标准解读
《GB/T 38674-2020 信息安全技术 应用软件安全编程指南》是中国国家标准之一,旨在为应用软件开发过程中的安全编程提供指导。该标准涵盖了从设计到实现阶段的安全考虑因素,强调了在软件开发生命周期中应遵循的最佳实践以提高软件安全性。
标准首先定义了一系列术语和定义,确保所有读者对于关键概念有一致的理解。接着,它详细描述了安全编程的基本原则,包括但不限于最小权限原则、纵深防御策略以及避免使用不安全的函数等。这些原则构成了整个文档的基础框架,指导开发者如何从源头上减少潜在的安全漏洞。
针对具体的安全威胁,《GB/T 38674-2020》列举了几类常见的攻击方式(如缓冲区溢出、SQL注入等),并针对每一种威胁类型提出了相应的预防措施和技术建议。此外,还特别提到了输入验证的重要性,指出正确处理用户提供的数据是防止许多类型攻击的关键步骤之一。
除了技术层面的指导外,该标准也强调了安全管理在整个软件开发流程中的作用。它提倡建立一套完善的安全管理体系来支持安全编程活动,比如通过代码审查、自动化测试等方式持续监控项目的安全状态,并及时发现并修复存在的问题。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2020-04-28 颁布
- 2020-11-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T38674—2020
信息安全技术应用软件安全编程指南
Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware
2020-04-28发布2020-11-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T38674—2020
目次
前言
…………………………Ⅰ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………3
概述
4………………………3
安全功能实现
5……………4
数据清洗
5.1……………4
数据加密与保护
5.2……………………5
访问控制
5.3……………6
日志安全
5.4……………8
代码实现安全
6……………9
面向对象程序安全
6.1…………………9
并发程序安全
6.2………………………10
函数调用安全
6.3………………………10
异常处理安全
6.4………………………11
指针安全
6.5……………11
代码生成安全
6.6………………………11
资源使用安全
7……………12
资源管理
7.1……………12
内存管理
7.2……………12
数据库管理
7.3…………………………13
文件管理
7.4……………13
网络传输
7.5……………14
环境安全
8…………………15
第三方软件使用安全
8.1………………15
开发环境安全
8.2………………………15
运行环境安全
8.3………………………16
附录资料性附录代码示例
A()…………17
概述
A.1………………17
安全功能实现
A.2……………………17
代码实现安全
A.3……………………48
资源使用安全
A.4……………………98
环境安全
A.5…………………………129
参考文献
……………………131
GB/T38674—2020
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位国家计算机网络应急技术处理协调中心北京邮电大学北京奇虎测腾安全技术
:、、
有限公司中国电力科学研究院有限公司上海计算机软件技术开发中心海通证券股份有限公司北京
、、、、
银行股份有限公司信息安全共性技术国家工程研究中心
、。
本标准主要起草人舒敏王博吴倩王文磊黄元飞张家旺林星辰陈禹王鹏翩李燕伟高强
:、、、、、、、、、、、
杨鹏陈亮范乐君张晓娜杜薇夏剑锋李晔张淼徐国爱郭燕慧李祺杨昕雨王晨宇葛慧晗
、、、、、、、、、、、、、、
黄永刚韩建章磊王彦杰胡建勋李凌
、、、、、。
Ⅰ
GB/T38674—2020
信息安全技术应用软件安全编程指南
1范围
本标准提出了应用软件安全编程的通用框架从提升软件安全性的角度对应用软件编程过程进行
,
指导
。
本标准适用于客户端服务器架构的应用软件开发其他架构的应用软件开发也可参照使用并根
/,,
据其应用环境的特性补充必要的安全防护措施
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术术语
GB/T25069—2010
3术语和定义缩略语
、
31术语和定义
.
界定的以及下列术语和定义适用于本文件为了便于使用以下重复列出了
GB/T25069—2010。,
中的某些术语和定义
GB/T25069—2010。
311
..
缓冲区溢出bufferoverflow
向程序的缓冲区写入超出其长度的内容从而破坏程序堆栈使程序转而执行其他指令以获取程
,,,
序或系统的控制权
。
312
..
命令注入commandinjection
通过应用程序将用户输入的恶意内容拼接到命令中并提交给后台引擎执行的攻击行为
,。
313
..
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 湖南省永州市道县2024-2025学年八年级上学期期中生物学试题(原卷版)-A4
- 热工基础模拟习题
- 养老院老人生活照料制度
- 养老院老人健康饮食营养师职业发展规划制度
- 房顶防水安全合同协议书(2篇)
- 2024年版权转让合同标的及服务内容扩展
- 2024年水利工程劳务分包合同示范范本(智慧水利)2篇
- 2024年生态环境保护修复工程合同
- 2025年南昌货运从业资格考试题库及答案大全
- 《密码学英文》课件
- 监理企业技术管理制度
- 2022版义务教育物理课程标准
- 山东省日照市2023-2024学年七年级上学期期末数学试题(含答案)
- 上海华东师大二附中2025届高一数学第一学期期末检测试题含解析
- 新教科版六年级上册科学全册知识点(期末总复习资料)
- 《静女》《涉江采芙蓉》对比阅读教学设计 2023-2024学年统编版高中语文必修上册
- 高速铁路概论 课件 第3章 高速铁路车站
- 2024-2030年水培蔬菜行业市场发展分析及发展趋势与投资战略研究报告
- 2024年部编版语文五年级上册全册单元检测题及答案(共8套)
- 集成电路制造工艺 课件 6光刻工艺2
- 建筑边坡工程施工质量验收标准
评论
0/150
提交评论