10.4.1 目的
分析源代码,识别没有恰当实现的安全特征,验证软件实现覆盖软件安全性设计的全部特征与方法。
10.4.2 工作项目要点
10.4.2.1 全部软件安全性设计特征与方法均应在软件代码中实现。
10.4.2.2 在源代码注释中应清晰表示安全性关键代码与数据。
10.4.2.3 软件代码应符合软件编码标准。
10.4.2.4 代码安全性分析至少包括下述内容:
a) 验证安全性关键软件代码和数据满足 10.4.2.1~10.4.2.3 的全部要求;
b) 验证在软件代码中正确实现了设计的安全特征与方法;
c) 验证软件代码实现没有弱化任何安全控制或安全处理,没有制造任何新的危险,并且在全部运行模式下,软件可将系统维持在一个安全的状态;
d) 代码分析应考虑时序约束、硬件失效、故障迁移、通讯、中断、并发、事件序列,容错、不利的外部环境、非法输入、信息流等因素;
e) 代码和数据验证活动应确保软件部件或单元层次上所有的软件安全性需求得到充分的证实(在可验证的范围内);
f) 验证全部安全性关键代码单元对安全性关键性设计元素的可追踪性。
10.4.2.5 软件代码安全性分析应作为《软件测试报告》(见 GJB 438B-2009 规定)的独立章节,通过专家评审,纳入配置管理。
10.4.3 注意事项
主要包括:
a) 应明确采用的分析技术;
b) 在软件单元被集成为计算机软件配置项以前,必须完成全部安全性关键代码单元与数据的验证;
c) 应包括所有新识别的危险,以及未正确实现的安全特征;
d) 必要时进行第三方独立分析。
如侵联删未允勿转:认证生态网 » 装备安全性工作通用要求- 软件代码安全性分析
最新评论
太好了,找了半天,正好在编iso9001体系文件,很有用
Iso 9001 certification, very good
2015版估计得运行几年了,都是高度概括性内容,没有重大缺陷估计一直会运行下去。
TC176这是在偷懒么?
好,收到了。
是的,是以您名义发出来的,比如很多文章显示的其他账户名。
好,加的人比较多把姓名和联系方式发我。
邮箱太麻烦了 我加微信了 通过一下 发你
投稿可以以我名义发出来么?
您好 我投了篇ISO认证的稿子 您查收下
每年更新 可不可以有变更后再更新
不用这么多吧
我们公司当初做下来好像花了两万多 听培训老师说按照人数来的
我们培训老师说iso是个蛮不错的工具 仅此而已 不过最近看 政府 议会 企业 殡葬 寺庙都在做iso认证﹉
议会做这玩意干啥
政府做iso?
政府做iso?
传说中的业绩
全球都认可iso9001:2015 看来要好好钻研钻研了
认证这个事情 还是任重道远
我认为是为了提升学校管理 尤其现在什么事情都是绩效的大环境下
来赞一个
14001做一个下来多少钱
知识产权 赞一个
学校ISO意义在哪里?最近看不止国外 国内也有学校做ISO认证。
good
是的 iso9001现在是企业蛮好用的一个工具,只要稍微有点规模的都会做。而ISO13485基本局限医疗产业,所以900
可以去看看GB/T 27925-2011这个标准
有认证业务的,只是检测比较出名。
是的 三标和三项体系认证及QEO QES都是一个东西都是指ISO9001 ISO14001 ISO45001认证。
可以请在内审员证书上加上认证生态网LOGO以后你们发的证书提交给我们就可以在cha.isooo.org查到了。
可以做的
真希望我们定的标准也能走出去
有的公司会慢半拍
45001还没换啊
哈哈
厉害了我的国
哪里怎么都有你 刚看到在ISO贴吧
有问题可跟我沟通
ISO13485