【GB国家标准】 信息安全技术 代码安全审计规范

GB/T 39412-2020.Information security technology- Audit specification of code security.
1范围
GB/T 39412规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。
GB/T 39412适用于指导代码安全审计相关工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15272-1994程序设计语言 C
GB/T 25069信息安全技术术语
GB/T 35273-2020信息安全技术 个人 信息安全规范
3术语、定义和缩略语
3.1术 语和定义
GB/T 15272-1994、 GB/T 25069 和GB/T 35273-2020 界定的以及下列术语和定义适用于本文件。
3.1.1
代码安全审计 code security audit
对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。
3.1.2
安全缺陷 security defect
代码中存在的某种破坏软件安全能力的问题、错误。
3.1.3
跨站脚本攻击 cross site script
攻击者向Web页面里面插人恶意HTML代码,当用户浏览该页面时,嵌人到Web里面的HTML代码会被执行，从而达到攻击者的特殊目的。
3.1.4
缓冲区溢出 buffer overflow
向程序的缓冲区写入超出其长度的内容,从而破坏程序堆栈,使程序转而执行其他指令,以获取程序或系统的控制权。
3.1.5
死锁 deadlock
两个或两个以上的进程在执行过程中,因竞争资源或彼此通信而造成的一种阻塞现象。