C#语言是一种面向对象的、运行于.NETFramework之上的高级程序设计语言。它广泛应用于
Windows平台应用软件的开发,是.NET 开发的首选语言。本标准的C# 语言语法遵循
ISO/IEC23270:2006。众所周知,由于各种人为因素影响,每个软件的源代码都难免会存在漏洞,而软
件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少C#语
言源代码中存在的漏洞,有必要制定针对C#语言程序的源代码漏洞测试规范。
源代码漏洞测试可在开发过程的软件编码活动之后实施,也可在运行和维护过程中实施。
本标准的漏洞分类与漏洞说明主要参考了MITRE 公司发布的CWE(Common WeaknessEnumeration),
同时结合了当前行业主流的自动化静态分析工具在测试实践中发现的典型漏洞来确定并进
行说明。
注:本标准漏洞参考了CWE2.9版本,示例代码适用于本标准选择的漏洞说明。
本标准仅针对自动化静态分析工具支持的关键漏洞进行说明,应用本标准开展源代码漏洞测试时
应根据实际需要对漏洞进行裁剪和补充。
