返回
信息安全技术-代码安全审计规范-编制说明

信息安全技术-代码安全审计规范-编制说明

ID:27682065

大小:48.50 KB

页数:5页

时间:2018-12-05

信息安全技术-代码安全审计规范-编制说明_第1页
信息安全技术-代码安全审计规范-编制说明_第2页
信息安全技术-代码安全审计规范-编制说明_第3页
信息安全技术-代码安全审计规范-编制说明_第4页
信息安全技术-代码安全审计规范-编制说明_第5页
资源描述:

《信息安全技术-代码安全审计规范-编制说明》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、国家标准《信息安全技术代码安全审计规范》《征求意见稿》编制说明一、工作简况1.1任务来源《代码安全审计规范》是国家标准化管理委员会2015年下达的信息安全国家标准制定项目。由信息安全共性技术国家工程研究中心主要负责进行规范的起草,中国科学院信息工程研宂所、国家保密科技测评中心、北京信息安全测评屮心、屮国信息安全测评屮心、屮国电子技术标准化研究院、公安部第三研究所等单位参与起草。1.2主要工作过程1、2015年7月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。2、2015年8-9只,根据任务书的要求,规范编制小组

2、开展考察调研和资料搜集工作,研宄W内外代码安全相关的材料,研究资料包括国内外安全编码标淮,代码审计相关标准,行业标准,各大高校研究成果,漏洞库以及主流产品的规则库等各方面。对《C安全编码标准》,Oava安全编码标准》,ISO/IEC的标准《Informationtechnology―Programminglanguages,theirenvironmentsandsystemsoftwareinterfaces-Csecurecodingrules》《航天型号软件C语言安全了•集》,CWE(CommonWeaknessEnumeration通用软件缺陷列表),《OWASP安全编码规范

3、快速参考指南》,,《NASA-GB-A301SoftwareQualityAssuranceAuditsGuidebook》,《NASA-GB-8719.13NASASoftwareSafetyGuidebook》,北京邮电大学,西安电子科技大学等科研成果,以及Findbug,Fortify等产品规则库进行了重点分析,进行标准漏洞收集整理,形成编制思路。3、2015年9刀底,组织编制组专家进行编制思路讨论,形成意见汇总处理表。本次会议上主要对标准的定位,应该覆盖的内容,编写角度等进行了讨论。4、2015年10月,整理出源代码安全审计规范的框架体系5、2015年11月-2016年1月,

4、按照制定的框架结构,进行分类方法研究,研宄了7PK,CWEDevelopmentview,CWEResearchview等分类方法,最后确定申计规则分类的原则和方法主要参照CWEDevelopmentview。6.2016年2-9月,形成《代码安全审计规范》编制组内草案初稿V1.0。V1.0版本分C、Java两个部分,其中融合了CWE、CERT等各方关于C语言和Java源代码的规则,剔除了其中通用性较差或不易操作的规则。7.2016年10月,组织编制组内专家进行评审。8.2016年11月-2017年5月,根据专家意见进行修改,增强审计的描述,增加概述等章节,形成草案初稿V2.0。9.

5、2017年6月,邀请安全标准专家进行评审。10.2017年7月,根据专家意见,由于只有一个国标号,因此将标准由C、JavaW部分抽象提炼成一个标准,补充完善了审计指标和审计方法的内容;将代码示例移到附录中作为补充性资料,形成了草案初稿V3.0。11.2017年8月,根据专家意见,増加了源代码安全审计目的、审计时机、审计人员、审计方法以及审计过程等章节;将原章节的源代码安全审计要求改为源代码安全弱点审计列表,并对弱点的二级分类取消,均衡各审计条款粒度,形成草案V4.0.12.2017年10月,在厦门安标委第二次会议周上,经过征求意见、会议讨论、最终经专家组决定将该标准由草案推进为征求意

6、见稿。二、编制原则和主要内容2.1编制原则本标准的研宄与编制工作遵循以下原则:(1)通用性原则对国内外知名源代码安全编码标准进行总结、归纳,同时参考吸纳国内外相关领域的先进成果并融入标准,审计规则范围覆盖了编码阶段的常见缺陷。(2)可操作性和实用性原则对于比较抽象的审计规则,给出了规范代码示例和不规范代码示例等补充性资料。(3)简化原则对火量规则进行筛选提炼,经过剔除、替换,保持整体结构合理II维持原意和功能不变。(4)完备性原则融合了国内外代码审计相关标准规范,以及主流的代码审计工具审计规则,保证了审计指标的完备性。2.2主要内容《代码安全审计规范》主要依据项目要求,制定了当前较为

7、常用的编程语言源代码层面的安全审计规范。木规范的审计对象是源代码,描述了审计目的、审计时机、审计人员、审计方法以及审计过程的规范,并描述了源代码安全弱点审计列表供审计时参考。文本主体由6个章节正文组成。第1章、第2章和第3章为标准的固定格式要求,说明《信息安全技术代码安全审计规范》标准的使用范围、引用的其他标准、使用到的术语定义。第4章《源代码安全审计概述》描述了审计目的、审计时机、审计人员、审计方法。第5章是对源代码安全审计过程的具体描述。第6章描述丫源

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。