標準解讀

《GB/T 38674-2020 信息安全技術 應用軟件安全編程指南》是中國國家標準之一,旨在為應用軟件開發(fā)過程中的安全編程提供指導。該標準涵蓋了從設計到實現(xiàn)階段的安全考慮因素,強調了在軟件開發(fā)生命周期中應遵循的最佳實踐以提高軟件安全性。

標準首先定義了一系列術語和定義,確保所有讀者對于關鍵概念有一致的理解。接著,它詳細描述了安全編程的基本原則,包括但不限于最小權限原則、縱深防御策略以及避免使用不安全的函數(shù)等。這些原則構成了整個文檔的基礎框架,指導開發(fā)者如何從源頭上減少潛在的安全漏洞。

針對具體的安全威脅,《GB/T 38674-2020》列舉了幾類常見的攻擊方式(如緩沖區(qū)溢出、SQL注入等),并針對每一種威脅類型提出了相應的預防措施和技術建議。此外,還特別提到了輸入驗證的重要性,指出正確處理用戶提供的數(shù)據是防止許多類型攻擊的關鍵步驟之一。

除了技術層面的指導外,該標準也強調了安全管理在整個軟件開發(fā)流程中的作用。它提倡建立一套完善的安全管理體系來支持安全編程活動,比如通過代碼審查、自動化測試等方式持續(xù)監(jiān)控項目的安全狀態(tài),并及時發(fā)現(xiàn)并修復存在的問題。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-04-28 頒布
  • 2020-11-01 實施
?正版授權
GB/T 38674-2020信息安全技術應用軟件安全編程指南_第1頁
GB/T 38674-2020信息安全技術應用軟件安全編程指南_第2頁
GB/T 38674-2020信息安全技術應用軟件安全編程指南_第3頁
GB/T 38674-2020信息安全技術應用軟件安全編程指南_第4頁
免費預覽已結束,剩余132頁可下載查看

下載本文檔

GB/T 38674-2020信息安全技術應用軟件安全編程指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T38674—2020

信息安全技術應用軟件安全編程指南

Informationsecuritytechnology—Guidelineonsecurecodingofapplicationsoftware

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T38674—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………3

概述

4………………………3

安全功能實現(xiàn)

5……………4

數(shù)據清洗

5.1……………4

數(shù)據加密與保護

5.2……………………5

訪問控制

5.3……………6

日志安全

5.4……………8

代碼實現(xiàn)安全

6……………9

面向對象程序安全

6.1…………………9

并發(fā)程序安全

6.2………………………10

函數(shù)調用安全

6.3………………………10

異常處理安全

6.4………………………11

指針安全

6.5……………11

代碼生成安全

6.6………………………11

資源使用安全

7……………12

資源管理

7.1……………12

內存管理

7.2……………12

數(shù)據庫管理

7.3…………………………13

文件管理

7.4……………13

網絡傳輸

7.5……………14

環(huán)境安全

8…………………15

第三方軟件使用安全

8.1………………15

開發(fā)環(huán)境安全

8.2………………………15

運行環(huán)境安全

8.3………………………16

附錄資料性附錄代碼示例

A()…………17

概述

A.1………………17

安全功能實現(xiàn)

A.2……………………17

代碼實現(xiàn)安全

A.3……………………48

資源使用安全

A.4……………………98

環(huán)境安全

A.5…………………………129

參考文獻

……………………131

GB/T38674—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家計算機網絡應急技術處理協(xié)調中心北京郵電大學北京奇虎測騰安全技術

:、、

有限公司中國電力科學研究院有限公司上海計算機軟件技術開發(fā)中心海通證券股份有限公司北京

、、、、

銀行股份有限公司信息安全共性技術國家工程研究中心

、。

本標準主要起草人舒敏王博吳倩王文磊黃元飛張家旺林星辰陳禹王鵬翩李燕偉高強

:、、、、、、、、、、、

楊鵬陳亮范樂君張曉娜杜薇夏劍鋒李曄張淼徐國愛郭燕慧李祺楊昕雨王晨宇葛慧晗

、、、、、、、、、、、、、、

黃永剛韓建章磊王彥杰胡建勛李凌

、、、、、。

GB/T38674—2020

信息安全技術應用軟件安全編程指南

1范圍

本標準提出了應用軟件安全編程的通用框架從提升軟件安全性的角度對應用軟件編程過程進行

,

指導

本標準適用于客戶端服務器架構的應用軟件開發(fā)其他架構的應用軟件開發(fā)也可參照使用并根

/,,

據其應用環(huán)境的特性補充必要的安全防護措施

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

3術語和定義縮略語

、

31術語和定義

.

界定的以及下列術語和定義適用于本文件為了便于使用以下重復列出了

GB/T25069—2010。,

中的某些術語和定義

GB/T25069—2010。

311

..

緩沖區(qū)溢出bufferoverflow

向程序的緩沖區(qū)寫入超出其長度的內容從而破壞程序堆棧使程序轉而執(zhí)行其他指令以獲取程

,,,

序或系統(tǒng)的控制權

312

..

命令注入commandinjection

通過應用程序將用戶輸入的惡意內容拼接到命令中并提交給后臺引擎執(zhí)行的攻擊行為

,。

313

..

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論