C#语言是一种面向对象的、运行于.NET Framework之上的高级程序设计语言。它广泛应用于Windows平台应用软件的开发,是.NET开发的首选语言。本标准的C#语言语法遵循ISO/IEC 23270:2006语法标准。众所周知,由于各种人为因素影响,每个软件的源代码都难免会存在漏洞,而软件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少C#语言源代码中存在的漏洞,有必要制定针对C#语言的源代码漏洞测试规范。
本标准的漏洞分类与漏洞说明是参照MITRE公司发布的CWE(Common Weakness Enumeration)确定的。本标准主要选取了现行行业主流的自动化静态分析工具能扫描的关键CWE漏洞进行说明。
本标准仅针对自动化静态分析工具支持的关键漏洞进行说明,应用本标准开展源代码漏洞测试时应根据实际需要对漏洞进行裁剪和补充。
本标准规定了C#语言源代码漏洞测试的测试总则、漏洞分类和漏洞说明。
本标准适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的C#语言源代码测试活动,C#语言的程序设计和编码人员也可参考使用。
下列文件对于本文件的引用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。