ICS 35.080 L 77 中华人民共和国国家标准 GB/T34944—2017 Java语言源代码漏洞测试规范 Source code vulnerability testing specification for Java 2018-05-01实施 2017-11-01发布 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T34944—2017 目 次 前言 引言 范围 规范性引用文件 3 术语和定义 缩略语 4 源代码漏洞测试总则 5.1 源代码漏洞测试目的 5.2 源代码漏洞测试过程 5.3 源代码漏洞测试管理 5.4 源代码漏洞测试工具 5.5 源代码漏洞测试文档 6 源代码漏洞测试内容 6.1 源代码漏洞分类 6.2 源代码漏洞说明 附录A（资料性附录） Java语言源代码漏洞测试案例 50 附录B（资料性附录）Java语言源代码漏洞类别与名称 56 参考文献 GB/T34944—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。 本标准起草单位：珠海南方软件网络评测中心、杭州安恒信息技术有限公司、厦门理工学院、上海端 玛计算机科技有限公司、中国电子技术标准化研究院、东信和平科技股份有限公司、远光软件股份有限 公司、南京大学、国家应用软件产品质量监督检验中心、珠海中慧微电子有限公司、广东省科技基础条件 平台中心、珠海市软件行业协会、南昌金庐软件园软件评测培训有限公司、吉林省电子信息产品监督检 验研究院。 本标准主要起草人：侯建华、黄兆森、王忠福、范渊、杨尚沅、邓人逊、梁建新、张肠旸、李军、李璐、 王威、黄华婕、刘早、辛士界、陈振宇、肖枭、崔建峰、申煜湘。 GB/T 34944—2017 引言 Java语言是一种面向对象的、运行于Java虚拟机之上的高级程序设计语言。它广泛应用于各种大 型信息系统和智能终端应用软件的开发。众所周知，由于各种人为因素影响，每个软件的源代码都难免 会存在漏洞，而软件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为 尽量减少Java语言源代码中存在的漏洞，有必要制定针对Java语言程序的源代码漏洞测试规范， 源代码漏洞测试可在开发过程的软件编码活动之后实施，也可在运行和维护过程中实施 本标准的漏洞分类与漏洞说明主要参考了MITRE公司发布的CWE（CommonWeaknessEnu- meration)，同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进 行说明。 注：本标准漏洞参考了CWE2.9版本，示例代码适用于本标准选择的漏洞说明 本标准仅针对自动化静态分析工具支持的关键漏洞进行说明，应用本标准开展源代码漏洞测试时 应根据实际需要对漏洞进行裁剪和补充。 Ⅱ