GB/T 39412-2020信息安全技术代码安全审计规范

ICS35040

L80.

中华人民共和国国家标准

GB/T39412—2020

信息安全技术代码安全审计规范

Informationsecuritytechnology—Auditspecificationofcodesecurity

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T39412—2020

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

审计概述

4…………………2

审计说明

4.1……………2

审计目的

4.2……………2

审计时机

4.3……………2

审计人员

4.4……………3

审计方法

4.5……………3

审计过程

5…………………3

总体流程

5.1……………3

审计准备

5.2……………4

审计实施

5.3……………4

审计报告

5.4……………5

改进跟踪

5.5……………5

安全功能缺陷审计

6………………………5

数据清洗

6.1……………5

数据加密与保护

6.2……………………8

访问控制

6.3……………9

日志安全

6.4……………11

代码实现安全缺陷审计

7…………………11

面向对象程序安全

7.1…………………11

并发程序安全

7.2………………………12

函数调用安全

7.3………………………13

异常处理安全

7.4………………………14

指针安全

7.5……………14

代码生成安全

7.6………………………15

资源使用安全缺陷审计

8…………………15

资源管理

8.1……………15

内存管理

8.2……………16

数据库使用

8.3…………………………18

文件管理

8.4……………18

网络传输

8.5……………19

Ⅰ

GB/T39412—2020

环境安全缺陷审计

9………………………19

遗留调试代码

9.1………………………19

第三方软件安全可靠

9.2………………19

保护重要配置信息

9.3…………………20

附录资料性附录代码安全审计报告

A()………………21

附录资料性附录代码示例

B()…………22

参考文献

……………………37

Ⅱ

GB/T39412—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位信息安全共性技术国家工程研究中心中国科学院信息工程研究所国家保密科

:、、

技测评中心北京信息安全测评中心中国信息安全测评中心中国电子技术标准化研究院公安部第三

、、、、

研究所国家计算机网络应急技术处理协调中心

、。

本标准主要起草人王彦杰胡建勋徐根炜高振鹏伊鹏达肖树根康蕊霍玮朴爱花李丰

:、、、、、、、、、、

何建波刘国乐刘海峰赵章界李晨旸王嘉捷辛伟孙彦孙永清郭运尧王博吴倩

、、、、、、、、、、、。

Ⅲ

GB/T39412—2020

信息安全技术代码安全审计规范

1范围

本标准规定了代码安全的审计过程以及安全功能缺陷代码实现安全缺陷资源使用安全缺陷环

、、、

境安全缺陷等典型审计指标及对应的证实方法

。

本标准适用于指导代码安全审计相关工作

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

程序设计语言

GB/T15272—1994C

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273—2020

3术语定义和缩略语

、

31术语和定义

.

和界定的以及下列术语和定义适用于本

GB/T15272—1994、GB/T25069GB/T35273—2020

文件

。

311

..

代码安全审计codesecurityaudit

对代码进行安全分析以发现代码安全缺陷或违反代码安全规范的动作

,。

312

..

安全缺陷securitydefect

代码中存在的某种破坏软件安全能力的问题