安全测试国家标准解读——函数调用安全、异常处理安全、指针安全

这篇具有很好参考价值的文章主要介绍了安全测试国家标准解读——函数调用安全、异常处理安全、指针安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

安全测试国家标准解读——函数调用安全、异常处理安全、指针安全,安全,安全测试下面的系列文章主要围绕《GB/T 38674—2020 信息安全技术 应用软件安全编程指南》进行讲解,该标准是2020年4月28日,由国家市场监督管理总局、国家标准化管理委员会发布,2020年11月01日开始实施。我们对该标准中一些常见的漏洞进行了梳理,大家感兴趣的话可以自己去下载下来学习一下,里面有一些最佳实践是比较好的。

本标准从程序安全和环境安全两个方面提出了提升应用安全性的编程最佳实践。其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。前面的文章为大家讲解了程序安全,本文我们针对代码安全的最后几部分函数调用安全、异常处理安全和指针安全进行解读。

安全测试国家标准解读——函数调用安全、异常处理安全、指针安全,安全,安全测试

【函数调用安全】
这部分都是规范性的问题,我们在开发之初就需要定义好,不要因为这些问题而产生一些安全漏洞。

1.确保函数能正确并安全的处理传入参数的数量、顺序、类型、值不满足预期的情况。


2.谨慎处理来自不可信数据源的格式化字符串,避免直接用于构造命令。


举一个例子,大家在写C、 C++语言的时候,输出格式会输出一些格式化的字符串,格式化的要求那块,不要来自不可信数据源,如果来自不可信数据源要进行验证,不要直接构造。


【异常处理安全】

1. 自行处理程序错误,并且不依赖于服务器配置。


2.避免在静态对象的构造器和线程存储周期内抛出异常。


3.异常处理时及时回收并释放系统资源


4.不在软件执行异常时暴露敏感信息:


(1)向用户展示通用的错误提示信息。


(2)在系统发生异常时禁止向用户暴露敏感信息包含但不限于:系统的详细信息、会话标志符、账号信息、调试或堆栈跟踪信息。


我们在做系统设计的时候,系统中的错误页面最好是做成统一的,出现问题后统一跳转我们提前做好的页面,不要直接暴露错误,像e.printStackTrace这种都是不允许的,因为这里面都有敏感信息。


例如直接报500错误,500错误中可能会直接出来一堆代码,包括数据库访问的一些语句都会出来,所以说这样是不安全的,这个也是要在设计之初就要做好考虑。


【指针安全】


这部分主要是针对C、C++语言,像一空指针之类的,我们就不详细展开说了。


1.在使用指针的过程中,确保指针的有效性。


2.确保指针类型的正确使用:


(1)明确指针类型的兼容性。


(2)不将非结构体类型指针强制转换为指向结构类型。


3.确保正确地使用指针运算:


(1)不要在非数组对象的指针上执行指针运算。


(2)避免使用指针的加减法来确定内存大小。

后面的文章会继续对《GB/T 38674—2020 信息安全技术 应用软件安全编程指南》的其他部分进行解读,欢迎继续关注。

(本系列文章根据《优品软件培育计划》公益直播内容整理,可以私信我获取直播回放链接。)文章来源地址https://www.toymoban.com/news/detail-635347.html

到了这里,关于安全测试国家标准解读——函数调用安全、异常处理安全、指针安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【国家参考文献标准GB/T 7714—2015】

    GB/T 7714—2015 2.1 参考文献著录方法几种主要类型的参考文献(专著、专著中的析出文献、连续出版物、连续出版物中的析出文献、专利文献、电子文献等)的著录项目与格式要求如下: 2.1.1 专著(图书 )[M]指以单行本或多卷册形式,在限定期限内出版的非连续出版物。包括

    2024年02月16日
    浏览(51)
  • 最新!AI第一次有了国家标准,北大、华为、百度等单位共同编制

    最近,国家标准全文公开系统网站正式发布了国家标准 《神经网络表示与模型压缩 第一部分:卷积神经网络》 (GB/T 42382.1-2023),此标准由北京大学、鹏城实验室、华为、百度等16家单位共同编制。 (来源:全国标准信息公共服务平台) 英文标准名称:Information technology—

