GB/T 39412-2020.Information security technology- Audit specification of code security.
1范圍
GB/T 39412規(guī)定了代碼安全的審計(jì)過程以及安全功能缺陷、代碼實(shí)現(xiàn)安全缺陷、資源使用安全缺陷、環(huán)境安全缺陷等典型審計(jì)指標(biāo)及對(duì)應(yīng)的證實(shí)方法。
GB/T 39412適用于指導(dǎo)代碼安全審計(jì)相關(guān)工作。
2規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其較新版本(包括所有的修改單)適用于本文件。
GB/T 15272-1994程序設(shè)計(jì)語言 C
GB/T 25069信息安全技術(shù)術(shù)語
GB/T 35273-2020信息安全技術(shù) 個(gè)人 信息安全規(guī)范
3術(shù)語、定義和縮略語
3.1術(shù) 語和定義
GB/T 15272-1994、 GB/T 25069 和GB/T 35273-2020 界定的以及下列術(shù)語和定義適用于本文件。
3.1.1
代碼安全審計(jì) code security audit
對(duì)代碼進(jìn)行安全分析,以發(fā)現(xiàn)代碼安全缺陷或違反代碼安全規(guī)范的動(dòng)作。
3.1.2
安全缺陷 security defect
代碼中存在的某種破壞軟件安全能力的問題、錯(cuò)誤。
3.1.3
跨站腳本攻擊 cross site script
攻擊者向Web頁面里面插人惡意HTML代碼,當(dāng)用戶瀏覽該頁面時(shí),嵌人到Web里面的HTML代碼會(huì)被執(zhí)行，從而達(dá)到攻擊者的特殊目的。
3.1.4
緩沖區(qū)溢出 buffer overflow
向程序的緩沖區(qū)寫入超出其長度的內(nèi)容,從而破壞程序堆棧,使程序轉(zhuǎn)而執(zhí)行其他指令,以獲取程序或系統(tǒng)的控制權(quán)。
3.1.5
死鎖 deadlock
兩個(gè)或兩個(gè)以上的進(jìn)程在執(zhí)行過程中,因競爭資源或彼此通信而造成的一種阻塞現(xiàn)象。

檢測流程步驟

溫馨提示：以上內(nèi)容僅供參考使用，更多檢測需求請(qǐng)咨詢客服。