TIQA 007-2019 软件产品健康状态度量指南.docx

《TIQA 007-2019 软件产品健康状态度量指南.docx》由会员分享，可在线阅读，更多相关《TIQA 007-2019 软件产品健康状态度量指南.docx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中关村智联软件服务业质量创新联盟团体标准T/IQA 0072019软件产品健康状态度量指南Guidelines for Measurement of Software Product Health2019-12-31 实施2019-12-31 发布中关村智联软件服务业质量创新联盟发布*元素的可序列化性质与技术相关，例如来自源的可序列化能 力，例如.NET中的可序列化属性及从java, io （Java中的可序 列化界面）继承的。13含有未序列化项目的序 列化数据元素消除可序列化字段、构件等包含不可序列化数据元素的情况。 备注：*如果技术有不同分类和界面，则这意味着可序列化字段来自 一个可序列化

2、的类，但这个类也拥有不可序列化字段。*元素的可序列化性质与技术相关，例如来自源的可序列化能 力，例如.NET中的可序列化属性及从java, io （Java中的可序 列化界面）继承的。ASCRM-RLB-314持久性数据未适当比较 控制消除持久性变量、字段、构件等无专门的操作来处理比较操作 的情况。备注：如果技术有不同分类，这意味着来自某持续性类别的持续性字 段并未执行来自需要比较操作清单的方法（JAVA实例为由 hashCodeOequals。方法组成的清单）。ASCRM-RLB-415运行时资源管理不正确消除应用在一个应用服务器上运行的同时，仍使用低水平资源 管理API （输入/输出、插座

3、、类加载器等）且资源管理APT不 是由此应用服务器提供的情况。ASCRM-RLB-516数据指针中不正确的拷 贝能力消除变量、字段、构件等含有指针但是不含专用拷贝操作或拷 贝构造器的情况。ASCRM-RLB-617自析构消除类别可以自毁的情况（C+中自毁实例为“删除此”）ASCKM-RLB-718参数不一致利用其签名中的变化参数，消除函数、方法、程序、存储程序、 子例行程序等有不同数量参数的情况。ASCRM-RLB-819浮点型数据的不合理比较消除变量、字段、构件等的浮点型数值使用常规比较运算符比 较同等性的情况（JAVA中的实例，使用，=，或，！=，）ASCRM-RLB-920绕过专用数据组

4、件访问消除函数、方法、程序、存储程序、子例行程序等在专用的数 据访问组件外执行数据访问，从而绕过数据访问计划设计的情 况。备注： 专用的数据访问组件可以为客户侧或服务器侧的，这意味 者使用非SQL语言开发数据访问组件。 若无专用的数据访问组件，每次数据访问都是违规的。ASCRM-RLB-1021多线程环境中使用非final静态数据消除函数、方法、程序、存储程序、子例行程序等在多线程环 境运行时拥有非最终静态变量、字段、构件等的情况。ASCRM-RLB-1122不正确锁定单例类别消除单例类别在无预先锁定被激活的机制的情况下实例化的情 况。ASCRM-RLB-1223循环依赖消除模块中有循环到自身

5、的参比的情况，例如在JAVA的包之间 有循环。ASCRM-RLB-1324父类引用子类消除父类通过其方法和字段，直接或间接引用其某一个子类的 情况。ASCRM-RLB-1425缺少析构的虚拟方法类消除某类含有虚拟方法，但该类不声明任何虚拟解构子的情况:.ASCRM-RLB-1526缺少虚拟析构的父类消除可以写惯用解构子的语言中，父类无虚拟解构子的情况。ASCRM-RLB-1627缺少虚拟析构的r类消除可以写惯用解构r的语言中，广类不含自己的虚拟解构r-, 但父类仍有虚拟解构子的情况。ASCKM-RLB-1728硬编码网络资源信息消除使用硬编码网路资源识别信息初始化变量、字段、构件等 的情况。A

