国家标准计划《信息安全技术 代码安全审计规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 信息安全共性技术国家工程研究中心 、中国科学院信息工程研究所 、国家保密科技测评中心 、北京信息安全测评中心 、中国信息安全测评中心 、中国电子技术标准化研究院 、公安部第三研究所 、国家计算机网络应急技术处理协调中心 。

本项目的目标是制定代码安全审计规范。

重点关注源代码安全漏洞、软件脆弱性、代码编写质量等安全相关问题的审计实施，为代码安全编写、检测提供支持，为风险评估、等级保护测试作参考。

从技术层面而言，代码安全审计规范的制定，将使国内软件代码安全审计拥有可靠的标准和依据，有利于提高代码的编写质量，增强代码的安全性。

同时，从代码审查工具研发的角度看，规范的制定将为相关工具的开发提供规则需求支持，有利于开发性能良好的代码安全审计自动化产品 。

从政策标准层面而言，国内相关标准对代码审计都提出了明确的要求，如等级保护相关标准、风险控制相关标准、信息安全管理标准等都要求对代码实施安全审计。

代码审计规范的制定，是对上述标准的有益补充，增强了标准的可操作性，有利于标准有效落实。

此外，代码审计安全规范的制定，有利于打破各行业重复制定相关标准，从而避免代码安全标准的恶性竞争，改变代码安全控制的无序状态，促进行业的交流和信息共享。

本项目主要针对代码层面的安全问题，从代码安全弱点、代码质量等方面制定代码安全审计规范。主要通过分析已公布的安全漏洞，依据国内外相关编程规范，对软件代码安全功能、代码实现、资源使用、环境安全等通用弱点制定审计规范；对代码编写风格、可读性、易于调试、健壮性、稳定性等方面进行研究，制定代码质量控制规范；规范审计目的、审计时机、审计人员、审计方法以及审计过程等。