標準解讀

《GB/T 34944-2017 Java語言源代碼漏洞測試規范》是一項國家標準,旨在為Java語言編寫的軟件提供一套系統的源代碼安全漏洞檢測方法。該標準適用于使用Java編程語言開發的應用程序的安全性評估過程,其主要目的是通過定義一系列的規則和指導方針來幫助開發者識別并修復潛在的安全漏洞。

標準中詳細列出了多個方面的內容,包括但不限于術語與定義、測試流程、測試用例設計原則以及具體的漏洞類型及其對應的檢測方法。對于每種類型的漏洞,標準都給出了詳細的描述,包括漏洞可能造成的影響、如何利用自動化工具或手動檢查的方式發現這些漏洞,并提供了示例代碼以輔助理解。

此外,《GB/T 34944-2017》還強調了在進行源代碼安全測試時應遵循的最佳實踐,比如采用多層次的安全策略、確保測試環境與生產環境隔離等。它也提到了一些常見的安全編碼指南,鼓勵開發者從一開始就將安全性考慮進設計之中,而不是作為事后補救措施。

此標準不僅針對專業的信息安全人員,同樣適用于所有參與軟件開發周期的技術人員,如程序員、架構師等,通過對Java應用程序進行全面而深入的安全分析,有助于提高整個軟件生態系統的健壯性和安全性。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2017-11-01 頒布
  • 2018-05-01 實施
?正版授權
GB/T 34944-2017Java語言源代碼漏洞測試規范_第1頁
GB/T 34944-2017Java語言源代碼漏洞測試規范_第2頁
GB/T 34944-2017Java語言源代碼漏洞測試規范_第3頁
GB/T 34944-2017Java語言源代碼漏洞測試規范_第4頁
GB/T 34944-2017Java語言源代碼漏洞測試規范_第5頁
免費預覽已結束,剩余59頁可下載查看

下載本文檔

GB/T 34944-2017Java語言源代碼漏洞測試規范-免費下載試讀頁

文檔簡介

ICS35080

L77.

中華人民共和國國家標準

GB/T34944—2017

Java語言源代碼漏洞測試規范

SourcecodevulnerabilitytestingspecificationforJava

2017-11-01發布2018-05-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T34944—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………4

源代碼漏洞測試總則

5……………………4

源代碼漏洞測試目的

5.1………………4

源代碼漏洞測試過程

5.2………………4

源代碼漏洞測試管理

5.3………………5

源代碼漏洞測試工具

5.4………………7

源代碼漏洞測試文檔

5.5………………7

源代碼漏洞測試內容

6……………………7

源代碼漏洞分類

6.1……………………7

源代碼漏洞說明

6.2……………………8

附錄資料性附錄語言源代碼漏洞測試案例

A()Java…………………50

附錄資料性附錄語言源代碼漏洞類別與名稱

B()Java………………56

參考文獻

……………………58

GB/T34944—2017

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息技術標準化技術委員會提出并歸口

(SAC/TC28)。

本標準起草單位珠海南方軟件網絡評測中心杭州安恒信息技術有限公司廈門理工學院上海端

:、、、

瑪計算機科技有限公司中國電子技術標準化研究院東信和平科技股份有限公司遠光軟件股份有限

、、、

公司南京大學國家應用軟件產品質量監督檢驗中心珠海中慧微電子有限公司廣東省科技基礎條件

、、、、

平臺中心珠海市軟件行業協會南昌金廬軟件園軟件評測培訓有限公司吉林省電子信息產品監督檢

、、、

驗研究院

本標準主要起草人侯建華黃兆森王忠福范淵楊尚沅鄧人逖梁建新張旸旸李軍李璐

:、、、、、、、、、、

王威黃華婕劉早辛士界陳振宇肖梟崔建峰申煜湘

、、、、、、、。

GB/T34944—2017

引言

語言是一種面向對象的運行于虛擬機之上的高級程序設計語言它廣泛應用于各種大

Java、Java。

型信息系統和智能終端應用軟件的開發眾所周知由于各種人為因素影響每個軟件的源代碼都難免

。,,

會存在漏洞而軟件信息泄露數據或代碼被惡意篡改等安全事件的發生一般都與源代碼漏洞有關為

,、。

盡量減少語言源代碼中存在的漏洞有必要制定針對語言程序的源代碼漏洞測試規范

Java,Java。

源代碼漏洞測試可在開發過程的軟件編碼活動之后實施也可在運行和維護過程中實施

,。

本標準的漏洞分類與漏洞說明主要參考了公司發布的

MITRECWE(CommonWeaknessEnu-

同時結合了當前行業主流的自動化靜態分析工具在測試實踐中發現的典型漏洞來確定并進

meration),

行說明

注本標準漏洞參考了版本示例代碼適用于本標準選擇的漏洞說明

:CWE2.9,。

本標準僅針對自動化靜態分析工具支持的關鍵漏洞進行說明應用本標準開展源代碼漏洞測試時

,

應根據實際需要對漏洞進行裁剪和補充

GB/T34944—2017

Java語言源代碼漏洞測試規范

1范圍

本標準規定了語言源代碼漏洞測試的測試總則和測試內容

Java。

本標準適用于開發方或第三方機構的測試人員利用自動化靜態分析工具開展的語言源代碼

Java

漏洞測試活動語言的程序設計和編碼人員以及源代碼漏洞測試工具的設計人員也可參考使用

,Java。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術軟件工程術語

GB/T11457

計算機軟件測試規范

GB/T15532—2008

信息技術軟件生存周期過程配置管理

GB/T20158—2006(ISO/IECTR15846:1998,IDT)

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T11457。

31

.

訪問控制accesscontrol

一種保證數據處理系統的資源只能由被授權主體按授權方式進行訪問的手段

定義

[GB/T25069—2010,2.2.1.42]

32

.

攻擊attack

在信息系統中對系統或信息進行破壞泄露更改或使其喪失功能的嘗試包括竊取數據

,、、()。

定義

[GB/T25069—2010,2.2.1.58]

33

.

密碼分組鏈接cipherblockchaining

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論