GB/T 39412-2020 信息安全技术 代码安全审计规范

GB/T 39412-2020.Information security technology- Audit specification of code security. 1范围 GB/T 39412规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。 GB/T 39412适用于指导代码安全审计相关工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 15272-1994程序设计语言 C GB/T 25069信息安全技术术语 GB/T 35273-2020信息安全技术 个人 信息安全规范 3术语、定义和缩略语 3.1术 语和定义 GB/T 15272-1994、 GB/T 25069 和GB/T 35273-2020 界定的以及下列术语和定义适用于本文件。 3.1.1 代码安全审计 code security audit 对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。 3.1.2 安全缺陷 security defect 代码中存在的某种破坏软件安全能力的问题、错误。 3.1.3 跨站脚本攻击 cross site script 攻击者向Web页面里面插人恶意HTML代码,当用户浏览该页面时,嵌人到Web里面的HTML代码会被执行，从而达到攻击者的特殊目的。 3.1.4 缓冲区溢出 buffer overflow 向程序的缓冲区写入超出其长度的内容,从而破坏程序堆栈,使程序转而执行其他指令,以获取程序或系统的控制权。 3.1.5 死锁 deadlock 两个或两个以上的进程在执行过程中,因竞争资源或彼此通信而造成的一种阻塞现象。