SAST静态应用安全测试常见的编码规则

行业	优先级	难易度	标准	标准名称	数量
军工	12	易	GJB 5369:2005	GJB_5369（国家军用标准航天型号软件C语言可靠性编程规范）	138	军工行业最早的C语言编码标准，强制性
	4	易	GJB 8114:2013	GJB_8114（国家军用标准C/C++语言可靠性编程规范）	204	替换GJB 5369标准
航空业	13	易	JSF 2005	Joint Strike Fighter Air Vehicle C++ Coding Standards(JSF)	100+	JSF-AV-rules是由MISRA为洛克希德.马丁公司制定的C++安全编码规范，作为JSF项目（F35多用途战机）的软件开发编码规范，用以为开发飞控系统等安全攸关软件
	14	易	JPL	JPL Institutional Coding Standard for the C Programming Language(JPL)
	15	难	DO-178C	RTCA DO-178C
汽车行业	6	易	MISRA C:2004	MISRA_2004（工业标准的C语言嵌入式可靠性编程规范）	127	MISRA：汽车工业软件可靠性协会，最早有1998版本。库博实现了123。Parasoft C++ test覆盖了2004和2012
	4	中	MISRA C++:2008	MISRA_2008（工业标准的C++语言嵌入式可靠性编程规范）	229	库博实现了112。基于C++ 03语言，C++ 14标准。LDRA 支持2008
	2	易	MISRA C:2012	MISRA_2012（工业标准的C语言嵌入式可靠性编程规范）	177	最早143条，后面扩展到175，2020更新版本177条。库博实现了128。支持C90、C99、C11和C18。支持ISO 26262标准
	7	中	AutoSar C++ 2014	C++ 14  汽车行业编码标准	342	154条（MISRA 2008)、131条（PRQA HIC（High Integrity C++）和其它）、57条自研。Perforce Software 的Helix QAC（4107条其中C++ 1951条；度量元118个）
	16	易	his metrics	德国几大汽车OEM所倡议的软件标准
国际标准化组织	9	易	ISO/IEC_TS 17961-2013	ISO-17961 C secure coding rules（CERT发布的C语言安全漏洞编码规则）	45
	10	难	ISO/IEC DIS 5055	Automated source code quality measures，可靠性、可维护性、安全性和效率四个维度度量程序		ISO/IEC 5055 参照了CISQ Quality Measures (2020)的质量评估标准，并已在CWE 4.2版本中引入了CWE的缺陷枚举中，并创建了CWE-1305 Quality Measures (2020)。有关CWE-1305缺陷视图可参考前期的《话说CWE 4.2的新视图》, 以及《话说CWE 4.3的新视图 - 数据保护检查》中有关CISQ的另一个数据保护视图CWE-1340 CISQ Data Protection Measures。
国家标准	3	中	GB/T 34943	GB/T 34943-2017 C/C++语言源代码漏洞测试规范	43	SJ/T 11682-2017 《C/C++语言源代码缺陷控制与测试规范》,中国软件行业标准，可以参考里面案例 GB/T  39412 《源代码审计标准》，可参考
金融行业	11	难	PCI-DSS	金融电子卡行业标准
软件行业		易	Cert C	SEI CERT C Coding Standard	99
安全行业	1	难	CWE C/C++	CWE Top 25及扩展.：从架构、设计、乃至编码层面描述代码中常见的网络安全问题，可以作为识别、减少、预防漏洞的基线	100+
	8	难	OWASP Top10	OWASP Top10-2017 CC++语言源代码漏洞测试规范		与CWE有对应关系