Q_RFZN 002-2019安全代码编写规范.pdf

  Q/RFZN 002-2019 Q/RFZN 日照市人防智能科技有限公司企业标准 Q/RFZN 002-2019 安全代码编写规范 2019-08-09 发布 2019-08-09 实施 日照市人防智能科技有限公司     发 布 Q/RFZN 002-2019 前   言 本标准按 GB/T 1.1—2009 《标准化工作导则第 1 部分：标准的结构和编写》的规定编写。 本标准由日照市人防智能科技有限公司提出。 本标准起草单位：日照市人防智能科技有限公司。 本标准主要起草人：李迪。 本标准于2019年08月09日首次发布。 I Q/RFZN 002-2019 安全代码编写规范 1　范围 本标准规定了日照市人防智能科技有限公司在软件开发中的安全规范要求，拟定了安全代码编 规范。 本标准适用于日照市人防智能科技有限公司承建的各类开发类的软件类项目。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T30998-2014 信息技术-软件安全保障规范 GB/T20271-2006 信息安全技术-信息系统通用安全技术要求 3　术语和定义 下列术语和定义适用于本标准。 3.1　 架构 架构，又名软件架构，是有关软件整体结构与组件的抽象描述，用于指导大型软件系统各个方面 的设计。架构描述语言（ADL）用于描述软件的体系架构。现在已有多种架构描述语言，如Wright （由卡内基梅隆大学开发），Acme （由卡内基梅隆大学开发），C2 （由UCI 开发），Darwin （由伦敦帝国 学院开发）。ADL 的基本构成包括组件、连接器和配置。 3.2　 接口 接口（软件类接口）是指对协定进行定义的引用类型。其他类型实现接口，以保证它们支持某些 操作。接口指定必须由类提供的成员或实现它的其他接口。与类相似，接口可以包含方法、属性、索 引器和事件作为成员。 3.3　 跨站攻击 跨站攻击，即 Cross Site Script Execution(通常简写为 XSS)是指攻击者利用网站程序对用户输 入过滤不足，输入可以显示在页面上对其他用户造成影响的 HTML 代码，从而盗取用户资料、利用用户 身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 3.4　 HTTPS HTTPS （全称：Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，超文本传输安全协议），是以安全为目标的HTTP 通道，简单讲是 HTTP 的安全版。 即HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 它是一个 URI scheme （抽象标识符体系），句法类同 http:体系。用于安全的 HTTP 数据传输。https:URL 表明它使用 了HTTP，但HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP 与 TCP 之间）。这个 系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器 Netsca