GB/T 38674-2020 信息安全技术 应用软件安全编程指南 学习笔记 附下载地址

最新推荐文章于 2023-11-18 15:19:23 发布
最新推荐文章于 2023-11-18 15:19:23 发布
阅读量652 收藏
点赞数
文章标签: 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/securitypaper/article/details/125134121
版权

文章目录


信息安全的国家标准共计338个,涵盖了网络、主机、应用、数据等方方面面,希望大家都能认真学习,提高安全认知。如果有想一起学习的 欢迎给我留言

信息安全国标写作格式学习

每个标准基本都有的格式,供写文档的我们参考
定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义
结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容
附件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性 ,如果把国标的所有参考标准,都关联其他,是否能穷尽所有安全标准?
内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如XXX和其他XXX
详细样例: 每种代码漏洞都有详细样例,可作为编写材料举例时使用

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 架构图

信息安全标准

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 内容学习

安全功能实现

安全功能实现,更偏向于安全要求或安全设计,与安全设计的checklist比较像,具体内容写的还是比较全,是一个综合以往安全开发规则的大一统版本,在实际工作中比较有参考意义。

比如数据加密,提到了密钥管理内容,这个在大部分文档里面都没有提现
比如口令安全,看了两遍没有想起来,可能遗漏的检查点

代码实现安全

主要介绍开发在编码过程中需要注意的事情,比如面向对象安全、线程安全、函数调用安全、异常处理

资源使用安全

这层主要是说开发所依赖的内容,比如文件、数据库、网络、内存、数据库管理

第三方软件使用安全

从官方下载,打全补丁,正确配置

总结

感觉最有价值的是最后的23页开始的错误代码示例,包括解决的问题及样例代码,这个在很多标准中都很难找到

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载地址

信息安全国家标准列表

已发布的信息安全标准列表 http://www.github5.com/view/911

securitypaper
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全技术 应用软件安全编程指南
11-28
应用软件安全编程指南,本标准对应用软件安全编程进行规范和指导,帮助应用软件开发者在编程开发阶段尽可能考虑安全要素,以提升软件的安全性,避免在软件发布后由安全问题造成的重大损失。 本标准主要针对PC或(和)服务器架构的应用软件,从安全意识和设计的角度,提出通用的、不局限于特定编程语言的安全编程规范,主要针对软件开发人员的编程过程进行约束,包括软件开发人员在编程初期的环境搭建、系统配置、系统代码架构及程序的具体实现等过程。本标准所讨论的应用软件GB/T 28452-2012中的应用软件范围一致,为针对特定应用开发的业务处理软件。本标准描述对各个应用领域的应用软件普遍适用的安全编程要求,特定领域的应用软件为满足具体业务的安全性需求,应采取的特定安全编程措施不在本标准的讨论范围之内。
安全测试国家标准解读——并发程序安全
daopuyun的博客
07-31 997
给大家举一个例子,有一个类,SimpleDateFormat(时间格式化),这个类就是线程不安全的,现在已经不建议使用了,在我们代码审计的过程中,这个类出现的频率还很高,很多单位和项目都还在用这个类。这个类是线程不安全的,如果你非要用的话,就必须是局部变量的使用,这样性能会比较差。其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。一方读的时候对方正在写,导致读的是之前的信息,这样这个订单就容易产生一些交易上的问题。
信息安全技术标准合集
热门推荐
水务人
03-11 1万+
信息安全技术相关的标准
JAVA安全编码规范
Websec
11-10 7490
Java安全编码规范-1.0.6 by k4n5ha0 Java安全编码规范-1.0.6 by k4n5ha0 编写依据与参考文件: 1.《信息安全技术 应用软件安全编程指南》(国标 GBT38674-2020) 2.《Common Weakness Enumeration》 - 国际通用计算机软件缺陷字典 3.《OWASP Top 10 2017》 - 2017年十大Web 应用程序安全风险 4.《fortify - 代码审计规则》
收藏贴 | 2020年网安政策标准、产业报告大合集(下)
Chaincomp的博客
11-17 768
注:下载对应的PDF版打包文件,关注本账号+点赞文章(私信小编原文标题,即可获取) 三、国家技术标准 1.GB/T 38540-2020信息安全技术 安全电子签章密码技术规范》 【施行日期:2020年10月1日】 本标准规定了采用密码技术实现电子印章和电子签章的数据结构定义,以及相应的生成与验证流程。 2.GB/T 38541-2020信息安全技术 电子文件密码应用指南》 【施行日期:2020年10月1日】 本标准明确了电子文件的密码应用技术框架和安全目标,描述了对电子文件进行密码操作的方法和电子文件应