6、SCRM-RLB-1829同步调用缺少超时机制消除同步调用启动但是未设置计时引数或设置为无限时间的情 况。ASCRM-RLB-19A.2性能效率主要包含有可能导致系统性能降级或引起处理器、内存或其他资源过度使用的严重性范围的度量描述符号解决措施建议CISQ 识别信息1静态块初始 化消除变量、字段、构件等在静态代码块中初始化的情况。ASCPEM-PRF-12不可变文本数据消除函数、方法、程序、存储程序、子例行程序等通过字符串串接创建不可变文本 的情况（这可以通过使用文本缓冲来替代）ASCPEM-PRF-23超出单例类 别的静态数 据消除静态字段或构件被声明为静态，但是父类不是单例类别，但最终静态

7、字段或构 件中并未考虑的情况。ASCPEM-PRF-34豆杂的读/写访问消除通过有太多连接（最大连接数量的默认阈值为5）和太多子查询（默认子查询 的最大数量为3）的SQL语句访问非常大表（也即行数超出阈值，默认阈值为 1,000, 000行）的情况。ASCPEM-PRF-45不正确的索引消除SQL SELECT语句的语法结构及SQL表或SQL查看的指数结构引起DBMS运行 序列检索的情况。ASCPEM-PRF-56大表上的过 多数量索引消除非常大表（也即行数超出阈值，默认阈值为1,000,000行）有太多索引（索引 最大数量的默认阈值为3）的情况。ASCPEM-PRF-67大表上的过 大索引消

8、除非常大表（也即行数超出阈值，默认阈值为1,000,000行）有过大指数（指数 范围的默认阈值为10）的情况。ASCPEM-PRF-78循环中的资 源消耗操作消除在循环主题或循环条件中间接调用引起消耗平台资源（发送、锁、文件、流、 目录等）的操作被直接或间接。ASCPEM-PRF-89非存储程序 中过量数据 查询消除服务器侧费存储程序含有太多数据查询的情况（数据行询默认最大数量为5）ASCPEM-PRF-910客户代码中 的大量数据 查询消除客户侧函数、方法、子例行程序等含有太多数据查询的情况（最大数据查询默 认数值为2） oASCPEM-PRF-1011绕过数据管 理层的数据 访问消除函数、

9、方法、程序、存储程序、子例行程序等在没有经过专门数据管理器组件 （在已审查数据访问组件清单中识别的情况下访问数据，从而规避授权数据访问程序的情况。ASCPEM-PRF-1112过大数据元 素消除变量、字段、构件等为太多（非初级）数据类型（累计非初级类型的最大数量 默认数值为5）的加和的情况。ASCPEM-PRF-1213不使用连接消除函数、方法、程序、存储程序、子例行程序等执行一个数据资源管理行动，而ASCPEM-PRF-13池的数据访 问不使用连接池能力（连接池能力的使用为技术相关的：例如，通过“池=加”加上 含有 ADO. NET 的连接字符串或 Java 语言com. sun. jndi

10、. Idap. connect, pool环境 参数来失活连接池）的情况。14未释放的内存消除内存资源被明确分配给在整个应用中使用但从未发布的某变量、字段、构件等 的情况。ASCPEM-PRF-1415未释放的数 据消除方法引用的对象从未被取消引用的情况。ASCPEM-PRF-15A3信息安全性主要包含可导致未授权的访问以及盗窃数据、引起损坏或其他破坏行为的度量。r描述符号解决措施建议CISQ 识别信息1不正确的路 径遍历消除用户输入后，在没有给用户输入与语句之间的用户输入数值杀毒（基于审查消毒 函数、方法、程序、存储程序、子例行程序等的清单）的情况下，被最终用于一个文 件路径创建语句的情况。

