TTAF 209.4—2024 移动互联网应用程序（APP）合规开发管理测评规范 第4部分：代码审计.pdf

ICS33.030

CCSM21

团体标准

T/TAF209.4—2024

移动互联网应用程序（APP）合规开发管理

测评规范第4部分：代码审计

EvaluationspecificationforcompliancedevelopmentofmobileInternet

application—Part4：Codeaudit

2024-02-23发布2024-02-23

电信终端产业协会发布

T/TAF209.4—2024

移动互联网应用程序（APP）合规开发管理测评规范第4部分：代

码审计

1范围

本文件规定了移动互联网应用程序在合规开发管理过程中的针对个人信息安全、数据安全的代码审

计要求，包括了审计管理要求和审计内容要求。

本文件适用于移动互联网应用程序开发者所在组织针对自身产品进行代码合规自评估，同时也适用

于第三方机构、合作方等实施代码审计。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T39412—2020信息安全技术代码安全审计规范

3术语和定义

下列术语和定义适用于本文件。

3.1

代码审计codeaudit

对代码进行分析，以发现代码安全缺陷或违反代码安全规范的动作。

[来源：GB/T39412—2020，3.1.1，有修改]

4缩略语

AES：高级加密标准（AdvancedEncryptionStandard）

AK：访问密钥（AccessKey）

APP：移动互联网应用程序（MobileInternetApplication）

ARC：自动引用计数（AutomaticReferenceCounting）

ASLR：地址空间布局随机化（AddressSpaceLayoutRandomization）

CBC：密码块链模式（CipherBlockChaining）

CFB：密码反馈模式（CipherFeedback）

ECB：电子密码本模式（ElectronicCodebook）

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）

PIE：位置无关可执行文件（PositionIndependentExecutable）

PKCS5Padding：公钥密码标准#5填充（PublicKeyCryptographyStandards#5Padding）

1

T/TAF209.4—2024

SDK：软件开发工具包（SoftwareDevelopmentKit）

SK：秘密密钥（SecretKey）

SQL：结构化查询语言（StructuredQueryLanguage）

SSL：安全套接字层（SecureSocketsLayer）

TLS：传输层安全协议（TransportLayerSecurity）

URI：统一资源标识符（UniformResourceIdentifier）

URL：统一资源定位符（UniformResourceLocator）

5概述

5.1审计目标

在APP开发过程中采用审计方式发现并纠正代码安全缺陷、合规风险，以保障移动互联网应用程序

安全性和稳定性，满足个人信息保护、数据安全相关法律法规要求。

5.2审计原则

代码审计过程应遵循以下原则进行：

——保