標準解讀
《GB/T 34943-2017 C/C++語言源代碼漏洞測試規(guī)范》是由中國國家標準化管理委員會發(fā)布的一項國家標準,旨在為使用C/C++編程語言開發(fā)軟件時提供一套系統(tǒng)的源代碼安全檢測方法。該標準定義了針對C/C++程序中可能出現(xiàn)的安全漏洞進行測試的具體流程和技術(shù)要求,包括但不限于緩沖區(qū)溢出、格式化字符串漏洞、整數(shù)溢出等常見問題。
根據(jù)文檔內(nèi)容,其主要組成部分可以分為幾個方面:
- 范圍:明確了本標準適用的對象及應(yīng)用場景。
- 術(shù)語和定義:對標準中使用的專業(yè)詞匯給出了明確的解釋,幫助讀者理解后續(xù)章節(jié)中的技術(shù)描述。
- 測試準備:介紹了在正式開始漏洞測試之前所需完成的各項準備工作,比如確定測試目標、選擇合適的測試工具等。
- 測試過程:詳細說明了如何實施具體的漏洞檢測活動,包括靜態(tài)分析與動態(tài)分析兩種方式,并且提供了每種方法的操作步驟指南。
- 結(jié)果報告:規(guī)定了發(fā)現(xiàn)潛在安全問題后應(yīng)如何記錄并呈現(xiàn)這些信息給相關(guān)人員或團隊,以便于后續(xù)修復(fù)工作。
- 附錄:可能包含一些輔助性的參考資料或者示例,用以進一步闡述某些復(fù)雜的概念或技術(shù)細節(jié)。
如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。
....
查看全部
- 現(xiàn)行
- 正在執(zhí)行有效
- 2017-11-01 頒布
- 2018-05-01 實施
文檔簡介
ICS35080
L77.
中華人民共和國國家標準
GB/T34943—2017
C/C++語言源代碼漏洞測試規(guī)范
SourcecodevulnerabilitytestingspecificationforC/C++
2017-11-01發(fā)布2018-05-01實施
中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布
中國國家標準化管理委員會
GB/T34943—2017
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術(shù)語和定義
3………………1
縮略語
4……………………3
源代碼漏洞測試總則
5……………………4
源代碼漏洞測試目的
5.1………………4
源代碼漏洞測試過程
5.2………………4
源代碼漏洞測試管理
5.3………………5
源代碼漏洞測試工具
5.4………………7
源代碼漏洞測試文檔
5.5………………7
源代碼漏洞測試內(nèi)容
6……………………7
源代碼漏洞分類
6.1……………………7
源代碼漏洞說明
6.2……………………7
附錄資料性附錄語言源代碼漏洞測試案例
A()C/C++……………37
附錄資料性附錄語言源代碼漏洞類別與名稱
B()C/C++…………42
參考文獻
……………………44
Ⅰ
GB/T34943—2017
前言
本標準按照給出的規(guī)則起草
GB/T1.1—2009。
請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任
。。
本標準由全國信息技術(shù)標準化技術(shù)委員會提出并歸口
(SAC/TC28)。
本標準起草單位珠海南方軟件網(wǎng)絡(luò)評測中心珠海中慧微電子有限公司廣東省科技基礎(chǔ)條件平
:、、
臺中心中國電子技術(shù)標準化研究院上海端瑪計算機科技有限公司南昌金廬軟件園軟件評測培訓(xùn)有
、、、
限公司國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心珠海市軟件行業(yè)協(xié)會東信和平科技股份有限公司南京
、、、、
大學(xué)
。
本標準主要起草人侯建華鄧人逖王忠福黃兆森楊尚沅張旸旸趙昌平張子良李璐肖梟
:、、、、、、、、、、
陳振宇張玉霞梁建新蔣蜀鵬周悅?cè)闻鍡钛┚?/p>
、、、、、、。
Ⅲ
GB/T34943—2017
引言
語言是一種面向過程的程序設(shè)計語言廣泛應(yīng)用于系統(tǒng)軟件與嵌入式軟件的開發(fā)本標準的
C,。C
語言語法遵循語言是一種面向?qū)ο蟮某绦蛟O(shè)計語言它在語言的基礎(chǔ)
