標準解讀

《GB/T 34946-2017 C#語言源代碼漏洞測試規(guī)范》是一項國家標準,旨在為使用C#語言編寫的軟件項目提供一套系統(tǒng)化的源代碼安全檢測方法。該標準主要面向軟件開發(fā)人員、測試工程師以及信息安全專家,通過定義一系列的測試要求和指南來幫助識別并修復(fù)潛在的安全漏洞。

根據(jù)此標準,測試過程分為幾個關(guān)鍵步驟:首先是準備階段,這包括了對被測軟件系統(tǒng)的理解,確定測試范圍與目標;其次是靜態(tài)分析階段,利用自動化工具掃描源代碼以發(fā)現(xiàn)可能存在的缺陷或不安全編程模式;接著是動態(tài)測試階段,通過運行時監(jiān)控程序行為來檢測異常情況;最后還包括人工審查環(huán)節(jié),針對機器難以完全覆蓋的部分進行深入檢查。

此外,《GB/T 34946-2017》還詳細列舉了一些常見的C#語言相關(guān)安全問題類型及其對應(yīng)的測試案例,比如輸入驗證不足導(dǎo)致的注入攻擊風(fēng)險、錯誤處理不當(dāng)引起的信息泄露等,并給出了相應(yīng)的預(yù)防措施建議。對于每種類型的漏洞,都提供了具體的測試方法說明,指導(dǎo)如何設(shè)置測試環(huán)境、選擇合適的測試數(shù)據(jù)以及執(zhí)行測試操作。

該標準強調(diào)了在整個軟件開發(fā)生命周期中持續(xù)關(guān)注安全性的重要性,提倡將安全設(shè)計原則融入到需求分析、架構(gòu)設(shè)計直至后期維護各個階段之中。同時,也鼓勵采用多種手段相結(jié)合的方式進行全面的安全評估,從而提高軟件產(chǎn)品的整體安全性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-11-01 頒布
  • 2018-05-01 實施
?正版授權(quán)
GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范_第1頁
GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范_第2頁
GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范_第3頁
GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范_第4頁
GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范_第5頁
免費預(yù)覽已結(jié)束,剩余59頁可下載查看

下載本文檔

GB/T 34946-2017C#語言源代碼漏洞測試規(guī)范-免費下載試讀頁

文檔簡介

ICS35080

L77.

中華人民共和國國家標準

GB/T34946—2017

C#語言源代碼漏洞測試規(guī)范

SourcecodevulnerabilitytestingspecificationforC#

2017-11-01發(fā)布2018-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34946—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………4

源代碼漏洞測試總則

5……………………4

源代碼漏洞測試目的

5.1………………4

源代碼漏洞測試過程

5.2………………4

源代碼漏洞測試管理

5.3………………5

源代碼漏洞測試工具

5.4………………7

源代碼漏洞測試文檔

5.5………………7

源代碼漏洞測試內(nèi)容

6……………………7

源代碼漏洞分類

6.1……………………7

源代碼漏洞說明

6.2……………………8

附錄資料性附錄語言源代碼漏洞測試案例

A()C#…………………50

附錄資料性附錄語言源代碼漏洞類別與名稱

B()C#………………55

參考文獻

……………………57

GB/T34946—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息技術(shù)標準化技術(shù)委員會提出并歸口

(SAC/TC28)。

本標準起草單位珠海南方軟件網(wǎng)絡(luò)評測中心廣東省科技基礎(chǔ)條件平臺中心中國電子技術(shù)標準

:、、

化研究院珠海中慧微電子有限公司吉林省電子信息產(chǎn)品監(jiān)督檢驗研究院上海端瑪計算機科技有限

、、、

公司南京大學(xué)國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心珠海市軟件行業(yè)協(xié)會南昌金廬軟件園軟件評測

、、、、

培訓(xùn)有限公司

本標準主要起草人侯建華梁建新黃兆森楊尚沅陸薇張旸旸鄧人逖潘宇聰李璐倪玉華

:、、、、、、、、、、

周悅黃華婕劉早辛士界吳小勇王麗明陳振宇肖梟楊雪君

、、、、、、、、。

GB/T34946—2017

引言

語言是一種面向?qū)ο蟮倪\行于之上的高級程序設(shè)計語言它廣泛應(yīng)用于

C#、.NETFramework。

平臺應(yīng)用軟件的開發(fā)是開發(fā)的首選語言本標準的語言語法遵循

Windows,.NET。C#

眾所周知由于各種人為因素影響每個軟件的源代碼都難免會存在漏洞而軟

ISO/IEC23270:2006。,,,

件信息泄露數(shù)據(jù)或代碼被惡意篡改等安全事件的發(fā)生一般都與源代碼漏洞有關(guān)為盡量減少語

、。C#

言源代碼中存在的漏洞有必要制定針對語言程序的源代碼漏洞測試規(guī)范

,C#。

源代碼漏洞測試可在開發(fā)過程的軟件編碼活動之后實施也可在運行和維護過程中實施

,。

本標準的漏洞分類與漏洞說明主要參考了公司發(fā)布的

MITRECWE(CommonWeaknessEnu-

同時結(jié)合了當(dāng)前行業(yè)主流的自動化靜態(tài)分析工具在測試實踐中發(fā)現(xiàn)的典型漏洞來確定并進

meration),

行說明

。

注本標準漏洞參考了版本示例代碼適用于本標準選擇的漏洞說明

:CWE2.9,。

本標準僅針對自動化靜態(tài)分析工具支持的關(guān)鍵漏洞進行說明應(yīng)用本標準開展源代碼漏洞測試時

,

應(yīng)根據(jù)實際需要對漏洞進行裁剪和補充

。

GB/T34946—2017

C#語言源代碼漏洞測試規(guī)范

1范圍

本標準規(guī)定了語言源代碼漏洞測試的測試總則和測試內(nèi)容

C#。

本標準適用于開發(fā)方或第三方機構(gòu)的測試人員利用自動化靜態(tài)分析工具開展的語言源代碼測

C#

試活動語言的程序設(shè)計和編碼人員以及源代碼漏洞測試工具的設(shè)計人員也可參考使用

,C#。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)軟件工程術(shù)語

GB/T11457

計算機軟件測試規(guī)范

GB/T15532—2008

信息技術(shù)軟件生存周期過程配置管理

GB/T20158—2006(ISO/IECTR15846:1998,IDT)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T11457。

31

.

訪問控制accesscontrol

一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進行訪問的手段

定義

[GB/T25069—2010,2]

32

.

攻擊attack

在信息系統(tǒng)中對系統(tǒng)或信息進行破壞泄露更改或使其喪失功能的嘗試包括竊取數(shù)據(jù)

,、、()。

定義

[GB/T25069—2010,8]

33

.

密碼分組鏈接cipherblockchaining

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論