11、ASCSM-CWE-2220S命令注入消除在没有给用户输入与语句之间的用户输入数值杀毒（基于审查消毒函数、方法、 程序、存储程序、子例行程序等的清单）的情况卜，用户输入最终被用于执行0S命 令的情况。ASCSM-CWE-783跨网站指令码消除在没有给用户输入与语句之间的用户输入数值杀毒（基于审查消毒函数、方法、 程序、存储程序、子例行程序等的清单）的情况F,用户输入最终被用于执行0S命 令的情况。ASCSM-CWE-794SQL注入消除在没有给用户输入与语句之间的用户输入数值杀毒（基于审查消毒函数、方法、 程序、存储程序、子例行程序等的清单）的情况下，用户输入最终被用于SQL语句的 情况。AS

12、CSM-CWE-895访问资源的用户输入未验证消除在没有给用户输入与语句之间的用户输入数值杀毒（基于审查消毒函数、方法、 程序、存储程序、子例行程序等的清单）的情况下，用户输入最终被用于通过名称访 问的情况。ASCSM-CWE-996缓冲溢出消除在分配大小不兼容的情况下，第一缓冲的内容被转移到第二缓冲内容的情况。ASCSM-CWE-1207未检查的数组 索引范围消除在没有对用户输入和阵列访问之间进行任何范围检查的情况下，用户输入被最终 用于“读”或“写”访问的情况。ASCSM-CWE-1298不正确格式字 符串中和消除在没有给用户输入与语句之间的用户输入数值脱敏（基于审查脱敏函数、方法、 程序

13、、存储程序、子例行程序等的消单）的情况下，用户输入最终被用于格式化语句 的情况。ASCSM-CWE-1349未检筏资源处 理操作的返回 参数消除未在任何地方检查行动返回代码数值的情况下，函数、方法、程序、存储程序、 子例行程序等读、写或管理外部资源的情况。ASCSM-CWE-252- resource10未审查加密算 法消除应用使用的加密清单不是已审查加密库清单一部分的情况。ASCSM-CWE-32711异常类型过度 广泛的Catch消除函数、方法、程序、存储程序、子例行程序等含有捕捉到声明捕捉过度广泛例外 类型清单一部分的例外情况的情况。ASCSM-CWE-39612异常类型过于 广泛的抛出

14、消除函数、方法、程序、存储程序、子例行程序等关闭为过度广泛例外类型清单部 分的例外情况的情况。/SCSM-CWE-39713文件上传语句 中的用户输入 未验证消除在没有给用户输入与语句之间的用户输入数值脱敏（基于审查脱敏函数、方法、 程序、存储程序、子例行程序等的清单）的情况3用户输入最终被用于文件上传语 句的情况。ASCSM-CWE-43414未初始化的数据元素消除声明变量、字段、构件等后，在评估前未初始化就评估的情况。ASCSM-CWE-45615未检查循环条 件中的输入消除在没有对用户输入和循环语句之间进行任何范围检查的情况下，用户输入被最终 用于循环条件语句的情况。ASCSM-CWE-

15、60616不正确的锁定 共享资源消除共享变量、字段、构件等可以在应用的关健部分外访问的情况。ASCSM-CWE-66717访问已释放或 失效的资源消除平台资源（发送消息、锁、文件、流等）被使用独特的资源处理器取消分类之后 又被用于应用中，以尝试和访问资源的情况。ASCSM-CWE-67218不兼容的数值 类型转换消除变量、字段、构件等被声明为某种数值类型，然后使用来自于第一数值类型不兼 容的第二数值类型的数值更新的情况。ASCSM-CWE-68119未释放的资源消除平台资源（CPU、发送消息、锁、文件、流等）被分配和指派给一个独特的资源 处理器以按照操作次序在整个应用中使用，但是从未发布语句的

16、情况。ASCSM-CIVE-77220未检查缓冲中 的用户输入范 围消除当某用户输入被用作读或“写”缓冲器访问时，在用户输入与缓冲访问期间 不检查任何范围的情况。ASCSM-CWE-78921用于远程资源 的硬编码认证 信息消除变量、字段、构件等被使用硬编码初始化数值初始化，并最终被用于访问远程资源 的情况。ASCSM-CWE-79822无穷递归消除递归函数、方法、程序、存储程序、r例行程序等无退出递归的执行路径的情况ASCSM-CWE-83524输出编码将输入数据按一个标准的、己通过测试的规则进行转换。26访问控制按照用户身份及其所属的预先定义的策略组，限制用户对服务器、目录、文件等网络 资