    2023年04月13日
    浏览(50)
  • 国家标准《区块链和分布式记账技术参考架构》将于12月1日实施

    国家标准《区块链和分布式记账技术参考架构》将于12月1日正式实施,这是我国首个针对区块链技术的国家标准。该标准的实施将对我国区块链技术的发展和应用产生深远的影响,标志着我国在区块链技术标准化方面迈出了重要的一步。 该标准的发布是我国区块链技术发展的

    2024年02月11日
    浏览(47)
  • 国家信息中心牵头制定的国内首个区块链服务网络团体标准正式发布

    日前,由国家信息中心牵头提出,中国电子工业标准化技术协会归口管理,微众银行协同中国移动通信集团设计院有限公司、中国银联股份有限公司、北京红枣科技有限公司等区块链服务网络BSN发展联盟单位联合发起与编制的团体标准T/CESA 1221-2022 《区块链 专用服务网络 基础

    2024年02月11日
    浏览(48)
  • 快讯 | 东舟技术参与编制的《移动终端人-系统交互工效学 触控界面感知流畅性》国家标准正式发布!

    近日,根据中华人民共和国国家标准公告[2023年第1号],由华为技术有限公司 、中国标准化研究院 、北京东舟技术股份有限公司等单位联合编制的GB/T 42396-2023   移动终端人-系统交互工效学 触控界面感知流畅性 国家标准正式发布。 这项国家标准的发布标志着适用于所有智能

    2024年02月05日
    浏览(59)
  • 一文解读ISO26262安全标准:功能安全管理

    下文的表中,一些方法的推荐等级说明: “++”表示对于指定的ASIL等级,高度推荐该方法; “+” 表示对于指定的ASIL等级,推荐该方法; “o” 表示对于指定的ASIL等级,不推荐该方法。 功能安全管理分为几个阶段:概念阶段、产品开发阶段、生产发布之后的阶段。 在概念

    2024年04月16日
    浏览(38)
  • 一文解读ISO26262安全标准:术语

    做汽车行业的人,都知道安全标准ISO26262,但是仔细说说它到底讲的是什么?好像又说不出来,这是个玄之又玄的话题,笔者试图将这份标准以简明扼要、并且容易理解的形式梳理出来,供大家作为一点参考。 首先,ISO26262是以IEC61508为基础,为满足汽车上的电子电气系统的需

    2024年01月17日
    浏览(39)
  • ISO 26262功能安全标准体系解读(下)

    ISO 26262功能安全标准体系解读(上)中,我们为大家介绍了: 什么是功能安全? 功能安全的制定经历了什么样的历程? 什么是ISO 26262?如何评估ASIL? 通过危害分析和风险评估,我们得出系统或功能的安全目标和相应的ASIL等级。当ASIL等级确定之后,就需要对每个评定的风险

    2023年04月08日
    浏览(52)
  • 一文解读ISO26262安全标准:如何通过计算ASIL安全等级?

    危害分析和风险评估,简称HaRa,该工作通常由整车厂商进行。 本文介绍如何进行HaRa分析,并给出ASIL的过程。 那么如何进行危害分析和风险评估? (1)风险R的相关因素 先了解这几个概念:严重度(S)、暴露概率(E)、可控性(C)。如果将风险(R)描述为一个函数(F)

    2024年03月22日
    浏览(58)
  • 【机密计算标准解读】 基于TEE的安全计算(IEEE 2952)

            随着全球数据日益呈几何级数增长,数据共享和数据机密性要求的矛盾变得越来越严重。在数据挖掘和增值数据推导过程中对保护数据安全至关重要。基于可信执行环境的安全计算有助于防止在执行计算任务时泄露和滥用数据。         对安全计算的需求来自许多方

    2024年02月14日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包