GB/T 39412-2020
信息安全技术代码安全审计规范
Information security technology—Audit specification of code security
2021-06-01 实施
2020-11-19发布
前 言
本标准按照 GB/T 1.1—2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。
1 范围
本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全触陷，环境安全缺陷等典型审计指标及对应的证实方法。
本标准适用于指导代码安全审计相关工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T15272—1994 程序设计语言C
GB/T 25069 信息安全技术 术语
GB/T35273—2020 信息安全技术 个人信息安全规范
3 术语、定义和缩略语
3.1 术语和定义
GB/T15272—1994、GB/T25069和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1.1
代码安全审计 code security audit
对代码进行安全分析，以发现代码安全缺陷或违反代码安全规范的动作。
3.1.2
安全缺陷 security defect
代码中存在的某种破坏软件安全能力的问题、错误。