17、源的访问。27敏感信息消除敏感信息的不安全传输、明文显示等情况。A.4维护性主要包含会导致软件难以被理解或被改变，导致维护时间过长、成本过高及更高的缺陷注入率的度量。描述符号解决措施建议CISQ 识别信息1Switch语句外的控 制转移消除控制流被转移到开关语句外的情况（例如取决于技术，使用got。、 continue或break语句）。ASCMM-MNT-12具体类的过多继承消除某类从太多具体类（最大数量具体类继承的默认阈值为1）的情况。ASCMM-MNT-23文本硬编码消除文字数值被用于初始化变量、字段、构件等的情况（例外情况为简单整ASCMM-MNT-3数和静态常数变量、字段、构件等）。

18、4过度耦合消除函数、方法、程序、存储程序、子例行程序等有太大的Fan-Out数值， 也即太多参比应用中的其他对象（在应用中参比其他对象的最大数量的默认 数值为5）的情况。ASCMM-MNT-45循环内条件数值更 新消除用于循环条件中的当地变量、字段、构件等的数值在循环主体中更新的 情况。ASCMM-MNT-56注释掉的代码过多消除函数、方法、程序、存储程序、子例行程序等含有太多注释掉代码（默 认的注释掉说明的最大百分数阈值为2%）的情况。ASCMM-MNT-67模块之间的循环依 赖关系消除模块的参比循环回到自身的情况（例如，在java中，此类型系指包之间 的循环）ASCMM-MNT-78过大文

19、件消除文件有太多行代码的情况（代码最大行数的默认阈值为1000）ASCMM-MNT-89水平层太多/少消除根据与阈位的比较，应用结构层含有太多或太少水平层的模型的情况（不 包含垂宜工具层）。水平层最小值的默认阈值为4,而水平层最大值的默认阈 值为8。备注：这是一种被使用于SCMM-MNT-10和ASCMM-MNTT2结构模型的控制措施，以 免模型被定义设计为“越过”这些弱点。ASCMM-MNT-910层转动组件消除函数、方法、程序、存储程序、子例行程序等为两个结构层的一部分的 情况，具体如应用结构层的模型中定义的。ASCMM-MXT-1011圈复杂度过大消除函数、方法、程序、存储程序、了例行程

20、序等有太大循环复杂度的情况 （循环复杂度的最大值默认数值为20）ASCMM-MNT-1112跨层调用消除来自较高水平层的函数、方法、程序、存储程序、子例行路径等直接调 用并非挨着进行调用的上层的较低水平层中函数、方法、程序、存储程序、 子例行程序等的情况，具体如应用的结构层模型定义的（这不包含可以从任 何水平层参比的垂直工具层）ASCMM-MNT-1213参数化过多消除函数、方法、程序、存储程序。子例行程序等的签字中有太多参数的情 况（参数最大数量的默认阈值为7） 1,ASCMM-MNT-1314具有过多数据操作 的控制元素消除函数、方法、程序、存储程序、f例行程序等有太多SQL或文件操作的

21、情况（SQL或文件操作的最大值的默认阈值为7）。ASCMM-MNT-1415公共数据元素消除变量、字段、构件等被声明为公共的情况。ASCMM-MNT-1516跨元素数据访问消除某类中方法访问另一类字段或构件的情况。ASCMM-MNT-1617过多继承水平消除某类继承水平太大的情况（最大继承水平的默认阈值为7）。ASCMM-MNT-1718过多子类消除某类子类类别太大的情况（某类子类的最大数量默认数值为10。ASCMM-MNT-1819元素冗余消除函数、方法、程序、存储程序、子例行程序等的复制黏贴情况，实现方 式主要为静态分析方式，自动化扫描代码从而识别代码中存在的冗余情况。 关于业务功能对应的

