ICS35080

L77.

中華人民共和國國家標準

GB/T36099—2018

基于行為聲明的應用軟件可信性驗證

Applicationsoftwaretrustworthinessverificationbasedonbehaviordeclaration

2018-03-15發布2018-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T36099—2018

目次

前言

…………………………Ⅰ

范圍

1………………………1

術語和定義

2………………1

縮略語

3……………………1

應用軟件行為聲明內容要求

4……………1

驗證過程

5…………………2

應用軟件可信性驗證示例

6………………3

附錄資料性附錄應用軟件可信性驗證示例

A()………4

GB/T36099—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息技術標準化技術委員會提出并歸口

(SAC/TC28)。

本標準起草單位國家應用軟件產品質量監督檢驗中心中國電子技術標準化研究院北京工業大

:、、

學北京數字冰雹信息技術有限公司

、。

本標準主要起草人宋紅波梁勇于學軍汪璞李健王坤鄧瀟

:、、、、、、。

Ⅰ

GB/T36099—2018

基于行為聲明的應用軟件可信性驗證

1范圍

本標準規定了應用軟件行為聲明的內容要求給出了基于行為聲明的應用軟件可信性驗證過程

,。

本標準適用于對個人計算機及移動信息處理設備上的應用軟件進行可信性驗證

。

2術語和定義

下列術語和定義適用于本文件

。

21

.

應用軟件可信性applicationsoftwaretrustworthiness

應用軟件實際行為與所聲明行為的一致性

。

22

.

行為聲明behaviordeclaration

應用軟件開發者對應用軟件的敏感行為作出的明示承諾文件

。

23

.

敏感行為sensitivebehavior

以下一種或多種行為可能侵犯應用軟件的用戶權利的行為可能侵犯其他軟件權利的行為可能

:、,

影響其他軟件運行的行為可能引發用戶無法預期的軟硬件環境配置改變的行為

,。

注包括但不限于與設備相關與配置相關與數據相關與環境相關的行為

:、、、。

3縮略語

下列縮略語適用于本文件

。

應用程序編程接口

API:(ApplicationProgrammingInterface)

傳輸控制協議

TCP:(TransmissionControlProtocol)

用戶數據報協議

UDP:(UserDatagramProtocol)

可擴展置標語言

XML:(ExtensibleMarkupLanguage)

4應用軟件行為聲明內容要求

應用軟件行為聲明內容要求如下

:

行為聲明文件自身應具備完整性驗證機制行為聲明文件中包括基于數字簽名的自身完整性

a)。

驗證方法以防止對行為聲明的篡改確保行為聲明的有效性

,,。

行為聲明應具備對應用軟件的版本和完整性進行驗證的信息行為聲明包括應用軟件的版

b)。

本驗證機制和軟件完整性驗證機制以防止對應用軟件文件的篡改同時防止將行為聲明用

,,

于非預期的軟件版本

。

行為聲明應包括應用軟件敏感行為清單該清單描述應用軟件運行中可能產生的敏感行為

c)。,

此處所述的敏感行為