ISO/IEC9899:2011。C++,C
上發(fā)展而來與語言具有許多相同的語法廣泛應(yīng)用于系統(tǒng)軟件與應(yīng)用軟件的開發(fā)本標準的
,C,。C++
語言語法遵循語法標準眾所周知由于各種人為因素影響每個軟件的源代碼
ISO/IEC14882:2011。,,
都難免會存在漏洞而軟件信息泄露數(shù)據(jù)或代碼被惡意篡改等安全事件的發(fā)生一般都與源代碼漏洞有
,、
關(guān)為盡量減少語言源代碼中存在的漏洞有必要制定針對語言程序的源代碼漏洞
。C/C++,C/C++
測試規(guī)范
。
源代碼漏洞測試可在開發(fā)過程的軟件編碼活動之后實施也可在運行和維護過程中實施
,。
本標準的漏洞分類與漏洞說明主要參考了公司發(fā)布的
MITRECWE(CommonWeaknessEnu-
同時結(jié)合了當前行業(yè)主流的自動化靜態(tài)分析工具在測試實踐中發(fā)現(xiàn)的典型漏洞來確定并進
meration),
行說明
。
注本標準漏洞參考了版本示例代碼適用于本標準選擇的案例
:CWE2.9,。
本標準僅針對自動化靜態(tài)分析工具支持的關(guān)鍵漏洞進行說明應(yīng)用本標準開展源代碼漏洞測試時
,
應(yīng)根據(jù)實際需要對漏洞進行裁剪和補充
。
Ⅳ
GB/T34943—2017
C/C++語言源代碼漏洞測試規(guī)范
1范圍
本標準規(guī)定了語言源代碼漏洞測試的測試總則和測試內(nèi)容
C/C++。
本標準適用于開發(fā)方或第三方機構(gòu)的測試人員利用自動化靜態(tài)分析工具開展的語言源代
C/C++
碼漏洞測試活動語言的程序設(shè)計和編碼人員以及源代碼漏洞測試工具的設(shè)計人員也可參考
,C/C++
使用
。
2規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件
。,()。
信息技術(shù)軟件工程術(shù)語
GB/T11457
計算機軟件測試規(guī)范
GB/T15532—2008
信息技術(shù)軟件生存周期過程配置管理
GB/T20158—2006(ISO/IECTR15846:1998,IDT)
3術(shù)語和定義
界定的以及下列術(shù)語和定義適用于本文件
GB/T11457。
31
.
訪問控制accesscontrol
一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進行訪問的手段
。
定義
[GB/T25069—2010,2.2.1.42]
32
.
攻擊attack
在信息系統(tǒng)中對系統(tǒng)或信息進行破壞泄露更改或使其喪失功能的嘗試包括
溫馨提示
- 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。
最新文檔
- 2023年-2024年公司項目部負責(zé)人安全教育培訓(xùn)試題附答案【黃金題型】
- 立秋文化在新媒體的傳播
- 《材料工程原理緒論》課件
- 《監(jiān)督培訓(xùn)材料》課件
- 激光打標機打標軟件與PLC通信穩(wěn)定性的研究
- 部編版七年級歷史下冊期末復(fù)習(xí)專題課件2024版
- 云安全隱私保護機制-洞察分析
- 營養(yǎng)產(chǎn)業(yè)可持續(xù)發(fā)展-洞察分析
- 外觀模式可維護性-洞察分析
- 稀有金屬國際市場動態(tài)-洞察分析
- 2024-2029年中國IP授權(quán)行業(yè)市場現(xiàn)狀分析及競爭格局與投資發(fā)展研究報告
- 北京市海淀區(qū)2023-2024學(xué)年四年級上學(xué)期期末英語試題
- 2024年湖北省漢江國有資本投資集團有限公司招聘筆試參考題庫含答案解析
- 廣州市九區(qū)聯(lián)考2023-2024學(xué)年高一上學(xué)期期末教學(xué)質(zhì)量監(jiān)測數(shù)學(xué)試卷(原卷版)
- 西方國家的量刑建議制度及其比較
- 游戲方案模板
- 幼兒園大班數(shù)學(xué)上學(xué)期期末考試-試題測試
- 地震預(yù)警安裝方案
- 汽車產(chǎn)品定義 培訓(xùn)課件
- NICU患兒常規(guī)監(jiān)測和護理要點
- 數(shù)字工程勘察信息平臺構(gòu)建
評論
0/150
提交評論