GB/T 34943-2017C/C++語(yǔ)言源代碼漏洞測(cè)試規(guī)范

ICS35080

L77.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34943—2017

C/C++語(yǔ)言源代碼漏洞測(cè)試規(guī)范

SourcecodevulnerabilitytestingspecificationforC/C++

2017-11-01發(fā)布2018-05-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T34943—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

源代碼漏洞測(cè)試總則

5……………………4

源代碼漏洞測(cè)試目的

5.1………………4

源代碼漏洞測(cè)試過程

5.2………………4

源代碼漏洞測(cè)試管理

5.3………………5

源代碼漏洞測(cè)試工具

5.4………………7

源代碼漏洞測(cè)試文檔

5.5………………7

源代碼漏洞測(cè)試內(nèi)容

6……………………7

源代碼漏洞分類

6.1……………………7

源代碼漏洞說明

6.2……………………7

附錄資料性附錄語(yǔ)言源代碼漏洞測(cè)試案例

A()C/C++……………37

附錄資料性附錄語(yǔ)言源代碼漏洞類別與名稱

B()C/C++…………42

參考文獻(xiàn)

……………………44

Ⅰ

GB/T34943—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC28)。

本標(biāo)準(zhǔn)起草單位珠海南方軟件網(wǎng)絡(luò)評(píng)測(cè)中心珠海中慧微電子有限公司廣東省科技基礎(chǔ)條件平

:、、

臺(tái)中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上海端瑪計(jì)算機(jī)科技有限公司南昌金廬軟件園軟件評(píng)測(cè)培訓(xùn)有

、、、

限公司國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心珠海市軟件行業(yè)協(xié)會(huì)東信和平科技股份有限公司南京

、、、、

大學(xué)

。

本標(biāo)準(zhǔn)主要起草人侯建華鄧人逖王忠福黃兆森楊尚沅張旸旸趙昌平張子良李璐肖梟

:、、、、、、、、、、

陳振宇張玉霞梁建新蔣蜀鵬周悅?cè)闻鍡钛┚?/p>

、、、、、、。

Ⅲ

GB/T34943—2017

引言

語(yǔ)言是一種面向過程的程序設(shè)計(jì)語(yǔ)言廣泛應(yīng)用于系統(tǒng)軟件與嵌入式軟件的開發(fā)本標(biāo)準(zhǔn)的

C,。C

語(yǔ)言語(yǔ)法遵循語(yǔ)言是一種面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言它在語(yǔ)言的基礎(chǔ)

ISO/IEC9899:2011。C++,C

上發(fā)展而來與語(yǔ)言具有許多相同的語(yǔ)法廣泛應(yīng)用于系統(tǒng)軟件與應(yīng)用軟件的開發(fā)本標(biāo)準(zhǔn)的

,C,。C++

語(yǔ)言語(yǔ)法遵循語(yǔ)法標(biāo)準(zhǔn)眾所周知由于各種人為因素影響每個(gè)軟件的源代碼

ISO/IEC14882:2011。,,

都難免會(huì)存在漏洞而軟件信息泄露數(shù)據(jù)或代碼被惡意篡改等安全事件的發(fā)生一般都與源代碼漏洞有

,、

關(guān)為盡量減少語(yǔ)言源代碼中存在的漏洞有必要制定針對(duì)語(yǔ)言程序的源代碼漏洞

。C/C++,C/C++

測(cè)試規(guī)范

。

源代碼漏洞測(cè)試可在開發(fā)過程的軟件編碼活動(dòng)之后實(shí)施也可在運(yùn)行和維護(hù)過程中實(shí)施

,。

本標(biāo)準(zhǔn)的漏洞分類與漏洞說明主要參考了公司發(fā)布的

MITRECWE(CommonWeaknessEnu-

同時(shí)結(jié)合了當(dāng)前行業(yè)主流的自動(dòng)化靜態(tài)分析工具在測(cè)試實(shí)踐中發(fā)現(xiàn)的典型漏洞來確定并進(jìn)

meration),

行說明

。

注本標(biāo)準(zhǔn)漏洞參考了版本示例代碼適用于本標(biāo)準(zhǔn)選擇的案例

:CWE2.9,。

本標(biāo)準(zhǔn)僅針對(duì)自動(dòng)化靜態(tài)分析工具支持的關(guān)鍵漏洞進(jìn)行說明應(yīng)用本標(biāo)準(zhǔn)開展源代碼漏洞測(cè)試時(shí)

,

應(yīng)根據(jù)實(shí)際需要對(duì)漏洞進(jìn)行裁剪和補(bǔ)充

。

Ⅳ

GB/T34943—2017

C/C++語(yǔ)言源代碼漏洞測(cè)試規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了語(yǔ)言源代碼漏洞測(cè)試的測(cè)試總則和測(cè)試內(nèi)容

C/C++。

本標(biāo)準(zhǔn)適用于開發(fā)方或第三方機(jī)構(gòu)的測(cè)試人員利用自動(dòng)化靜態(tài)分析工具開展的語(yǔ)言源代

C/C++

碼漏洞測(cè)試活動(dòng)語(yǔ)言的程序設(shè)計(jì)和編碼人員以及源代碼漏洞測(cè)試工具的設(shè)計(jì)人員也可參考

,C/C++

使用

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)軟件工程術(shù)語(yǔ)

GB/T11457

計(jì)算機(jī)軟件測(cè)試規(guī)范

GB/T15532—2008

信息技術(shù)軟件生存周期過程配置管理

GB/T20158—2006(ISO/IECTR15846:1998,IDT)

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T11457。

31

.

訪問控制accesscontrol

一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段

。

定義

[GB/T25069—2010,2.2.1.42]

32

.

攻擊attack

在信息系統(tǒng)中對(duì)系統(tǒng)或信息進(jìn)行破壞泄露更改或使其喪失功能的嘗試包括