22、元素冗余则需要通过动态工具或人为判定方式相结合实 现。ASCMM-MNT-1920死代码函数或方法被应用中任何其他代码项目无引用的情况数量（应用确定检索可 以调用函数或方法元素的代码项目范围），实现方式主要为静态分析方式， 自动化扫描代码从而识别代码中存在的冗余情况。关于业务功能对应的元素 冗余则需要通过动态工具或人为判定方式相结合实现。ASCMM-MNT-20附录B健康状态度量标准示例表特性分值区间特性健康状态可靠性0,1低(1,3中(3,4高性能效率0,1低(13中(3,4高信息安全性0,1低(1,3中(3,4高维护性0,1低(1,3中(34高参考文献1|GB/T 25(X)0.10-20

23、16系统与软件工程系统与软件质量要求和评价(SQuaRE)第10部分.宁德军，叶培根，刘琴.基于存储库数据挖掘的开源软件成功度量方法J.电子学报，2018, 46(12):2930-2935.3 Common Weakness Enumeration, Consortium for IT Software Quality (2010). Curtis, B. (1980). Measurement and experimentation in software engineering. Proceedings of the IEEE, 68 (9), 11031119.4J Internati

24、onal Organization for Standards (2012). 1SO/1EC 25010 Systems and software engineering System and software product Quality Requirements and Evaluation (SQuaRE) - System and software quality modelsInternational Organization for Standards (2012). ISO/IEC 25023 (in development) Systems and software eng

25、ineering: Systems and software Quality Requirements and Evaluation (SQuaRE) Measurement of system and software product quality.5 International Organization for Standards (2012). ISO/IEC TR 9126-3:2003, Software engineering 一 Product quality Part 3: Internal metrics.目次I前言II引言IH软件产品健康状态度量指南11范围12规范性引用

26、文件I3术语和定义13. 1软件产品 software product11.1 2健康状态度量healthstatus measureI1.2 3需方 acquirer11.3 4供方 supplier13.5 CISQ13.6 ASCRM13.7 ASCPEM13.8 ASCSM23.9 ASCMM24软件产品健康状态度量模型框架25健康状态度量的基本流程25.1健康状态度量流程图35. 2签署度量协议35.3确认度量对象35. 4确认度量方案35. 5健康状态检查规则配置35. 6健康特性评分45.7健康状态评分45. 8形成度量报告5附录A健康状态检查规则5A.1可靠性5A.2性能效率7

27、A.3信息安全性8A.4维护性9附录B健康状态度量标准示例表II参考文献12本部分按照GB/TL1 2009标准化工作导则第1部分：标准的结构和编写规则给出的规则 起草。本团体标准作为GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价（SQuaRE） 第10部分：系统与软件质量模型的补充。请注意本文件的某些内容可.能涉及专利，本文件的发布机构不承担识别这些专利的责任。本部分起草单位：亚信科技（中国）有限公司、开斯特（北京）软件技术有限公司、中科院上海 高等研究院智慧城市研究中心、北京中百信佶息技术股份有限公司、世纪龙信息网络有限责任公司、中 科软科技股份有限公司、北京神

28、舟航天软件技术有限公司、天津烽火信息管理技术有限公司、五八集团、 中国软件行业协会系统与软件过程改进分会。本部分起草人：何晶晶、卑丽红、王磊、宁德军、卢学哲、陈海燕、罗远辉、王珊珊、宫文婕、吴伯 喜、田爽、梁旭杰、李隽、丁国富、建宇。软件产品正越来越多地用于实现各种各样的企业和个人的功能，个人满足感、企业业务的成功 实现依赖于健康运行的软件产品。因此，健康运行的软件产品对于利益相关方是必不可少的，它可以 提供价值，并避免潜在的负面影响。软件产品的利益相关方包括需方、供方，对软件产品健康状态进行全面地评估是保证利益相关方 利益的关键因素。软件产品健康状态度量指南1范围本指南定义了软件产品健康状态

