《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)規定了代碼安全的審計過程以及安全功能缺陷、代碼實現安全缺陷、資源使用安全缺陷、環境安全缺陷等典型審計指標及對應的證實方法。該標準適用於指導代碼安全審計相關工作。
基本介紹
- 中文名:信息安全技術—代碼安全審計規範
- 外文名:Information security technology—Audit specification of code security
- 標準號:GB/T 39412-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準計畫
2019年10月24日,國家標準計畫《信息安全技術—代碼安全審計規範》(20193256-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)實施。
制定依據
國家標準《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:信息安全共性技術國家工程研究中心、中國科學院信息工程研究所、國家保密科技測評中心、北京信息安全測評中心、中國信息安全測評中心、中國電子技術標準化研究院、公安部第三研究所、國家計算機網路應急技術處理協調中心。
主要起草人:王彥傑、胡建勛、徐根煒、高振鵬、伊鵬達、肖樹根、康蕊、霍瑋、朴愛花、李豐、何建波、劉國樂、劉海峰、趙章界、李晨暘、王嘉捷、辛偉、孫彥、孫永清、郭運堯、王博、吳倩。
標準目次
前言 | Ⅲ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語、定義和縮略語 | 1 |
4審計概述 | 2 |
5審計過程 | 3 |
6安全功能缺陷審計 | 5 |
7代碼實現安全缺陷審計 | 11 |
8資源使用安全缺陷審計 | 15 |
9環境安全缺陷審計 | 19 |
附錄A(資料性附錄)代碼安全審計報告 | 21 |
附錄B(資料性附錄)代碼示例 | 22 |
參考文獻 | 37 |
參考資料:
內容範圍
《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)規定了代碼安仝的審計過程以及安仝功能缺陷、代碼實現安全缺陷、資源使用安全缺陷、環境安全缺陷等典型審計指標及對應的證實方法。該標準適用於指導代碼安全審計相關工作。
引用檔案
GB/T 15272-1994 程式設計語言 | GB/T 25069 信息安全技術—術語 |
GB/T 35273-2020 信息安仝技術—個人信息安全規範 | - |
參考資料:
意義價值
《信息安全技術—代碼安全審計規範》(GB/T 39412-2020)使中國國內軟體代碼安全審計擁有可靠的標準和依據,有利於提高代碼的編寫質量,增強代碼的安全性。同時,從代碼審查工具研發的角度看,規範的制定為相關工具的開發提供規則需求支持,有利於開發性能良好的代碼安全審計自動化產品。從政策標準層面而言,中國國內相關標準對代碼審計都提出了明確的要求,如等級保護相關標準、風險控制相關標準、信息安全管理標準等都要求對代碼實施安全審計。該標準的制定,是對上述標準的有益補充,增強了標準的可操作性,有利於標準有效落實。此外,該標準的制定,有利於打破各行業重複制定相關標準,從而避免代碼安全標準的惡性競爭,改變代碼安全控制的無序狀態,促進行業的交流和信息共享。
