T/CFAS 0003—2019 信息安全技术 开源代码安全审计规范-团体标准
目录
| 标准详细信息 | |
|---|---|
| 标准状态 | 现行 |
| 标准编号 | T/CFAS 0003—2019 |
| 中文标题 | 信息安全技术 开源代码安全审计规范 |
| 英文标题 | |
| 国际标准分类号 | 35.240.01 信息技术应用综合 |
| 中国标准分类号 | |
| 国民经济分类 | I651 软件开发 |
| 发布日期 | 2019年12月17日 |
| 实施日期 | 2020年01月01日 |
| 起草人 | 吴敬征、郭维、杨牧天、罗天悦、刘梅、倪琛、吴亚丽、武延军、孙启。 |
| 起草单位 | 北京长风信息技术产业联盟、中国科学院软件研究所、中科软智(北京)科技有限公司、北京中科微澜科技有限公司、北京合睿科技有限公司。 |
| 范围 | 开源代码安全不同于对开源软件使用和开源环境的安全监控,开源代码安全审计和漏洞评估属于代码级漏洞扫描的应用,主要是对于开源代码自身存在的缺陷以及该代码所使用和涉及到的开源源代码包等,进行全方位的安全漏洞扫描,在该代码未成为软件产品前进行漏洞检测。将漏洞扼杀于产品未成形的摇篮之中。减少软件产品化后的安全漏洞隐患,从而真正做到防患于未然。本标准主要规范了开源代码安全审计和评估上的各种安全规范,将在不同阶段中所需要注意的安全问题和相关安全规范进行进一步的描述和规定,以提高开源软件的安全性和抵御攻击的能力。 |
| 主要技术内容 | 开源代码安全审计可以从软件程序开发的源头进行代码级的安全审计和漏洞检测,并按照安全风险级别将代码漏洞进行有效的归类管理。因此,代码安全审计提供了一种针对代码自身安全进行高效的安全管控的方式和方法。 开源代码安全审计包括的标准: a) 定义对开源代码安全审计及涉及此规范的行业内要求; b) 为建立、实施、维护和改进开源代码安全审计的整个过程提供直接支持、详细指南和/或解释; c) 针对特定行业提出开源代码安全审计指南; d) 阐述开源代码安全审计的合格评定方法。 |
| 是否包含专利信息 | 否 |
| 标准文本 | 不公开 |
| 团体详细信息 | |||
|---|---|---|---|
| 团体名称 | 北京长风信息技术产业联盟 | ||
| 登记证号 | 50031659-7 | 发证机关 | 北京市民政局 |
| 业务范围 | 技术及产业咨询研究;品牌推广;会议会展;人才交流及培训;国际交流与合作;产学研合作促进 | ||
| 法定代表人/负责人 | 宋晶晶 | ||
| 依托单位名称 | |||
| 通讯地址 | 北京市海淀区东北旺西路8号 中关村软件园3A楼 1340室 | 邮编 : 100193 | |