YD/T34482019

本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：国家计算机网络应急技术处理协调中心、北京奇虎测腾安全技术有限公司。 本标准主要起草人：舒敏、王博、范乐君、吴倩、黄元飞、高强、林星辰、王中华、韩建、吴迪。

本标准规定了联网软件源代码漏洞分类方法及等级划分方法。 本标准适用于联网软件源代码漏洞分类库。

软件源代码漏洞分类及等级划

下列术语和定义适用于本文件。 2.1 联网软件cybersoftware 能够提供或访问公共电信网络服务、利用公共电信网络进行数据通信的软件。 2.2 源代码漏洞sourcecodevulnerability 在软件开发生命周期的编码阶段，产生的有意或者无意的缺陷。这些缺陷以不同形式存在于软件源 代码中，一且被恶意主体所利用，就会对软件或操作系统的安全造成损害。

3源代码漏洞分类描述方法

本标准的制定遵循以下原则。 a）科学性：对联网软件源代码漏洞分类描述项进行精确提炼，准确反映源代码漏洞分类的基本内容。 b）唯一性：通过联网软件源代码漏洞分类描述项，可唯一确定一条源代码漏洞分类。 c）基础性：相关信息安全管理部门可以依据标准建立源代码漏洞分类库。 d）真实性：真实、客观的对源代码漏洞分类进行描述。

3）低：单源代码文件修复。

安全生产标准规范范本低：单源代码文件修复

采用本标准的方法对某SOL注入漏洞进行描述

附录A （资料型附录） 源代码漏洞分类及等级划分示例