GB/T 38674-2020 信息安全技术 应用软件安全编程指南 学习笔记 附下载地址

信息安全的国家标准共计338个，涵盖了网络、主机、应用、数据等方方面面，希望大家都能认真学习，提高安全认知。如果有想一起学习的 欢迎给我留言

信息安全国标写作格式学习

每个标准基本都有的格式，供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称，都会有一个定义，防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构，可以是图，可以是表，让没有时间的人，可以快速了解内容 附件表格: 表格可能是文档必备，制度文档需要落地，都需要对应的检测表 参考文档: 每个标准都是建立在其他标准之上的，将会提高自身的权威性 ，如果把国标的所有参考标准，都关联其他，是否能穷尽所有安全标准? 内容全面: 写的内容基本上符合内容相关独立，完全穷尽的原则，比如XXX和其他XXX 详细样例: 每种代码漏洞都有详细样例，可作为编写材料举例时使用

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 架构图

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 内容学习 安全功能实现

安全功能实现，更偏向于安全要求或安全设计，与安全设计的checklist比较像，具体内容写的还是比较全，是一个综合以往安全开发规则的大一统版本，在实际工作中比较有参考意义。

比如数据加密，提到了密钥管理内容，这个在大部分文档里面都没有提现 比如口令安全，看了两遍没有想起来，可能遗漏的检查点

代码实现安全

主要介绍开发在编码过程中需要注意的事情，比如面向对象安全、线程安全、函数调用安全、异常处理

资源使用安全

这层主要是说开发所依赖的内容，比如文件、数据库、网络、内存、数据库管理

第三方软件使用安全

从官方下载，打全补丁，正确配置

总结

感觉最有价值的是最后的23页开始的错误代码示例，包括解决的问题及样例代码，这个在很多标准中都很难找到

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载

GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载地址

信息安全国家标准列表

已发布的信息安全标准列表 http://www.github5.com/view/911