Java 语言编程规范 下卷 安全篇 仅内部使用 华为技术有限公司内部技术规范 DKBA 6915-2014.07 Java语言编程规范 m o c . 5 下卷 安全篇 h t i g b u 华为技术有限公司 版权所有 侵权必究 2017-7-6 华为技术有限公司 Page 1 of 69 Java 语言编程规范 下卷 安全篇 仅内部使用 修订声明 本规范拟制与解释部门: 网络安全能力中心 本规范的相关系列规范或文件: 《Java语言编程规范 上卷 综合篇》(DKBA1040-2014.07)、《C&C++语言安全编程规范》 (DKBA 6914-2014.07) 、《Web应用安全开发规范》(DKBA 1606-2014.07) 相关国际规范或文件一致性: 无 替代或作废的其它规范或文件: 《Java语言安全编程规范》(DKBA 6915-2013.05) 与相关规范或文件的关系: m o c . 5 本规范是《Java语言编程规范 上卷 综合篇》(DKBA1040-2014.07)安全性要求的补充和 扩展。 规范号 主要起草部门专家 DKBA 6915-2013.05 网络安全能力中心:杜沸扬 主要评审部门专家 版本 网络安全能力中心:罗东 67107 V1.0 b u 00102545 电信软件与核心网产品线:胡浩 电信软件与核心网:王青青 强 00065825、张广超 00190811 00170216、范久春 00108464 h t i g 网络产品线:梁孔荣 45945 网络产品线:刘国栋 0011057、 IT 产品线:严仲伟 00232184 王广磊 00231817 中央软件院:程诗宇 00131953、 无线网络产品线: 肖飞龙 张三华 00101998 51938 终端公司:王小璞 00211070 系统工程部:李循律 46151 企业 UC&C:龚连阳 00129383 IT 产品线:代鑫 00114057、申 晓奇 00165092、段莹涛 56402 网络安全实验室:陈定军 00208598 中央软件院:欧阳辉 44728 2017-7-6 华为技术有限公司 Page 2 of 69 Java 语言编程规范 下卷 安全篇 仅内部使用 英国安全认证中心(CSEC): V1.01 James Skerrett、Richard Clarke 1. 增加规则 1.7、3.9、 3.1。 2. 删除 1.0 版本中的规 则 3.3 和原则 7.4、7.5、 7.6。 3. 调整文档结构和规 则分类。 4. 优化某些规则的描 述和代码示例。 m o c . 5 英国安全认证中心(CSEC): V1.02 James Skerrett、Richard Clarke DKBA 6915-2014.07 改文档。 中央软件院:王安宇 00162152、吕 V2.0 ti h g 2017-7-6 b u 1. 根据CSEC的意见修 涛 00234726 1. 优化某些规则的描 网络安全能力中心:陈良德 述和代码示例。 00247110、李顺达 00254400 2. 所有条目统一称为 电信软件业务部:穆鸿 00246448、 规则,同时对一些规则 朱继先 00111742、马洪波 添加例外情况描述 00164562、郑德乐 00169154 研发能力中心:刘长城 00102056 华为技术有限公司 Page 3 of 69 Java 语言编程规范 下卷 安全篇 仅内部使用 目录 修订声明........................................................................................................................................................ 2 0 前言 .............................................................................................................. 6 背景................................................................................................................................................................ 6 使用对象........................................................................................................................................................ 6 适用范围........................................................................................................................................................ 6 术语定义........................................................................................................................................................ 6 1 数据校验 ...................................................................................................... 7 m o c . 5 规则 1.1 校验跨信任边界传递的不可信数据........................................................................................... 7 规则 1.2 禁止直接使用不可信数据来拼接SQL语句 ............................................................................... 8 规则 1.3 禁止直接使用不可信数据来拼接XML .................................................................................... 12 规则 1.4 禁止直接使用不可信数据来记录日志..................................................................................... 15 规则 1.5 从格式化字符串中排除用户输入............................................................................................. 16 b u 规则 1.6 禁止向Runtime.exec() 方法传递不可信、未净化的数据 ...................................................... 17 规则 1.7 验证路径之前应该先将其标准化............................................................................................. 18 h t i g 规则 1.8 安全地从ZipInputStream提取文件 ........................................................................................... 20 2 异常行为 .................................................................................................... 23 规则 2.1 不要抑制或者忽略已检查异常................................................................................................. 23 规则 2.2 禁止在异常中泄露敏感信息..................................................................................................... 25 规则 2.3 方法发生异常时要恢复到之前的对象状态............................................................................. 28 3 I/O操作 ....................................................................................................... 30 规则 3.1 临时文件使用完毕应及时删除................................................................................................. 30 规则 3.2 不要将Buffer对象封装的数据暴露给不可信代码 .................................................................. 32 规则 3.3 在多用户系统中创建文件时指定合适的访问许可................................................................. 34 规则 3.4 避免让外部进程阻塞在输入输出流上.............................

pdf文档 华为 Java语言编程规范

文档预览
中文文档 69 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共69页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
华为 Java语言编程规范 第 1 页 华为 Java语言编程规范 第 2 页 华为 Java语言编程规范 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-14 11:48:17上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言