国家标准计划《信息安全技术 代码安全审计规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 信息安全共性技术国家工程研究中心 、中国科学院信息工程研究所 、国家保密科技测评中心 、北京信息安全测评中心 、中国信息安全测评中心 、中国电子技术标准化研究院 、公安部第三研究所 、国家计算机网络应急技术处理协调中心 。
35 信息技术、办公机械 |
35.040 字符集和信息编码 |
本项目的目标是制定代码安全审计规范。
重点关注源代码安全漏洞、软件脆弱性、代码编写质量等安全相关问题的审计实施,为代码安全编写、检测提供支持,为风险评估、等级保护测试作参考。
从技术层面而言,代码安全审计规范的制定,将使国内软件代码安全审计拥有可靠的标准和依据,有利于提高代码的编写质量,增强代码的安全性。
同时,从代码审查工具研发的角度看,规范的制定将为相关工具的开发提供规则需求支持,有利于开发性能良好的代码安全审计自动化产品 。
从政策标准层面而言,国内相关标准对代码审计都提出了明确的要求,如等级保护相关标准、风险控制相关标准、信息安全管理标准等都要求对代码实施安全审计。
代码审计规范的制定,是对上述标准的有益补充,增强了标准的可操作性,有利于标准有效落实。
此外,代码审计安全规范的制定,有利于打破各行业重复制定相关标准,从而避免代码安全标准的恶性竞争,改变代码安全控制的无序状态,促进行业的交流和信息共享。
本项目主要针对代码层面的安全问题,从代码安全弱点、代码质量等方面制定代码安全审计规范。主要通过分析已公布的安全漏洞,依据国内外相关编程规范,对软件代码安全功能、代码实现、资源使用、环境安全等通用弱点制定审计规范;对代码编写风格、可读性、易于调试、健壮性、稳定性等方面进行研究,制定代码质量控制规范;规范审计目的、审计时机、审计人员、审计方法以及审计过程等。