标准解读

《GB/T 38674-2020 信息安全技术 应用软件安全编程指南》是中国国家标准之一,旨在为应用软件开发过程中的安全编程提供指导。该标准涵盖了从设计到实现阶段的安全考虑因素,强调了在软件开发生命周期中应遵循的最佳实践以提高软件安全性。

标准首先定义了一系列术语和定义,确保所有读者对于关键概念有一致的理解。接着,它详细描述了安全编程的基本原则,包括但不限于最小权限原则、纵深防御策略以及避免使用不安全的函数等。这些原则构成了整个文档的基础框架,指导开发者如何从源头上减少潜在的安全漏洞。

针对具体的安全威胁,《GB/T 38674-2020》列举了几类常见的攻击方式(如缓冲区溢出、SQL注入等),并针对每一种威胁类型提出了相应的预防措施和技术建议。此外,还特别提到了输入验证的重要性,指出正确处理用户提供的数据是防止许多类型攻击的关键步骤之一。

除了技术层面的指导外,该标准也强调了安全管理在整个软件开发流程中的作用。它提倡建立一套完善的安全管理体系来支持安全编程活动,比如通过代码审查、自动化测试等方式持续监控项目的安全状态,并及时发现并修复存在的问题。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-04-28 颁布
  • 2020-11-01 实施
©正版授权
GB/T 38674-2020信息安全技术应用软件安全编程指南_第1页
GB/T 38674-2020信息安全技术应用软件安全编程指南_第2页
GB/T 38674-2020信息安全技术应用软件安全编程指南_第3页
GB/T 38674-2020信息安全技术应用软件安全编程指南_第4页
免费预览已结束,剩余132页可下载查看

下载本文档

GB/T 38674-2020信息安全技术应用软件安全编程指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T38674—2020

信息安全技术应用软件安全编程指南

Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T38674—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

概述

4………………………3

安全功能实现

5……………4

数据清洗

5.1……………4

数据加密与保护

5.2……………………5

访问控制

5.3……………6

日志安全

5.4……………8

代码实现安全

6……………9

面向对象程序安全

6.1…………………9

并发程序安全

6.2………………………10

函数调用安全

6.3………………………10

异常处理安全

6.4………………………11

指针安全

6.5……………11

代码生成安全

6.6………………………11

资源使用安全

7……………12

资源管理

7.1……………12

内存管理

7.2……………12

数据库管理

7.3…………………………13

文件管理

7.4……………13

网络传输

7.5……………14

环境安全

8…………………15

第三方软件使用安全

8.1………………15

开发环境安全

8.2………………………15

运行环境安全

8.3………………………16

附录资料性附录代码示例

A()…………17

概述

A.1………………17

安全功能实现

A.2……………………17

代码实现安全

A.3……………………48

资源使用安全

A.4……………………98

环境安全

A.5…………………………129

参考文献

……………………131

GB/T38674—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家计算机网络应急技术处理协调中心北京邮电大学北京奇虎测腾安全技术

:、、

有限公司中国电力科学研究院有限公司上海计算机软件技术开发中心海通证券股份有限公司北京

、、、、

银行股份有限公司信息安全共性技术国家工程研究中心

、。

本标准主要起草人舒敏王博吴倩王文磊黄元飞张家旺林星辰陈禹王鹏翩李燕伟高强

:、、、、、、、、、、、

杨鹏陈亮范乐君张晓娜杜薇夏剑锋李晔张淼徐国爱郭燕慧李祺杨昕雨王晨宇葛慧晗

、、、、、、、、、、、、、、

黄永刚韩建章磊王彦杰胡建勋李凌

、、、、、。

GB/T38674—2020

信息安全技术应用软件安全编程指南

1范围

本标准提出了应用软件安全编程的通用框架从提升软件安全性的角度对应用软件编程过程进行

,

指导

本标准适用于客户端服务器架构的应用软件开发其他架构的应用软件开发也可参照使用并根

/,,

据其应用环境的特性补充必要的安全防护措施

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

3术语和定义缩略语

31术语和定义

.

界定的以及下列术语和定义适用于本文件为了便于使用以下重复列出了

GB/T25069—2010。,

中的某些术语和定义

GB/T25069—2010。

311

..

缓冲区溢出bufferoverflow

向程序的缓冲区写入超出其长度的内容从而破坏程序堆栈使程序转而执行其他指令以获取程

,,,

序或系统的控制权

312

..

命令注入commandinjection

通过应用程序将用户输入的恶意内容拼接到命令中并提交给后台引擎执行的攻击行为

,。

313

..

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论