29、度量模型，该模型由4个特性组成，主要采用面向代码的测试 方法来度量软件产品的健康状态。2规范性引用文件引用的相关规范有：GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第10部分：系 统与软件质量模型。ISO ISO/IEC 25010:2011 Systems and Software EngineeringSystems and Software Quality Requirements and Evaluation (SQuaRE)System and Software Quality Models/ 2011。3术语和定义下列术语定义适用于本文

30、件。3. 1 软件产品 software product一组计算机程序、规程以及可能的相关文档和数据。注1：产品包括中间产品和意图用于开发方和维护方使用的产品。注2：在ISO/IEC25000系列标准中，软件质量和软件产品质量具有同样的含义。GB/T 25000.1-2010,定义4.493. 2 健康状态度量 health status measure通过专家判断或使用工具，对软件产品的特性进行检查、分析的过程。4. 3 需方 acquirer需要软件产品健康状态度量服务的组织或机构。5. 4 供方 supplier提供软件产品的内、外部组织或机构。5.5 CISQConsortium fo

31、r IT Software Quality, IT软件质量联盟。5.6 ASCRMAutomated Source Code Reliability Measure, 源代码可靠性自动化度量。5.7 ASCPEMAutomated Source Code Performance Efficiency Measure,源代码性能效率自动化度量。5.8 ASCSMAutomated Source Code Security Measure,源代码安全性自动化度量。5.9 ASCMMAutomated Source Code Maintainability Measure, 源代码可维护性自动化度量

32、。4软件产品健康状态度模型框架GB/T25000.10-2016中产品质量模型将软件产品质量属性划分为8个特性：功能性、性能效率、 兼容性、易用性、可靠性、信息安全性、维护性、可移植性。系统/软件产 品质量共存性互操作性兼容性的依从可辨识性易学性易操作性用户差错防御成熟性可用性易访问性保密性完整性抗抵赖性可核直性真实性复性以上8个特性根据测试活动的不同阶段，可分为：面向代码的测试，主要测试活动包括代码检查、单元测试，关注软件产品质量模型中的性能效率、 可靠性、信息安全性、维护性。建议采用专家判断法进行度量。面向功能的测试，主要测试活动包括功能测试、集成测试，关注软件产品质量模型中的功能性。建议

33、 采用专家判断法进行度量。面向应用的测试，主要测试活动包括系统测试，关注软件产品质量模型中的兼容性、易用性、 可移植性,建议采用专家判断与工具结合的方法法进行度量。5健康状态度量的基本流程1 .1健康状态度量流程图雒林融解树线哨的炀酗姐比釉年2 .2签署度量协议度量活动开始前，需方和供方签订度量协议，约定责任、交付周期、交付成果和验收准则等内容。5 . 3确认度量对象软件产品的度量对象有源代码、数据库表结构和软件配置项。注：软件配置项，包含但不限于源码管理系统配置（至少包括账号、密码）、构建配置项、文档等。6 . 4确认度量方案依据度量协议和度量对象确认度量方案，明确度量范围、度量方法、度量指

34、标、检查规则、时间计 划 和评分方式等内容。6.1 健康状态检查规则配置在附录A中选择本组织适用的规则，配置规则属性和规则权重：a）规则属性：质量规则分两个类别，关键规则和非关键规则。关键规则般表示的是不能发生的质量问题， 一旦存在则说明会出现极高的质量风险；非关键规则则一般表明软件产品的编码或设计没有遵 从最佳实践，值得优化。通常来说关键属性和权重是正比关系，但在同一个类别里面，比如 同是关键属性的两个不同规则，还是有权重之分。规则属性发生概率风险级别动作关键规则高高必须优化中高必须优化低I建议优化非关键规则高中建议优化中低可不处理低低可不处理b）规则权重a：规则权重说明了该规则的关键程度，

