GB/T 38674-2020信息安全技术应用软件安全编程指南

ICS35040

L80.

中华人民共和国国家标准

GB/T38674—2020

信息安全技术应用软件安全编程指南

Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T38674—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

概述

4………………………3

安全功能实现

5……………4

数据清洗

5.1……………4

数据加密与保护

5.2……………………5

访问控制

5.3……………6

日志安全

5.4……………8

代码实现安全

6……………9

面向对象程序安全

6.1…………………9

并发程序安全

6.2………………………10

函数调用安全

6.3………………………10

异常处理安全

6.4………………………11

指针安全

6.5……………11

代码生成安全

6.6………………………11

资源使用安全

7……………12

资源管理

7.1……………12

内存管理

7.2……………12

数据库管理

7.3…………………………13

文件管理

7.4……………13

网络传输

7.5……………14

环境安全

8…………………15

第三方软件使用安全

8.1………………15

开发环境安全

8.2………………………15

运行环境安全

8.3………………………16

附录资料性附录代码示例

A()…………17

概述

A.1………………17

安全功能实现

A.2……………………17

代码实现安全

A.3……………………48

资源使用安全

A.4……………………98

环境安全

A.5…………………………129

参考文献

……………………131

GB/T38674—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家计算机网络应急技术处理协调中心北京邮电大学北京奇虎测腾安全技术

:、、

有限公司中国电力科学研究院有限公司上海计算机软件技术开发中心海通证券股份有限公司北京

、、、、

银行股份有限公司信息安全共性技术国家工程研究中心

、。

本标准主要起草人舒敏王博吴倩王文磊黄元飞张家旺林星辰陈禹王鹏翩李燕伟高强

:、、、、、、、、、、、

杨鹏陈亮范乐君张晓娜杜薇夏剑锋李晔张淼徐国爱郭燕慧李祺杨昕雨王晨宇葛慧晗

、、、、、、、、、、、、、、

黄永刚韩建章磊王彦杰胡建勋李凌

、、、、、。

Ⅰ

GB/T38674—2020

信息安全技术应用软件安全编程指南

1范围

本标准提出了应用软件安全编程的通用框架从提升软件安全性的角度对应用软件编程过程进行

,

指导

。

本标准适用于客户端服务器架构的应用软件开发其他架构的应用软件开发也可参照使用并根

/,,

据其应用环境的特性补充必要的安全防护措施

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

3术语和定义缩略语

、

31术语和定义

.

界定的以及下列术语和定义适用于本文件为了便于使用以下重复列出了

GB/T25069—2010。,

中的某些术语和定义

GB/T25069—2010。

311

..

缓冲区溢出bufferoverflow

向程序的缓冲区写入超出其长度的内容从而破坏程序堆栈使程序转而执行其他指令以获取程

,,,

序或系统的控制权

。

312

..

命令注入commandinjection

通过应用程序将用户输入的恶意内容拼接到命令中并提交给后台引擎执行的攻击行为

,。

313

..