标准号T/CFAS 0003—2019状态
发布时间:2019年12月17日
实施时间:2020年01月01日
信息安全技术 开源代码安全审计规范基本信息
标准号:T/CFAS 0003—2019
团体名称:中国标准化协会
主要技术内容:开源代码安全审计可以从软件程序开发的源头进行代码级的安全审计和漏洞检测,并按照安全风险级别将代码漏洞进行有效的归类管理。因此,代码安全审计提供了一种针对代码自身安全进行高效的安全管控的方式和方法。开源代码安全审计包括的标准:a)定义对开源代码安全审计及涉及此规范的行业内要求;b)为建立、实施、维护和改进开源代码安全审计的整个过程提供直接支持、详细指南和/或解释;c)针对特定行业提出开源代码安全审计指南;d)阐述开源代码安全审计的合格评定方法。
中国标准分类号:I651 软件开发
国际标准分类号:35.240.01 信息技术应用综合
发证机关:中华人民共和国民政部
行业分类:信息技术应用综合
标准名称:信息安全技术 开源代码安全审计规范
开源代码安全不同于对开源软件使用和开源环境的安全监控,开源代码安全审计和漏洞评估属于代码级漏洞扫描的应用,主要是对于开源代码自身存在的缺陷以及该代码所使用和涉及到的开源源代码包等,进行全方位的安全漏洞扫描,在该代码未成为软件产品前进行漏洞检测。将漏洞扼杀于产品未成形的摇篮之中。减少软件产品化后的安全漏洞隐患,从而真正做到防患于未然。本标准主要规范了开源代码安全审计和评估上的各种安全规范,将在不同阶段中所需要注意的安全问题和相关安全规范进行进一步的描述和规定,以提高开源软件的安全性和抵御攻击的能力。