35、权重越大关键程度越高，一般权重值从1到9不等。规则属性规则权重参考赋值关键规则5-9非关键规则1-40合规百分比：每个规则设置一个预定的合规百分比阈值，在一定区间内的合规，则会得到对应的评 分。 合规百分比二合规对象数/整体对象数，合规百分比阈值和分值区间建议设置如下：合规百分比阈值合规区间分值0,10%)07分10K70W)12分70,90)23分90,10034分注意：合规百分比的阈值设定需要根据具体规则的不同而设置，此处给出的建议为默认的通用配置。6.2 健康特性评分5. 6.1检查规则评分采用专家判断或工具对软件产品规则的合规性进行检查，根据每个规则预定的合规百分比阈值，计 算 规则评

36、分。俄晤枇哈规国出阈直限合好盼i网网时限+合规区间分值下限例如：合规百分比二40%,规则评分x=21=1. 5分(0h%-lh%)5. 6.2健康特性评分 特性评分表示规则权重，K表示规则评分,其中f(x) 气R匕Ptt, S七，七七，分别表示可靠性、性能 效 率、信息安全性和维护性得分。5.7 健康状态评分健康状态评分y 彳气 VRtRt + vPttfPtt + Vst-fst 4- Vttft-t-fR匕fpt匕/匚备七分别代表可靠性、性能效率、信息安全性和维护性评分，别代表可靠性、性能效率、信息安全性和维护性的权重系数，底1十七丫5七、丫我之和等于100机形成度量报告针对度量结果进行分

37、析，给出度量结论，形成度量报告。附录A健康状态检查规则A.1可靠性主要包括软件运行中断、意外行为、不稳定性、数据破坏、恢复时间过长、或其他相关问题的度量。序号描述符号解决措施建议CISQ 识别信息1缓冲区溢出消除在分配大小不兼容的情况下，将第一缓冲的内容转移到第 二缓冲内容的情况。ASCRM-CWE-1202未经检查的数据处理操 作返回参数消除未在任何地方检查行动返回代码数值的情况卜，函数、方法、程序、存储程序、了例行程序等执行CRUD SQL语句的情况。ASCRM-CWE-252-data3未检查来自资源处理操 作的返回参数消除未在任何地方检查行动返回代码数值的情况下，函数、方 法、程序、存

38、储程序、子例行程序等读、写或管理外部资源的 情况。ASCRM-CWE-252-resource4异常类型过度广泛的Catch消除以下情况：在函数、方法、程序、存储程序、子例行程序 等等中含有例外捕捉，且属于过度广泛例外类别。ASCRM-CWE-3965异常类型过于广泛的抛出消除以下情况：函数、方法、程序、存储程序、子例行程序等 抛出例外，且属于过度广泛类型。ASCRM-CWE-3976未初始化的数据元素消除以下情况：被检测到的变量、字段、构件等，未进行初始 化就被评估。ASCRM-CWE-4567递归消除控制元件启动含有自身的递归路径的情况。ASCRM-CWE-6748不兼容数据类型转换消除变

39、量、字段、构件等被声明为第一种数据类型之后，使用 来自于第二个数据类型的数值进行更新，且不与第一数据类型 兼容的情况。ASCRM-CWE-7049未释放的资源消除平台资源（发送消息、锁、文件、流、目录等）被分配和 指派给一个独特的资源处理器以在整个应用中使用，但是从未 发布的情况。ASCRM-CWE-77210缓冲区越界内存访问消除当某数值被用作“读”或“写”缓冲器访问指数时，缓冲 访问开始前没有操作检查缓冲最大规模的情况。ASCRM-CWE-78811空异常块消除函数、方法、程序、存储程序、例行程序等的例外处理 块（例如捕捉和最终阻塞）不含任何说明的情况。ASCRM-RLB-112缺失序列化控制元素消除可序列化字段、构件等没有序列化操作的情况。备注：*如果技术有不同的分类和界面，则意味着可序列化字段来自 于一个执行可序列化界面的类，但实际上并未作为其方法清单 的一部分来执行序列化方法。ASCRM-RLB-2