标准解读
《GB/T 34943-2017 C/C++语言源代码漏洞测试规范》是由中国国家标准化管理委员会发布的一项国家标准,旨在为使用C/C++编程语言开发软件时提供一套系统的源代码安全检测方法。该标准定义了针对C/C++程序中可能出现的安全漏洞进行测试的具体流程和技术要求,包括但不限于缓冲区溢出、格式化字符串漏洞、整数溢出等常见问题。
根据文档内容,其主要组成部分可以分为几个方面:
- 范围:明确了本标准适用的对象及应用场景。
- 术语和定义:对标准中使用的专业词汇给出了明确的解释,帮助读者理解后续章节中的技术描述。
- 测试准备:介绍了在正式开始漏洞测试之前所需完成的各项准备工作,比如确定测试目标、选择合适的测试工具等。
- 测试过程:详细说明了如何实施具体的漏洞检测活动,包括静态分析与动态分析两种方式,并且提供了每种方法的操作步骤指南。
- 结果报告:规定了发现潜在安全问题后应如何记录并呈现这些信息给相关人员或团队,以便于后续修复工作。
- 附录:可能包含一些辅助性的参考资料或者示例,用以进一步阐述某些复杂的概念或技术细节。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2017-11-01 颁布
- 2018-05-01 实施
文档简介
ICS35080
L77.
中华人民共和国国家标准
GB/T34943—2017
C/C++语言源代码漏洞测试规范
SourcecodevulnerabilitytestingspecificationforC/C++
2017-11-01发布2018-05-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T34943—2017
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………3
源代码漏洞测试总则
5……………………4
源代码漏洞测试目的
5.1………………4
源代码漏洞测试过程
5.2………………4
源代码漏洞测试管理
5.3………………5
源代码漏洞测试工具
5.4………………7
源代码漏洞测试文档
5.5………………7
源代码漏洞测试内容
6……………………7
源代码漏洞分类
6.1……………………7
源代码漏洞说明
6.2……………………7
附录资料性附录语言源代码漏洞测试案例
A()C/C++……………37
附录资料性附录语言源代码漏洞类别与名称
B()C/C++…………42
参考文献
……………………44
Ⅰ
GB/T34943—2017
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息技术标准化技术委员会提出并归口
(SAC/TC28)。
本标准起草单位珠海南方软件网络评测中心珠海中慧微电子有限公司广东省科技基础条件平
:、、
台中心中国电子技术标准化研究院上海端玛计算机科技有限公司南昌金庐软件园软件评测培训有
、、、
限公司国家应用软件产品质量监督检验中心珠海市软件行业协会东信和平科技股份有限公司南京
、、、、
大学
。
本标准主要起草人侯建华邓人逖王忠福黄兆森杨尚沅张旸旸赵昌平张子良李璐肖枭
:、、、、、、、、、、
陈振宇张玉霞梁建新蒋蜀鹏周悦任佩杨雪君
、、、、、、。
Ⅲ
GB/T34943—2017
引言
语言是一种面向过程的程序设计语言广泛应用于系统软件与嵌入式软件的开发本标准的
C,。C
语言语法遵循语言是一种面向对象的程序设计语言它在语言的基础
ISO/IEC9899:2011。C++,C
上发展而来与语言具有许多相同的语法广泛应用于系统软件与应用软件的开发本标准的
,C,。C++
语言语法遵循语法标准众所周知由于各种人为因素影响每个软件的源代码
ISO/IEC14882:2011。,,
都难免会存在漏洞而软件信息泄露数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有
,、
关为尽量减少语言源代码中存在的漏洞有必要制定针对语言程序的源代码漏洞
。C/C++,C/C++
测试规范
。
源代码漏洞测试可在开发过程的软件编码活动之后实施也可在运行和维护过程中实施
,。
本标准的漏洞分类与漏洞说明主要参考了公司发布的
MITRECWE(CommonWeaknessEnu-
同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进
meration),
行说明
。
注本标准漏洞参考了版本示例代码适用于本标准选择的案例
:CWE2.9,。
本标准仅针对自动化静态分析工具支持的关键漏洞进行说明应用本标准开展源代码漏洞测试时
,
应根据实际需要对漏洞进行裁剪和补充
。
Ⅳ
GB/T34943—2017
C/C++语言源代码漏洞测试规范
1范围
本标准规定了语言源代码漏洞测试的测试总则和测试内容
C/C++。
本标准适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的语言源代
C/C++
码漏洞测试活动语言的程序设计和编码人员以及源代码漏洞测试工具的设计人员也可参考
,C/C++
使用
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息技术软件工程术语
GB/T11457
计算机软件测试规范
GB/T15532—2008
信息技术软件生存周期过程配置管理
GB/T20158—2006(ISO/IECTR15846:1998,IDT)
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T11457。
31
.
访问控制accesscontrol
一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段
。
定义
[GB/T25069—2010,2.2.1.42]
32
.
攻击attack
在信息系统中对系统或信息进行破坏泄露更改或使其丧失功能的尝试包括
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 【语文课件】平分生命课件
- 《LDO培训讲义》课件
- 《平安福投保规则》课件
- 《销售口才培训》课件
- 《保健食品及应用》课件
- 《淋巴细胞jy》课件
- 小学生国学课件模板
- 初二信息技术课件
- 《母婴店促销方案》课件
- 病毒检测用医疗诊断设备产品入市调查研究报告
- 六年级上册道德与法治知识点重点归纳总结
- 2022终末期肝病的营养支持(全文)
- 梁山伯与祝英台的故事
- 法院院长接待日制度实施细则
- XXXX年度煤矿机电设备检修计划
- 公路水运实验检测专业能力评价考试题库及答案
- 火力发电厂机组修前技术分析报告
- Excel水力计算展示-消力坎式消力池水力计算演示
- Ansys作业-瞬态热分析报告
- GB/T 42260-2022磷酸铁锂电化学性能测试循环寿命测试方法
- 门诊突发事件处理预案与流程
评论
0/150
提交评论