标准规范下载简介
YD/T 3447-2019 联网软件源代码安全审计规范.pdf简介:
"YD/T 3447-2019 联网软件源代码安全审计规范.pdf" 是一份关于联网软件源代码安全审计的标准规范。这个标准由中国信息通信研究院(YD)制定,适用于联网软件的开发和维护过程中的源代码安全审计。该规范的主要目的是为了提升联网软件的安全性,通过系统化、规范化的方法对源代码进行审查,以发现潜在的安全漏洞、代码质量问题以及不合规的操作,确保软件在运行过程中能够保护用户数据安全,防止安全事件的发生。
该规范可能涵盖了内容如代码审查流程、审计技术、安全漏洞识别和处理、风险评估等方面,帮助软件开发者和审计人员增强对源代码的保护意识,提升网络安全防护能力。它适用于政府、企业、研究机构等任何开发联网软件的组织。
YD/T 3447-2019 联网软件源代码安全审计规范.pdf部分内容预览:
中华人民共和国工业和信息化部 发布
YD/T34472019
《聚苯模块保温墙体应用技术规程 JGJ/T420-2017》本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:国家计算机网络应急技术处理协调中心、北京奇虎测腾安全技术有限公司。 本标准主要起草人:舒敏、王博、吴倩、范乐君、黄元飞、高强、张家旺、林星辰、王中华、韩建 吴迪。
YD/T34472019
本标准规定了联网软件源代码安全审计工作的指导性规范,涉及申请、准备、检测、确认、总结等 环节。 本标准适用于自愿委托的,对联网软件源代码进行的安全审计。 本标准不适用于就绪可用软件产品,
采用人工审计或工具自动化审计或两者结合等手段,对软件源代码的选定部分进行安全 软件源代码中可能存在的安全缺陷的过程。
YD/T34472019
注3:本定文道用于产品说明、 和支撑的软件,该软件不收取通常
本标准的制定遵循以下原则。 a)标准化原则:遵循信息安全体系设计的各个环节所对应的国际、国内标准和行业标准。 b)适度安全原则:在安全策略制定上,考虑安全机制的合理性,对重点信息资源,一定要实现重 点保护。在保证安全的前提下,应尽量减少安全机制的规模和复杂性,使之具有可操作性,避 免因过于复杂而导致安全措施难以执行。 1 保密原则:对测试过程的源代码和检测结果数据严格保密,未经授权不得泄露给任何单位和个 人。在源代码安全审计过程中,应采取措施降低源代码的泄露风险,包括但不限于:测试机构 应与被测试企业或者单位签订完备的保密协议;将软件源代码等相关文档保存在由被测试企业 或者单位提供的测试环境中,或者保存在被测试企业或者单位认可的测试机构提供的测试环境 中;源代码安全审计应当在被测试企业或单位管理的场所或其认可的其他安全场所内进行,该 场所应采取适当的物理安全措施:除源代码安全审计报告之外,应禁正审计人员从审计场所带 出任何资料和可能存储源代码的信息载体。 d)自愿性原则:被测试单位按照其承担的法律义务,可以自主、灵活地决定实施源代码安全审计 的机构、小组或个人,实施安全审计的源代码范围,以及采用何种方式实施源代码安全审计。
源代码安全审计的工作内容主要为: a)审计源代码中是否存在安全缺陷; b)确认源代码中的安全缺陷并给出修复建议; c)提供源代码安全审计报告。
运行自动化检测工具,自动化分析源代码中存在
4.2.3人工审计与工具审计结合
根据源代码安全审计的特点,源代码安全审计工作流程分为检测申请阶段、检测准备阶段、检领 段、安全缺陷确认阶段以及检测总结阶段,如图1所示
YD/T3447—2019
输入:审计申请材料。 任务描述。 组建审计工作组,从人员方面做好准备,编制项目计划书,项目计划书应包含项目概述、工作 依据、技术思路、工作内容和项目组织等。 要求审计委托单位提供基本资料,包括但不局限于:源代码包、源代码基本信息表、以及其他 辅助开展源代码审计工作的文档等。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:项目计划书
4.3.3检测准备阶段
为实施源代码安全审计准备相关材料、测试环境及测试工具等。 输入:各种与被测对象相关的技术资料。 任务描述。 审计人员部署调试本次源代码审计的源代码编译环境(如果需要对源代码进行编译)。 审计人员部署本次审计过程中将用到的审计工具, :准备和打印表单,主要包括:文档交接单、源代码交接单、会议记录表单、会议记录签到单等。 输出:选用审计工具清单,打印的各类表单。
《硫铝酸盐水泥基发泡保温板外墙外保温工程技术规程 CECS 379:2014》4.3.4检测实施阶段
实施源代码安全审计。 输入:被测源代码。 任务描述。 审计人员采用4.2提供的工作方法对被测源代码进行审计。 审计人员发现并记录安全缺陷。 审计人员向被测试企业或单位提供此次审计报告,报告中应包括所有经审计发现的源代码安全 缺陷。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:源代码安全审计报告原始版。
4.3.5安全缺陷确认阶段
与开发人员就检测原始结果进行沟通,确认结果的正确性。 输入:源代码安全审计报告原始版。 任务描述。 审计人员与开发人员对源代码安全审计报告原始版进行沟通,沟通的内容包括:所发现安全缺 陷是否属于误报、修复建议是否恰当等。 审计人员根据沟通结果对源代码审计报告原始版进行修改,形成源代码安全审计报告确认版。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:源代码安全审计报告确认版。
YD/T34472019
4.3.6检测总结阶段
对源代码安全审计过程进行总结。 输入:此次源代码安全审计工作的各类文档。 任务描述。 相关人员开会对本次审计工作进行总结,总结包括审计过程中遇到的困难及问题、工作方法在 实施过程中是否存在偏差、工作流程是否按照正常流程执行等。 相关人员对上述总结情况进行记录GB∕T 21492-2019 玻璃纤维增强塑料顶管,形成源代码安全审计总结报告。 输出:源代码安全审计总结报告。
对源代码安全审计过程进行总结。 输入:此次源代码安全审计工作的各类文档。 任务描述。 相关人员开会对本次审计工作进行总结,总结包括审计过程中遇到的困难及问题、工作方法在 实施过程中是否存在偏差、工作流程是否按照正常流程执行等。 相关人员对上述总结情况进行记录,形成源代码安全审计总结报告。 输出:源代码安全审计总结报告。