ICS 35.080 L 77 中华人民共和国国家标准 GB/T34946—2017 C井语言源代码漏洞测试规范 Source code vulnerability testing specification for C# 2017-11-01发布 2018-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 34946—2017 目 次 前言 引言 IV 范围 1 规范性引用文件 2 3术语和定义 缩略语 4 源代码漏洞测试总则 5 5.1 源代码漏洞测试目的 5.2 源代码漏洞测试过程 5.3 源代码漏洞测试管理 5.4 源代码漏洞测试工具 5.5 源代码漏洞测试文档 6源代码漏洞测试内容 6.1 源代码漏洞分类 6.2 源代码漏洞说明 附录A（资料性附录） C#语言源代码漏洞测试案例 50 附录B（资料性附录） C#语言源代码漏洞类别与名称 参考文献 57 GB/T34946—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。 本标准起草单位：珠海南方软件网络评测中心、广东省科技基础条件平台中心、中国电子技术标准 化研究院、珠海中慧微电子有限公司、吉林省电子信息产品监督检验研究院、上海端玛计算机科技有限 公司、南京大学、国家应用软件产品质量监督检验中心、珠海市软件行业协会、南昌金庐软件园软件评测 培训有限公司。 本标准主要起草人：侯建华、梁建新、黄兆森、杨尚沅、陆薇、张旸旸、邓人逊、潘宇聪、李璐、倪玉华、 周悦、黄华婕、刘早、辛士界、吴小勇、王丽明、陈振宇、肖枭、杨雪君。 Ⅲ GB/T34946—2017 引言 C#语言是一种面向对象的、运行于.NETFramework之上的高级程序设计语言。它广泛应用于 Windows平台应用软件的开发，是.NET开发的首选语言。本标准的C#语言语法遵循 ISO/1EC23270：2006。众所周知，由于各种人为因素影响，每个软件的源代码都难免会存在漏洞，而软 件信息泄露、数据或代码被恶意改等安全事件的发生一般都与源代码漏洞有关。为尽量减少C#语 源代码漏洞测试可在开发过程的软件编码活动之后实施，也可在运行和维护过程中实施 本标准的漏洞分类与漏洞说明主要参考了MITRE公司发布的CWE(CommonWeaknessEnu meration)，同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进 行说明。 注：本标准漏洞参考了CWE2.9版本，示例代码适用于本标准选择的漏洞说明 本标准仅针对自动化静态分析工具支持的关键漏洞进行说明，应用本标准开展源代码漏洞测试时 应根据实际需要对漏洞进行裁剪和补充。 IV