GB/T39412—2020 信息安全技术 代码安全审计规范 Information security technology Audit specification of code security 2020-11-19发布 国家市场监督管理总局 国家标准化管理委员会 发布 2021-06-01实施 前言 本标准按照GB/T1.1—2009的规则起草。请注意，本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。本标准起草单位包括信息安全共性技术国家工程研究中心、中国科学院信息工程研究所、国家保密科技测评中心、北京信安全测评中心、中国信息安全测评中心、中国申子技术标准化研究院、公安部第三研究所、国家计算机网络应急技术处理协调中心。本标准主要起草人：干彦杰、胡建勋、徐根炜、高振鹏、伊鹏达、肖树根、康蕊、霍玮、朴爱花、李丰、何建波、刘国乐、刘海峰、赵章界、李晨旸、王嘉捷、辛伟、孙彦、孙永清、郭运尧、干博、吴倩 1 范围 本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。本标准适用于指导代码安全审计相关工作。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡注日期的引用文件，仅注日期的版本适用于本标准；凡不注日期的引用文件，其最新版本（包括所有修改）适用于本标准。GB/T15272—1994 程序设计语言C, GB/T25069 信息安全技术术语, GB/T35273—2020 信息安全技术 个人信息安全规范 3 术语、定义和缩略语 3.1 术语和定义 本标准适用GB/T15272—1994、GB/T25069和GB/T35273—2020界定的术语及下列定义。 3.1.1 代码安全审计 (code security audit) 对代码进行安全分析，以发现代码安全缺陷或违反代码安全规范的行为。 3.1.2 安全缺陷 (security defect) 代码中存在的破坏软件安全能力的问题或错误。 3.1.3 跨站脚本攻击 (cross site script) 攻击者向Web页面插入恶意HTML代码，当用户浏览该页面时，嵌入的HTML代码会被执行，从而达到攻击者的目的。 3.1.4 缓冲区溢出 (buffer overflow) 向程序缓冲区写入超出其长度的内容，破坏程序堆栈，使程序执行其他指令以获取程序或系统控制权。 3.1.5 死锁 (deadlock) 两个或两个以上进程在执行过程中，因竞争资源或彼此通信而造成的阻塞现象。 3.1.6 错误 (error) 系统运行中出现的可能导致系统崩溃或暂停运行的非预期问题。 3.1.7 特殊元素 (special elements) 用于特定表达式或语言中分隔数据不同部分的字节、字符或字序列。 3.1.8 异常 (exception) 系统运行中出现的非预期事件，需要特别处理以维持系统稳定性。 4 审计概述 4.1 审计说明 4.2 审计目的 4.3 审计时机 4.4 审计人员 4.5 审计方法 5 审计过程 5.1 总体流程 5.2 审计准备 5.3 审计实施 5.4 审计报告 5.5 改进跟踪 6 安全功能缺陷审计 6.1 数据清洗 6.2 数据加密与保护 6.3 访问控制 6.4 日志安全 7 代码实现安全缺陷审计 7.1 面向对象程序安全 7.2 并发程序安全 7.3 函数调用安全 7.4 异常处理安全 7.5 指针安全 7.6 代码生成安全 8 资源使用安全缺陷审计 8.1 资源管理 8.2 内存管理 8.3 数据库使用 8.4 文件管理 8.5 网络传输 9 环境安全缺陷审计 9.1 遗留调试代码 9.2 第三方软件安全可靠性 9.3 保护重要配置信息 附录A（资料性附录） 附录B（资料性附录） 参考文献 代码安全审计报告 代码示例