GB/T 39412-2020 信息安全技術 代碼安全審計規范 /
審計指標:應對輸出日志中的特殊元素進行過濾和驗證。
審計人員應檢查代碼是否對輸出日志中的特殊元素做過濾和驗證。因對特殊元素未做過濾,可能會造成信息泄露。
審計指標:宜避免安全相關信息丟失或遺漏。
審計人員宜檢查代碼是否未記錄或不恰當記錄安全相關信息,安全相關信息丟失或遺漏可能會給追溯攻擊行為帶來影響。信息丟失或遺漏形式包含但不限于:
a)截斷與安全有關信息的顯示、記錄或處理,掩蓋攻擊的來源或屬性;
b)不記錄或不顯示信息(如日志),而該信息對確定攻擊來源、攻擊性質、攻擊行動是否安全具有重要意義。
本文章首發在 網安wangan.com 網站上。
GB/T 39412-2020 信息安全技術 代碼安全審計規范
推薦文章: