DB33/T 2419-2021 基于安全检测插件的Web应用系统安全检测技术规范

ICS 35.240.50
CCS L 67 DB33
浙江省 地 方 标 准
DB33/T 2419—2021
基于安全检测插件的 Web 应用系统安全检测技术规范
Technical specification for security detection of web application system based on security detection plug-in
2021 - 12 - 24 发布 2022 - 01 - 24 实施
浙江省市场监督管理局 发 布

1 范围
本标准规定了安全检测插件、安全检测控制台的术语和定义，规定了基于安全检测插件的Web应用系统安全检测总体要求、安全检测插件技术要求、安全检测控制台功能要求、接口安全要求。
本标准适用于基于安全检测插件的Web应用系统安全检测技术的设计、开发和使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。
GB/T 11457—2006 信息技术 软件工程术语
GB/T 25069—2010 信息安全技术 术语
3 术语和定义
GB/T 11457—2006和GB/T 25069—2010界定的以及下列术语和定义适用于本标准。
3.1
程序插装 program instrumentation
a) 插入到计算机程序中的探头。如指令或断言，以利于执行监控、正确性证明、资源监控或其他活动。
b) 准备探头并把它插入到计算机程序中去的过程。
[来源：GB/T 11457—2006，2.1235]
3.2
追踪 trace
计算机程序执行的记录，它显示执行的指令的顺序、变量的名和值或两者。类型包括执行踪迹、回顾的踪迹、子例程踪迹、符号踪迹、变量踪迹。
[来源：GB/T 11457—2006，2.1751，有修改]
3.3
加密 encipherment/encryption
对数据进行密码变换以产生密文的过程。一般包含一个变换集合，该变换使用一套算法和一套输入参量。输入参量通常被称为密钥。
[来源：GB/T 25069—2010，2.2.2.60]
3.4
安全检测插件 security detection plug-in
通过程序插装和追踪等方法，检测应用程序漏洞，识别应用程序开源组件的动态分析部件。
3.5
安全检测控制台 security detection console
通过网络通信接口接收安全检测插件信息、下发控制指令，集中控制与管理安全检测插件的管理系统。
4 缩略语
下列缩略语适用于本标准。
API：应用编程接口（Application Programming Interface）
HTTP：超文本传输协议(Hypertext Transfer Protocol)
JSON： Java Script对象表示法(JavaScript Object Notation)
SQL：结构查询语言（Structure Query Language）
URL：统一资源定位符（Universal Resource Locator）
XML：可扩展标记语言（extensible Markup Language）

投稿会员：芳华