GB/T38674-2020信息安全技术应用软件安全编程指南

《GB/T38674-2020信息安全技术应用软件安全编程指南》检测标准适用哪些产品?百检网第三方检测平台根据标准为客户提供产品检测服务，这里要给大家介绍的是国家标准GB/T38674-2020信息安全技术应用软件安全编程指南部分内容，标准检测产品适用范围、一些技术参数或是检测方法步骤。

GB/T 38674-2020.Information security technology-Guideline on secure coding of application software.

1范围

GB/T 38674提出了应用软件安全编程的通用框架,从提升软件安全性的角度对应用软件编程过程进行指导。

GB/T 38674适用于客户端/服务器架构的应用软件开发,其他架构的应用软件开发也可参照使用,并根据其应用环境的特性补充必要的安全防护措施。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069-2010 信息安全技术 术语

3术语和定义、缩略语

3.1术语和定义

GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 25069-2010 中的某些术语和定义。

3.1.1

缓冲区溢出 buffer overflow

向程序的缓冲区写人超出其长度的内容,从而破坏程序堆栈，使程序转而执行其他指令,以获取程序或系统的控制权。

3.1.2

命令注入 command injection

通过应用程序将用户输入的恶意内容拼接到命令中,并提交给后台引擎执行的攻击行为。

3.1.3

应用软件日志 application softwarelog

用于记录系统操作事件的文件集合。

3.1.4

线程安全 thread safe

某个函数、函数库在多线程环境中被调用时能够正确地处理多个线程之间的共享变量,使程序功能正确执行的能力。

3.1.5

线程同步 thread synchronization

多个线程通过特定手段来控制线程之间执行顺序的-种机制。

注:当有-个线程在对内存进行操作时,其他线程就不能对该内存地址执行操作，直到该线程操作完成，此时,其他线程被设置处于等待状态。

(GB/T 38674-2020 信息安全技术 应用软件安全编程指南标准内容仅部分展示)

根据《中华人民共和国标准化法》，我国标准分为国家标准、行业标准、地方标准、团体标准和企业标准。其中，与国家检测标准直接相关的主要有国家标准和行业标准。

关于国家标准：

分为强制性国家标准和推荐性国家标准。

强制性国家标准必须执行，以保障人身健康和生命财产安全、国家安全、生态环境安全等为制定目的。

推荐性国家标准则鼓励采用，主要满足基础通用、支撑强制性国家标准制定和实施等需要。

除了国家标准外，还有行业标准：

适用于全国某个行业范围内统一的技术要求，侧重于本行业领域的重要产品、工程技术和服务标准。

行业标准是推荐性标准，但在特定行业或领域内具有指导意义。