返回
信息安全技术-应用软件安全编程指南-编制说明

信息安全技术-应用软件安全编程指南-编制说明

ID:28308089

大小:64.00 KB

页数:4页

时间:2018-12-09

信息安全技术-应用软件安全编程指南-编制说明_第1页
信息安全技术-应用软件安全编程指南-编制说明_第2页
信息安全技术-应用软件安全编程指南-编制说明_第3页
信息安全技术-应用软件安全编程指南-编制说明_第4页
资源描述:

《信息安全技术-应用软件安全编程指南-编制说明》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、国家标准《应用软件安全编码指南》(征求意见稿)编制说明一、工作简况本标准依据GB/T1.1-2009给出的规则起草。由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。木标准起草单位:国家计算机网络应急技术处理协调中心、北京邮电大学、北京奇虎测腾安全技术有限公司。本标准主要起草人:舒敏、王博、吴倩、黄元飞、张家旺、林星辰、陈禹、王鹏翩、李燕伟、高强、杨鹏、陈亮、范乐君、张淼、徐国爱、郭燕慧、李祺、杨昕雨、王晨宇、黄永刚、韩建、章磊。二、标准编制原则和确定主要内容的论据及解决的主要问题本

2、标准的编制原则为科学性、实用性、普适性。本标准对应用软件安全编程进行规范和指导,帮助应用软件开发荠在编程时提升软件安全性,避免在软件发布后由安全问题造成的重大损失。本标准的制定广泛吸收了相关编码标准或技术报告中的内容,冋吋深入考虑实际编程中的安全问题,已在通信、金融等重点行业的软件开发部门展7H式用,结果表明该标准能够为软件安全编程提供有效指导,明显提升软件安全性,具有较高的可行性和指导意义。三、主要试验[或验证]情况分析S前己在通信、金融等重点行业的软件开发部门展开试用,效果良好,能够明显提升软

3、件安全性。!1!无五、产业化情况、推广应用论证和预期达到的经济效果本标准旨在为应用软件开发者提供安全编程指导,可帮助开发者快速建立安全意识,减少代码中的安全隐患,提升软件安全性。目前己在通信、金融等重点行业的软件开发部门展开试用,取得了良好的效果。此外,标准还可用于信息系统建设单位对应用软件开发商进行安全编程规范,如作为合同附件、招投标要求等。六、采用国际标准和国外先进标准情况未直接采用国际标准。目前国际上影响力较人的是CERT(ComputerEmergencyReadinessTeam)正在维

4、护的针对C、C++、Java、Perl四种编程语言的安全编程指南,旨在为开发者提供指导和建议,帮助其开发出健壮、安全的软件。该指南目前以Wiki形式公开,处在开放性状态,允许开发者补充和修改。国际标准化组织ISO和国际电工委员会(IEC)在信息技术领域编程语言方而进行丫一系列研宄。ISO17961“Csecurecodingrules”屮包含丫46条0语言安全编程细则和代码示例,TSO/TECTR24772:2013“Guidancetoavoidingvulnerabilitiesinprogr

5、amminglanguagesthroughlanguageselectionanduse”从编程语言自身的语言特性出发,给出了语言选择指南,以及使用特定语言时,规避安全漏洞的建议。汽车工业软件可靠性协会(MISRA,TheMotorIndustrySoftwareReliabilityAssociation)提出了一套针对嵌入式软件的C/C++编码标准,最新的版木是MISRAC:2012。通常认为,如果能够完全遵守这些标准,则代码是易读、可靠、可移植和易于维护的,很多嵌入式开发者都以该标准来衡量

6、自己的编码风格。本标准屮的基本内容吸收丫CWE、0WASP等国外安全编程技术规范,借鉴丫ISO/IEC、CERT、MISRA等相关国际标准。与IS0/IEC(17061、24772)等安全编程相关国际标准不同,木标准独立于具体编程语言,提出通用的在编程时应采取的能够显著降低软件安全风险的解决方案,具有更强的齊适性。因此本标准具备制定力国际标准的可行性。七、与现行相关法律、法规、规章及相关标准的协调性本标准严格遵守《计算机信息网络国际联网安全保护管理办法》、《全国人民代表大会常务委员会关于维护互联网

7、安全的决定》、《中华人民共和国计算机信息网络W际联网管理暂行规定》、《中华人民井和国计算机信息系统安全保护条例》、《互联网信息管理服务办法》、《中华人民共和国电信条例》等国家互联网信息安全的相关政策法规。《GB/T28452-2012信息安全技术应用软件系统通用安全技术要求》描述了GBT17859所规定的每一个安全保护等级的应用软件系统的通用技术要求,其中4.2节应用软件获得或开发阶段安全技术要求中提到“自主开发的应用软件,应按照确定的安全技术要求进行安全设计和实现”,但并未深入描述软件编程实现吋

8、的具体的安全性要求。《GB/T30998-2014信息技术软件安全保障规范》规定了开发安全关键软件所必需的软件安全活动,其中6.4节软件实现的安全保障分析中提到“所有软件安全设计特征和方法应在软件代码中实现”、“开发软件代码时应使用软件编码标准”,但未明确具体编码标准内容。本标准为应用软件开发提供普适的安全编程指导,能够为以上标准内容提供补充。八、重大分歧意见的处理经过和依据遇到的问题是应用软件安全编程标准的适用性问题。由于应用软件的种类与应用环境众多,难以使用完全一致的应用软件安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。