YD/T 3447-2019 联网软件源代码安全审计规范.pdf

YD/T 3447-2019 联网软件源代码安全审计规范.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:4.3 M
标准类别:电力标准
资源ID:241989
下载资源

标准规范下载简介

YD/T 3447-2019 联网软件源代码安全审计规范.pdf

ICS35.240 1.67

YD/T3447201

联网软件源代码安全审计规范 Source code security audit specifications for cyber software

DG/TJ08-2263-2018标准下载Source code security audit specifications for cyber software

中华人民共和国工业和信息化部 发布

YD/T34472019

本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:国家计算机网络应急技术处理协调中心、北京奇虎测腾安全技术有限公司。 本标准主要起草人:舒敏、王博、吴倩、范乐君、黄元飞、高强、张家旺、林星辰、王中华、韩建 吴迪。

YD/T34472019

本标准规定了联网软件源代码安全审计工作的指导性规范,涉及申请、准备、检测、确认、总结等 环节。 本标准适用于自愿委托的,对联网软件源代码进行的安全审计。 本标准不适用于就绪可用软件产品,

采用人工审计或工具自动化审计或两者结合等手段,对软件源代码的选定部分进行安全 软件源代码中可能存在的安全缺陷的过程。

YD/T34472019

注3:本定文道用于产品说明、 和支撑的软件,该软件不收取通常

本标准的制定遵循以下原则。 a)标准化原则:遵循信息安全体系设计的各个环节所对应的国际、国内标准和行业标准。 b)适度安全原则:在安全策略制定上,考虑安全机制的合理性,对重点信息资源,一定要实现重 点保护。在保证安全的前提下,应尽量减少安全机制的规模和复杂性,使之具有可操作性,避 免因过于复杂而导致安全措施难以执行。 1 保密原则:对测试过程的源代码和检测结果数据严格保密,未经授权不得泄露给任何单位和个 人。在源代码安全审计过程中,应采取措施降低源代码的泄露风险,包括但不限于:测试机构 应与被测试企业或者单位签订完备的保密协议;将软件源代码等相关文档保存在由被测试企业 或者单位提供的测试环境中,或者保存在被测试企业或者单位认可的测试机构提供的测试环境 中;源代码安全审计应当在被测试企业或单位管理的场所或其认可的其他安全场所内进行,该 场所应采取适当的物理安全措施:除源代码安全审计报告之外,应禁正审计人员从审计场所带 出任何资料和可能存储源代码的信息载体。 d)自愿性原则:被测试单位按照其承担的法律义务,可以自主、灵活地决定实施源代码安全审计 的机构、小组或个人,实施安全审计的源代码范围,以及采用何种方式实施源代码安全审计。

源代码安全审计的工作内容主要为: a)审计源代码中是否存在安全缺陷; b)确认源代码中的安全缺陷并给出修复建议; c)提供源代码安全审计报告。

运行自动化检测工具,自动化分析源代码中存在

4.2.3人工审计与工具审计结合

根据源代码安全审计的特点,源代码安全审计工作流程分为检测申请阶段、检测准备阶段、检领 段、安全缺陷确认阶段以及检测总结阶段,如图1所示

YD/T3447—2019

输入:审计申请材料。 任务描述。 组建审计工作组,从人员方面做好准备,编制项目计划书,项目计划书应包含项目概述、工作 依据、技术思路、工作内容和项目组织等。 要求审计委托单位提供基本资料,包括但不局限于:源代码包、源代码基本信息表、以及其他 辅助开展源代码审计工作的文档等。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:项目计划书

SH/T 3207-2019 石油化工工程安全标志.pdf4.3.3检测准备阶段

为实施源代码安全审计准备相关材料、测试环境及测试工具等。 输入:各种与被测对象相关的技术资料。 任务描述。 审计人员部署调试本次源代码审计的源代码编译环境(如果需要对源代码进行编译)。 审计人员部署本次审计过程中将用到的审计工具, :准备和打印表单,主要包括:文档交接单、源代码交接单、会议记录表单、会议记录签到单等。 输出:选用审计工具清单,打印的各类表单。

4.3.4检测实施阶段

实施源代码安全审计。 输入:被测源代码。 任务描述。 审计人员采用4.2提供的工作方法对被测源代码进行审计。 审计人员发现并记录安全缺陷。 审计人员向被测试企业或单位提供此次审计报告,报告中应包括所有经审计发现的源代码安全 缺陷。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:源代码安全审计报告原始版。

4.3.5安全缺陷确认阶段

与开发人员就检测原始结果进行沟通,确认结果的正确性。 输入:源代码安全审计报告原始版。 任务描述。 审计人员与开发人员对源代码安全审计报告原始版进行沟通,沟通的内容包括:所发现安全缺 陷是否属于误报、修复建议是否恰当等。 审计人员根据沟通结果对源代码审计报告原始版进行修改,形成源代码安全审计报告确认版。 软件源代码等相关文档的保存应符合第3章中的保密原则。 输出:源代码安全审计报告确认版。

YD/T34472019

公共卫生事件下体育馆应急改造为临时医疗中心设计指南(江苏省住房和城乡建设厅2020年2月).pdf4.3.6检测总结阶段

©版权声明
相关文章