声明

本文是学习GB-T 39412-2020 信息安全技术 代码安全审计规范. 下载地址 http://github5.com/view/789而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

代码安全审计规范 范围

本标准规定了代码安全的审计过程及方法,描述了软件代码安全缺陷的典型审计指标。本标准的审计活动主要对象是代码,主要针对代码层面的安全问题,不包含需求分析、设计、测试、部署配置、运维等方面的安全问题。

本标准适用于执行代码安全审计和相关测试工作。

代码安全审计规范规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范

GB/T 25069 信息安全技术 术语

GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求

GB/T 35273-2017 信息安全技术 个人信息安全规范

代码安全审计规范 术语、定义和缩略语

术语和定义

GB/T 15272、GB/T 25069和GB/T 25056-2010界定的以及下列术语和定义适用于本文件。

代码安全审计 code security audit

一种以发现代码安全缺陷和违反代码安全规范为目标的代码安全性分析。

安全缺陷 security defect

代码中存在的某种破坏软件安全能力的问题、错误。

跨站脚本攻击 cross site script

恶意攻击者向WEB页面里面插入恶意HTML代码,当用户浏览该页面时,嵌入到WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的。

缓冲区溢出 buffer overflow

当应用程序向为某特定数据结构分配的内存空间边界之外写入数据时,即会发生缓冲区溢出。

线程访问安全 thread access safe

多线程访问时采用了加锁机制,当一个线程访问该类的某个数据时进行保护,其他线程不能进行访问直到该线程读取完其他线程才可使用。

死锁 deadlock

指两个或两个以上的进程在执行过程中,由于竞争资源或者由于彼此通信而造成的一种阻塞的现象,若无外力作用,它们都将无法推进下去。

错误 error

系统运行中出现的非预期问题,可能导致系统崩溃或者暂停运行。

特殊元素 special elements

字节、字符或字的序列, 用于特定表达式或语言中分隔数据的不同部分。如CRLF(回车/换行)被用于MIME消息中作为多个头部之间的分隔符,是特殊元素。

异常 exception

导致程序中断运行的一种指令流。如果不对异常进行正确的处理,则可能导致程序的中断执行。

SQL注入 SQL injection

通过把SQL命令插入到WEB表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

缩略语

下列缩略语适用于本文件。

HTTP 超级文本传输协议(HyperText Transfer Protocol)

SQL 结构化查询语言(Structured Query Language)

延伸阅读

更多内容 可以点击下载 GB-T 39412-2020 信息安全技术 代码安全审计规范. http://github5.com/view/789进一步学习

联系我们

DB15-T 1356-2018 露天煤矿生态恢复灌草型建设技术规程 内蒙古自治区.pdf

信息安全技术 代码安全审计规范相关推荐

  1. GBT 35273-2020 信息安全技术 个人信息安全规范

    GBT 35273-2020 信息安全技术 个人信息安全规范全文下载 ICS 35.040 L80 中 华 人 民 共 和 国 国 家 标 准  GB/T 35273-2020 代替 GB/T 352 ...

  2. 信息安全技术 个人信息安全规范

    范围 本文件规定了新能源 动力电池安全存放管理的术语和定义.存放前准备.存放要求.废旧及故障电池特殊要求 .应急管理等内容.本文件适用于新能源动力电池安全存放的管理活动. 2 规范性 引用文件下列文件 ...

  3. GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 学习笔记

    通用内容 每个标准基本都有的格式,供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表, ...

  4. 信息安全技术 网络安全漏洞分类分级指南

    声明 本文是学习GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全漏洞分类分级 本标准按照GB/T ...

  5. eclipse java代码某一行需要修改注释_看看这些Java代码开发规范吧!你好,我好,大家好!...

    作为一名开发人员,当你接手他人的项目时,且当你阅读他人的代码时,是有没有遇到脑袋充血,感觉Java要把你"送走"的感觉呢?我们在用Java开发技术进行开发前,一定要牢牢恪守Java ...

  6. 在同一Android应用程序内,信息安全技术题库:Android中同一个应用程序的所有进程可以属于不同用户。()...

    相关题目与解析 认证技术是信息安全理论与技术的一个重要方面,身份认证是安全系统中的第一道关卡,用户在访问安全 下列信息系统的安全管理技术中属于信息防护技术的是(). 在不同环境和应用中,信息安全可分为 ...

  7. 信息安全技术 工业控制系统安全控制应用指南

    声明 本文是学习GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 下载地址 http://github5.com/view/585而整理的学习笔记,分享出来希望更多人受益, ...

  8. 计算机信息安全四大要素,信息安全技术题库:访问控制的基本要素包括以下( )。...

    相关题目与解析 信息安全包括防病毒.访问控制(). 安全管理的基本要素包括人.财.物.信息最为重要的因素.() 信息安全包括5个基本要素:机密性.完整性..可控性与可审查性. 安全风险评估的基本要素包 ...

  9. 新版!《信息安全技术 信息安全风险评估方法》解读

    GB/T 20984-2022<信息安全技术 信息安全风险评估方法>(以下简称新版标准)由国家市场监督管理总局.国家标准化管理委员会批准发布(2022年第6号中国国家标准公告),于2022 ...

  10. 头歌-信息安全技术-安全审计

    头歌-信息安全技术-安全审计 一.第1关:配置环境 1.编程要求 2.评测代码 二.第2关:使用lynis进行安全审计 1.编程要求 2.评测代码 (1)输入vim /data/workspace/m ...

最新文章

  1. python logging.getlogger_logging.getLogger与logger的父子关系
  2. 智能卡门禁管理系统_出入口门禁控制系统与消防火灾报警系统怎么联动?
  3. 【持久化框架】SpringMVC+Spring4+Mybatis3集成,开发简单Web项目+源码下载
  4. javascript面向对象系列第三篇——实现继承的3种形式
  5. pdf论文中查看使用的字体
  6. 下载到的电子书格式是Mobi,这种格式能否在IOS手机上打开?
  7. Wintel做不了“山寨机顶盒”的救星
  8. 【CVPR2021】论文汇总列表--Part1
  9. 服务器能不能用普通硬盘,服务器硬盘是什么 与普通硬盘区别
  10. 如何设置或更改代理?这些方法你知道吗?
  11. 专利代理人的真实工作状况
  12. 安卓逆向 -- AndroidKiller介绍
  13. 小程序发布上线-微信小程序开发-视频教程17
  14. LoadRunner的函数全集
  15. Git让你从入门到精通,看这一篇就够了!
  16. Daily Scrum Meeting 11.05
  17. 洛谷P4094 - [TJOI2016]字符串
  18. EasyRTMP Android安卓手机直播推流摄像头偏暗的问题解决
  19. 【分享】光纤光缆PPT
  20. 设计模式的六大原则(SOLID)

热门文章

  1. [Cydia] 使用Cydia安装iPA破解补丁教程
  2. android 沉浸式_【沉浸式体验】从民俗音乐到绘画雕塑,他们玩了这么多花样!...
  3. 人、机、料、法、环 全面理解
  4. 【DCANet2022】DCANet: Differential Convolution Attention Network for RGB-D Semantic Segmentation
  5. 免费:轻松实现在微信中直接下载APK
  6. java swing是什么_JAVA初学者:swing是什么?
  7. rstudio中读取数据_用RStudio导入数据
  8. VIM-Plug安装插件失败,更换源
  9. 时间紧、任务重、资源有限,项目经理如何来保证研发效率?
  10. Nodejs爬虫自动爬取百度图片