工作簡況任務(wù)來源《代碼安全審計規(guī)范》是國家標(biāo)準(zhǔn)化管理委員會2015年下達(dá)的信息安全國家標(biāo)準(zhǔn)制定項目。由信息安全共性技術(shù)國家工程研究中心主要負(fù)責(zé)進(jìn)行規(guī)范的起草，中國科學(xué)院信息工程研究所、國家保密科技測評中心、北京信息安全測評中心、中國信息安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第三研究所等單位參與起草。主要工作過程1、2015年7月，組織參與本規(guī)范編寫的相關(guān)單位召開項目啟動會，成立規(guī)范編制小組，確立各自分工，進(jìn)行初步設(shè)計，并聽取各協(xié)作單位的相關(guān)意見。2、2015年8-9月，根據(jù)任務(wù)書的要求，規(guī)范編制小組開展考察調(diào)研和資料搜集工作，研究國內(nèi)外代碼安全相關(guān)的材料，研究資料包括國內(nèi)外安全編碼標(biāo)準(zhǔn)，代碼審計相關(guān)標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)，各大高校研究成果，漏洞庫以及主流產(chǎn)品的規(guī)則庫等各方面。對《C安全編碼標(biāo)準(zhǔn)》，《Java安全編碼標(biāo)準(zhǔn)》，ISO/IEC的標(biāo)準(zhǔn)《Informationtechnology--Programminglanguages,theirenvironmentsandsystemsoftwareinterfaces--Csecurecodingrules》《航天型號軟件C語言安全子集》，CWE（CommonWeaknessEnumeration通用軟件缺陷列表），《OWASP安全編碼規(guī)范快速參考指南》，，《NASA-GB-A301SoftwareQualityAssuranceAuditsGuidebook》，《NASA-GB-8719.13NASASoftwareSafetyGuidebook》，北京郵電大學(xué)，西安電子科技大學(xué)等科研成果,以及Findbug,Fortify等產(chǎn)品規(guī)則庫進(jìn)行了重點(diǎn)分析，進(jìn)行標(biāo)準(zhǔn)漏洞收集整理，形成編制思路。3、2015年9月底，組織編制組專家進(jìn)行編制思路討論，形成意見匯總處理表。本次會議上主要對標(biāo)準(zhǔn)的定位，應(yīng)該覆蓋的內(nèi)容，編寫角度等進(jìn)行了討論。4、2015年10月，整理出源代碼安全審計規(guī)范的框架體系5、2015年11月-2016年1月，按照制定的框架結(jié)構(gòu)，進(jìn)行分類方法研究，研究了7PK，CWEDevelopmentview，CWEResearchview等分類方法，最后確定審計規(guī)則分類的原則和方法主要參照CWEDevelopmentview。6、2016年2-9月，形成《代碼安全審計規(guī)范》編制組內(nèi)草案初稿V1.0。V1.0版本分C、Java兩個部分，其中融合了CWE、CERT等各方關(guān)于C語言和Java源代碼的規(guī)則，剔除了其中通用性較差或不易操作的規(guī)則。7、2016年10月，組織編制組內(nèi)專家進(jìn)行評審。8、2016年11月-2017年5月，根據(jù)專家意見進(jìn)行修改，增強(qiáng)審計的描述，增加概述等章節(jié)，形成草案初稿V2.0。9．2017年6月，邀請安全標(biāo)準(zhǔn)專家進(jìn)行評審。10．2017年7月，根據(jù)專家意見，由于只有一個國標(biāo)號，因此將標(biāo)準(zhǔn)由C、Java兩部分抽象提煉成一個標(biāo)準(zhǔn)，補(bǔ)充完善了審計指標(biāo)和審計方法的內(nèi)容；將代碼示例移到附錄中作為補(bǔ)充性資料，形成了草案初稿V3.0。11．2017年8月，根據(jù)專家意見，增加了源代碼安全審計目的、審計時機(jī)、審計人員、審計方法以及審計過程等章節(jié)；將原章節(jié)的源代碼安全審計要求改為源代碼安全弱點(diǎn)審計列表，并對弱點(diǎn)的二級分類取消，均衡各審計條款粒度，形成草案V4.0.12.2017年10月，在廈門安標(biāo)委第二次會議周上，經(jīng)過征求意見、會議討論、最終經(jīng)專家組決定將該標(biāo)準(zhǔn)由草案推進(jìn)為征求意見稿。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：（1）通用性原則對國內(nèi)外知名源代碼安全編碼標(biāo)準(zhǔn)進(jìn)行總結(jié)、歸納，同時參考吸納國內(nèi)外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn)，審計規(guī)則范圍覆蓋了編碼階段的常見缺陷。（2）可操作性和實用性原則對于比較抽象的審計規(guī)則，給出了規(guī)范代碼示例和不規(guī)范代碼示例等補(bǔ)充性資料。（3）簡化原則對大量規(guī)則進(jìn)行篩選提煉，經(jīng)過剔除、替換，保持整體結(jié)構(gòu)合理且維持原意和功能不變。（4）完備性原則融合了國內(nèi)外代碼審計相關(guān)標(biāo)準(zhǔn)規(guī)范，以及主流的代碼審計工具審計規(guī)則，保證了審計指標(biāo)的完備性。2.2主要內(nèi)容《代碼安全審計規(guī)范》主要依據(jù)項目要求，制定了當(dāng)前較為常用的編程語言源代碼層面的安全審計規(guī)范。本規(guī)范的審計對象是源代碼，描述了審計目的、審計時機(jī)、審計人員、審計方法以及審計過程的規(guī)范，并描述了源代碼安全弱點(diǎn)審計列表供審計時參考。