信息安全标准 GB/T 30283-2022 信息安全服务分类 学习笔记 下载地址
securitypaper的博客
06-05 595
每个标准基本都有的格式,供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容 件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表 参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性 内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如信息安全运营服务和其他信息安全运营服务本制度对信息安全技术进行分类,主要包括大类和小类
Web安全学习笔记
11-03
《Web安全学习笔记》 在当今数字化的时代,Web安全已经成为每一个互联网用户,特别是开发者和网络安全专业人员必须关注的重要领域。Web安全主要涉及保护Web应用程序免受各种攻击,如SQL注入、跨站脚本(XSS)、跨站...
《IT学习资料3》-Java 大数据学习笔记.zip
最新发布
04-02
【标题】《IT学习资料3》-Java 大数据学习笔记.zip 这是一份全面的IT学习资源,专为对Java大数据技术感兴趣的学习者而准备。这个压缩包包含了一系列与Java大数据相关的学习材料,旨在帮助你掌握从基础到进阶的各种...
[信息办公]凯撒java版SaaS OA协同办公软件 v2.0_saas-oa.zip
03-23
【信息办公】凯撒java版SaaS OA协同办公软件 v2.0,是一款基于Java技术构建的高效能、可扩展的协同办公系统。SaaS(Software as a Service)模式是现代企业信息化的重要方向,它允许用户通过网络访问并使用软件服务...
软件设计师复习笔记资料.rar
08-05
软件设计师作为信息技术领域中的一个重要角色,负责设计、开发和维护软件系统,其专业技能涵盖广泛,包括但不限于编程语言、软件工程、数据库管理、网络技术、操作系统、项目管理等多个方面。本复习资料是针对软件...
软件安全开发指南资料合集.zip
05-24
内容含DevSecOps参考设计指南、软件安全构建成熟度模型、DevSecOps企业实践、Javascript编码安全指南、JAVA代码审计、软件保证成熟度模型、威胁建模、PHP代码审计、阿里Java开发手册、DevSecOps最佳实践、安全编码规范汇编(java,js,php,防SQL注入)、华为Java语言编程规范、软件安全设计原则、企业软件安全开发实践、Microsoft SDL实施、S-SDLC企业最佳安全实践、API安全、精简版SDL落地实践等等
[软件安全实现-安全编程技术].郭克华.扫描版
08-01
[软件安全实现-安全编程技术].郭克华.扫描版
aaa.zip_软件设计/软件工程_PDF_
08-11
标题中的"aaa.zip_软件设计/软件工程_PDF_"表明这是一个与软件设计和软件工程相关的PDF文件集合,可能包含详细的技术文档或教程。"apidoc_0.4.4.pdf"是压缩包内的子文件,这通常指的是API(应用程序编程接口)的文档...
信息安全技术』 标准系列合集(467个)
ITIL之家公众号
03-18 3788
更多专业文档请访问 www.itilzj.com『信息安全技术』 标准系列合集(467个)文字内容上下滑动001GB-T40652-2021信息安全技术恶意软件事件预防和处理指南0...
应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持
smellycat000的专栏
05-07 1219
聚焦源代码安全,网罗国内外最新资讯!近日,国家市场监督管理总局、国家标准化管理委员会发布了中华人民共和国国家标准公告(2020年第8号),其中包括全国信息安全标准化技术委员会归口的26...
软件应用开发安全指南
weixin_41039677的博客
11-18 88
软件测试标准GBT250,GBT 25063-2010 信息安全技术 服务器安全测评要求.pdf
weixin_42531494的博客
07-28 485
ICS 35.020L 80中华人民共和国国家标准GB/T 25063--2010信息安全技术服务器安全测评要求Information security technology--Testing and eva)uation requir咽E2010-09-02 发布 2011-02-01 实施中华人...
安全软件开发最佳实践指南:了解您的项目要求 | 概述项目 | 定义项目愿景 | 确定合规性要求 | 选择灵活的编程语言 | 定义软件开发流程 | 为项目选择合适的工具 | 设置 DevSecOps
Polelink北汇信息的博客
12-08 542
在任何新的软件开发项目开始时都应考虑软件安全性。开始一项工作可能会让人望而却步,因为需要做出许多决定,并且必须仔细考虑。这通常包括定义项目需求、选择正确的流程、选择正确工具和确保软件安全
Intel IA-32架构软件开发者手册:系统编程指南
"英特尔 IA-32 架构软件开发者手册,这是一本可以标注的版本,适用于学习和做笔记。该手册包括基础架构、指令集参考A-Z和系统编程指南三大部分。" 《Intel 64 and IA-32 Architectures Software Developer's Manual...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值