺陷審計

8…………………15

資源管理

8.1……………15

內存管理

8.2……………16

數據庫使用

8.3…………………………18

文件管理

8.4……………18

網絡傳輸

8.5……………19

Ⅰ

GB/T39412—2020

環境安全缺陷審計

9………………………19

遺留調試代碼

9.1………………………19

第三方軟件安全可靠

9.2………………19

保護重要配置信息

9.3…………………20

附錄資料性附錄代碼安全審計報告

A()………………21

附錄資料性附錄代碼示例

B()…………22

參考文獻

……………………37

Ⅱ

GB/T39412—2020

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位信息安全共性技術國家工程研究中心中國科學院信息工程研究所國家保密科

:、、

技測評中心北京信息安全測評中心中國信息安全測評中心中國電子技術標準化研究院公安部第三

、、、、

研究所國家計算機網絡應急技術處理協調中心

、。

本標準主要起草人王彥杰胡建勛徐根煒高振鵬伊鵬達肖樹根康蕊霍瑋樸愛花李豐

:、、、、、、、、、、

何建波劉國樂劉海峰趙章界李晨旸王嘉捷辛偉孫彥孫永清郭運堯王博吳倩

、、、、、、、、、、、。

Ⅲ

GB/T39412—2020

信息安全技術代碼安全審計規范

1范圍

本標準規定了代碼安全的審計過程以及安全功能缺陷代碼實現安全缺陷資源使用安全缺陷環

、、、

境安全缺陷等典型審計指標及對應的證實方法

。

本標準適用于指導代碼安全審計相關工作

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

程序設計語言

GB/T15272—1994C

信息安全技術術語

GB/T25069

信息安全技術個人信息安全規范

GB/T35273—2020

3術語定義和縮略語

、

31術語和定義

.

和界定的以及下列術語和定義適用于本

GB/T15272—1994、GB/T25069GB/T35273—2020

文件

。

311

..

代碼安全審計codesecurityaudit

對代碼進行安全分析以發現代碼安全缺陷或違反代碼安全規范的動作

,。

312

..

安全缺陷securitydefect

代碼中存在的某種破壞軟件安全能力的問題