文本主體由6個章節(jié)正文組成。第1章、第2章和第3章為標(biāo)準(zhǔn)的固定格式要求，說明《信息安全技術(shù)代碼安全審計規(guī)范》標(biāo)準(zhǔn)的使用范圍、引用的其他標(biāo)準(zhǔn)、使用到的術(shù)語定義。第4章《源代碼安全審計概述》描述了審計目的、審計時機(jī)、審計人員、審計方法。第5章是對源代碼安全審計過程的具體描述。第6章描述了源代碼審計通用弱點(diǎn)檢查列表，供審計過程中參考使用。根據(jù)常見的軟件缺陷分類進(jìn)行了各小節(jié)的劃分并列出了相關(guān)的具體審計指標(biāo)。附錄A描述了源代碼審計報告的參考內(nèi)容。附錄B中對于部分比較抽象的規(guī)則給出了代碼層面不規(guī)范用法示例和規(guī)范用法示例。最后給出了參考文獻(xiàn)。考慮到計算語言有很多種，我們以典型的結(jié)構(gòu)化語言（C）和面向?qū)ο笳Z言（Java）為規(guī)范示例目標(biāo)，討論源代碼安全缺陷的常見問題。部分規(guī)則給出了詳細(xì)的代碼示例。主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)中審計條款所附的所有的C語言和Java語言代碼示例都在相應(yīng)環(huán)境下進(jìn)行了驗證。本標(biāo)準(zhǔn)將為代碼安全審計的服務(wù)開展提供技術(shù)規(guī)范，將使國內(nèi)軟件代碼安全審計擁有可靠的標(biāo)準(zhǔn)和依據(jù)。同時也將為相關(guān)工具的開發(fā)提供規(guī)則需求支持，對于引導(dǎo)國產(chǎn)自主可控代碼安全檢測工具的開發(fā)以及網(wǎng)絡(luò)安全審查工作的開展具有重要意義。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況無與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系當(dāng)前，國內(nèi)一些標(biāo)準(zhǔn)中明確提到需要實施代碼審計：（1）《信息安全等級保護(hù)基本要求》標(biāo)準(zhǔn)一級要求“應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼”（5.2.4.5）；二級要求“應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門”（6.2.4.5）；三級要求“應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告”（7.2.4.7）；四級要求“應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道”（8.2.4.5）。（2）GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》提出了“防范惡意代碼和移動代碼”，“應(yīng)用中正確處理”，“技術(shù)脆弱性管理”的要求；應(yīng)用系統(tǒng)必須以相應(yīng)的控制措施提供相應(yīng)的功能。（3）IT審計工程為驗證安全功能的實現(xiàn)，必然需要相應(yīng)的測試結(jié)論提供相應(yīng)的支持：“防范惡意代碼和移動代碼”，“應(yīng)用中正確處理”，“技術(shù)脆弱性管理”等要求均可以利用代碼審查進(jìn)行控制目標(biāo)的驗證。（4）支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI明確提出了由獨(dú)立于開發(fā)團(tuán)隊的內(nèi)部組織或第三方專業(yè)機(jī)構(gòu)進(jìn)行代碼安全審查。綜合而言，上述標(biāo)準(zhǔn)均對代碼審計提出了要求，但目前并沒有具體規(guī)范供參考執(zhí)行，本項目研究的代碼審計標(biāo)準(zhǔn)將會對現(xiàn)有的標(biāo)準(zhǔn)形成較好的補(bǔ)充。重大分歧意見的處理經(jīng)過和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）無其他事項說明（1）關(guān)于審計結(jié)果指標(biāo)量化判定問題說明：本標(biāo)準(zhǔn)審計目標(biāo)在于發(fā)現(xiàn)源代碼中存在的弱點(diǎn)而不是漏洞，由于弱點(diǎn)只有在特定應(yīng)用環(huán)境（某些情況下多個弱點(diǎn)才構(gòu)成一個漏洞）下才構(gòu)成漏洞，而且具體危害針對漏洞應(yīng)用環(huán)境不同而不同，因此量化審計指標(biāo)不具有實際意義。鑒于這種情況，項目組不給出實際審計結(jié)果量化指標(biāo)。（2）關(guān)于適用對象的問題說明：根據(jù)項目合同要求，本標(biāo)準(zhǔn)審計的源代碼對象以C語言和Java語言為主，對其他語言審計可以將此標(biāo)準(zhǔn)做為參考來執(zhí)行。審計對象僅限于源代碼，審計目的是源代碼層面安全弱點(diǎn)問題，不包含軟件開發(fā)生命周期中的其他階段如需求分析、設(shè)計、測試、部署、運(yùn)維管理等安全問題。2017年10月，經(jīng)專家討論，本標(biāo)準(zhǔn)適用對象從僅針對于C語言和Java語言，調(diào)整為不針對特定語言的源代碼安全審計規(guī)范，但參考實例仍以C語言和Java語言為主。（3）關(guān)于正確性說明：對標(biāo)準(zhǔn)所列的審計條款，盡可能給出了示例代碼，并在Java或C相應(yīng)環(huán)境下進(jìn)行了驗證，但