标准解读

《GB/T 34944-2017 Java语言源代码漏洞测试规范》是一项国家标准,旨在为Java语言编写的软件提供一套系统的源代码安全漏洞检测方法。该标准适用于使用Java编程语言开发的应用程序的安全性评估过程,其主要目的是通过定义一系列的规则和指导方针来帮助开发者识别并修复潜在的安全漏洞。

标准中详细列出了多个方面的内容,包括但不限于术语与定义、测试流程、测试用例设计原则以及具体的漏洞类型及其对应的检测方法。对于每种类型的漏洞,标准都给出了详细的描述,包括漏洞可能造成的影响、如何利用自动化工具或手动检查的方式发现这些漏洞,并提供了示例代码以辅助理解。

此外,《GB/T 34944-2017》还强调了在进行源代码安全测试时应遵循的最佳实践,比如采用多层次的安全策略、确保测试环境与生产环境隔离等。它也提到了一些常见的安全编码指南,鼓励开发者从一开始就将安全性考虑进设计之中,而不是作为事后补救措施。

此标准不仅针对专业的信息安全人员,同样适用于所有参与软件开发周期的技术人员,如程序员、架构师等,通过对Java应用程序进行全面而深入的安全分析,有助于提高整个软件生态系统的健壮性和安全性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2017-11-01 颁布
  • 2018-05-01 实施
©正版授权
GB/T 34944-2017Java语言源代码漏洞测试规范_第1页
GB/T 34944-2017Java语言源代码漏洞测试规范_第2页
GB/T 34944-2017Java语言源代码漏洞测试规范_第3页
GB/T 34944-2017Java语言源代码漏洞测试规范_第4页
GB/T 34944-2017Java语言源代码漏洞测试规范_第5页
免费预览已结束,剩余59页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35080

L77.

中华人民共和国国家标准

GB/T34944—2017

Java语言源代码漏洞测试规范

SourcecodevulnerabilitytestingspecificationforJava

2017-11-01发布2018-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T34944—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………4

源代码漏洞测试总则

5……………………4

源代码漏洞测试目的

5.1………………4

源代码漏洞测试过程

5.2………………4

源代码漏洞测试管理

5.3………………5

源代码漏洞测试工具

5.4………………7

源代码漏洞测试文档

5.5………………7

源代码漏洞测试内容

6……………………7

源代码漏洞分类

6.1……………………7

源代码漏洞说明

6.2……………………8

附录资料性附录语言源代码漏洞测试案例

A()Java…………………50

附录资料性附录语言源代码漏洞类别与名称

B()Java………………56

参考文献

……………………58

GB/T34944—2017

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息技术标准化技术委员会提出并归口

(SAC/TC28)。

本标准起草单位珠海南方软件网络评测中心杭州安恒信息技术有限公司厦门理工学院上海端

:、、、

玛计算机科技有限公司中国电子技术标准化研究院东信和平科技股份有限公司远光软件股份有限

、、、

公司南京大学国家应用软件产品质量监督检验中心珠海中慧微电子有限公司广东省科技基础条件

、、、、

平台中心珠海市软件行业协会南昌金庐软件园软件评测培训有限公司吉林省电子信息产品监督检

、、、

验研究院

本标准主要起草人侯建华黄兆森王忠福范渊杨尚沅邓人逖梁建新张旸旸李军李璐

:、、、、、、、、、、

王威黄华婕刘早辛士界陈振宇肖枭崔建峰申煜湘

、、、、、、、。

GB/T34944—2017

引言

语言是一种面向对象的运行于虚拟机之上的高级程序设计语言它广泛应用于各种大

Java、Java。

型信息系统和智能终端应用软件的开发众所周知由于各种人为因素影响每个软件的源代码都难免

。,,

会存在漏洞而软件信息泄露数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关为

,、。

尽量减少语言源代码中存在的漏洞有必要制定针对语言程序的源代码漏洞测试规范

Java,Java。

源代码漏洞测试可在开发过程的软件编码活动之后实施也可在运行和维护过程中实施

,。

本标准的漏洞分类与漏洞说明主要参考了公司发布的

MITRECWE(CommonWeaknessEnu-

同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进

meration),

行说明

注本标准漏洞参考了版本示例代码适用于本标准选择的漏洞说明

:CWE2.9,。

本标准仅针对自动化静态分析工具支持的关键漏洞进行说明应用本标准开展源代码漏洞测试时

,

应根据实际需要对漏洞进行裁剪和补充

GB/T34944—2017

Java语言源代码漏洞测试规范

1范围

本标准规定了语言源代码漏洞测试的测试总则和测试内容

Java。

本标准适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的语言源代码

Java

漏洞测试活动语言的程序设计和编码人员以及源代码漏洞测试工具的设计人员也可参考使用

,Java。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术软件工程术语

GB/T11457

计算机软件测试规范

GB/T15532—2008

信息技术软件生存周期过程配置管理

GB/T20158—2006(ISO/IECTR15846:1998,IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T11457。

31

.

访问控制accesscontrol

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段

定义

[GB/T25069—2010,2.2.1.42]

32

.

攻击attack

在信息系统中对系统或信息进行破坏泄露更改或使其丧失功能的尝试包括窃取数据

,、、()。

定义

[GB/T25069—2010,2.2.1.58]

33

.

密码分组链接cipherblockchaining

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论