TTAF 209.4—2024 移动互联网应用程序（APP）合规开发管理测评规范 第4部分：代码审计.pdf

ICS33.030

CCSM21

团体标准

T/TAF209.4—2024

移动互联网应用程序（APP）合规开发管理

测评规范第4部分：代码审计

EvaluationspecificationforcompliancedevelopmentofmobileInternet

application—Part4：Codeaudit

2024-02-23发布2024-02-23

电信终端产业协会发布

T/TAF209.4—2024

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5概述2

5.1审计目标2

5.2审计原则2

5.3审计场景2

6审计管理要求2

6.1组织制度2

6.2审计流程3

6.3审计人员3

6.4审计工具3

7测评方法4

附录A（资料性）代码审计要点5

附录B（资料性）AndroidAPP合规编码指南7

附录C（资料性）iOSAPP合规编码指南8

参考文献9

I

T/TAF209.4—2024

移动互联网应用程序（APP）合规开发管理测评规范第4部分：代

码审计

1范围

本文件规定了移动互联网应用程序在合规开发管理过程中的针对个人信息安全、数据安全的代码审

计要求，包括了审计管理要求和审计内容要求。

本文件适用于移动互联网应用程序开发者所在组织针对自身产品进行代码合规自评估，同时也适用

于第三方机构、合作方等实施代码审计。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T39412—2020信息安全技术代码安全审计规范

3术语和定义

下列术语和定义适用于本文件。

3.1

代码审计codeaudit

对代码进行分析，以发现代码安全缺陷或违反代码安全规范的动作。

[来源：GB/T39412—2020，3.1.1，有修改]

4缩略语

AES：高级加密标准（AdvancedEncryptionStandard）

AK：访问密钥（AccessKey）

APP：移动互联网应用程序（MobileInternetApplication）

ARC：自动引用计数（AutomaticReferenceCounting）

ASLR：地址空间布局随机化（AddressSpaceLayoutRandomization）

CBC：密码块链模式（CipherBlockChaining）

CFB：密码反馈模式（CipherFeedback）

ECB：电子密码本模式（ElectronicCodebook）

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）

PIE：位置无关可执行文件（PositionIndependentExecutable）

PKCS5Padding：公钥密码标准#5填充（PublicKeyCryptographyStandards#5Paddin