SAST静态应用安全测试常见的编码规则
| 行业 | 优先级 | 难易度 | 标准 | 标准名称 | 数量 | |
| 军工 | 12 | 易 | GJB 5369:2005 | GJB_5369(国家军用标准航天型号软件C语言可靠性编程规范) | 138 | 军工行业最早的C语言编码标准,强制性 |
| 4 | 易 | GJB 8114:2013 | GJB_8114(国家军用标准C/C++语言可靠性编程规范) | 204 | 替换GJB 5369标准 | |
| 航空业 | 13 | 易 | JSF 2005 | Joint Strike Fighter Air Vehicle C++ Coding Standards(JSF) | 100+ | JSF-AV-rules是由MISRA为洛克希德.马丁公司制定的C++安全编码规范,作为JSF项目(F35多用途战机)的软件开发编码规范,用以为开发飞控系统等安全攸关软件 |
| 14 | 易 | JPL | JPL Institutional Coding Standard for the C Programming Language(JPL) | |||
| 15 | 难 | DO-178C | RTCA DO-178C | |||
| 汽车行业 | 6 | 易 | MISRA C:2004 | MISRA_2004(工业标准的C语言嵌入式可靠性编程规范) | 127 | MISRA:汽车工业软件可靠性协会,最早有1998版本。库博实现了123。Parasoft C++ test覆盖了2004和2012 |
| 4 | 中 | MISRA C++:2008 | MISRA_2008(工业标准的C++语言嵌入式可靠性编程规范) | 229 | 库博实现了112。基于C++ 03语言,C++ 14标准。LDRA 支持2008 | |
| 2 | 易 | MISRA C:2012 | MISRA_2012(工业标准的C语言嵌入式可靠性编程规范) | 177 | 最早143条,后面扩展到175,2020更新版本177条。库博实现了128。支持C90、C99、C11和C18。支持ISO 26262标准 | |
| 7 | 中 | AutoSar C++ 2014 | C++ 14 汽车行业编码标准 | 342 | 154条(MISRA 2008)、131条(PRQA HIC(High Integrity C++)和其它)、57条自研。Perforce Software 的Helix QAC(4107条其中C++ 1951条;度量元118个) | |
| 16 | 易 | his metrics | 德国几大汽车OEM所倡议的软件标准 | |||
| 国际标准化组织 | 9 | 易 | ISO/IEC_TS 17961-2013 | ISO-17961 C secure coding rules(CERT发布的C语言安全漏洞编码规则) | 45 | |
| 10 | 难 | ISO/IEC DIS 5055 | Automated source code quality measures,可靠性、可维护性、安全性和效率四个维度度量程序 | ISO/IEC 5055 参照了CISQ Quality Measures (2020)的质量评估标准,并已在CWE 4.2版本中引入了CWE的缺陷枚举中,并创建了CWE-1305 Quality Measures (2020)。有关CWE-1305缺陷视图可参考前期的《话说CWE 4.2的新视图》, 以及《话说CWE 4.3的新视图 - 数据保护检查》中有关CISQ的另一个数据保护视图CWE-1340 CISQ Data Protection Measures。 | ||
| 国家标准 | 3 | 中 | GB/T 34943 | GB/T 34943-2017 C/C++语言源代码漏洞测试规范 | 43 | SJ/T 11682-2017 《C/C++语言源代码缺陷控制与测试规范》,中国软件行业标准,可以参考里面案例 GB/T 39412 《源代码审计标准》,可参考 |
| 金融行业 | 11 | 难 | PCI-DSS | 金融电子卡行业标准 | ||
| 软件行业 | 易 | Cert C | SEI CERT C Coding Standard | 99 | ||
| 安全行业 | 1 | 难 | CWE C/C++ | CWE Top 25及扩展.:从架构、设计、乃至编码层面描述代码中常见的网络安全问题,可以作为识别、减少、预防漏洞的基线 | 100+ | |
| 8 | 难 | OWASP Top10 | OWASP Top10-2017 CC++语言源代码漏洞测试规范 | 与CWE有对应关系 |