GB/T 39412-2020.Information security technology- Audit specification of code security.
1范圍
GB/T 39412規(guī)定了代碼安全的審計過程以及安全功能缺陷、代碼實現(xiàn)安全缺陷、資源使用安全缺陷、環(huán)境安全缺陷等典型審計指標及對應(yīng)的證實方法。
GB/T 39412適用于指導(dǎo)代碼安全審計相關(guān)工作。
2規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其較新版本(包括所有的修改單)適用于本文件。
GB/T 15272-1994程序設(shè)計語言 C
GB/T 25069信息安全技術(shù)術(shù)語
GB/T 35273-2020信息安全技術(shù) 個人 信息安全規(guī)范
3術(shù)語、定義和縮略語
3.1術(shù) 語和定義
GB/T 15272-1994、 GB/T 25069 和GB/T 35273-2020 界定的以及下列術(shù)語和定義適用于本文件。
3.1.1
代碼安全審計 code security audit
對代碼進行安全分析,以發(fā)現(xiàn)代碼安全缺陷或違反代碼安全規(guī)范的動作。
3.1.2
安全缺陷 security defect
代碼中存在的某種破壞軟件安全能力的問題、錯誤。
3.1.3
跨站腳本攻擊 cross site script
攻擊者向Web頁面里面插人惡意HTML代碼,當(dāng)用戶瀏覽該頁面時,嵌人到Web里面的HTML代碼會被執(zhí)行，從而達到攻擊者的特殊目的。
3.1.4
緩沖區(qū)溢出 buffer overflow
向程序的緩沖區(qū)寫入超出其長度的內(nèi)容,從而破壞程序堆棧,使程序轉(zhuǎn)而執(zhí)行其他指令,以獲取程序或系統(tǒng)的控制權(quán)。
3.1.5
死鎖 deadlock
兩個或兩個以上的進程在執(zhí)行過程中,因競爭資源或彼此通信而造成的一種阻塞現(xiàn)象。

檢測流程步驟

溫馨提示：以上內(nèi)容僅供參考使用，更多檢測需求請咨詢客服。