改进的SQUARE模型在软件安全需求获取中的应用

安全需求的获取是确保软件安全性的关键因素。为有效地获取软件的安全需求,在分析安全质量需求工程SQUARE模型的基础上,改进了该模型的执行步骤,制定了安全需求的分类标准,给出了安全需求文档的XML模式定义。应用改进的SQUARE模型对高校学生成绩管理系统进行安全需求获取,并将安全需求文档以XML格式进行存储,实现了安全需求的跨平台通用。

软件安全性缺陷测试需求获取与定位

近年来,软件安全性事件层出不穷,涉及的领域也越来越广,造成的危害也越来越大。现有的缺陷数据库包含的安全性漏洞数量非常庞大,如果对其逐个进行针对性测试,则测试成本难以承受。因此,文中首先从影响软件安全性的缺陷引入原因维、危险后果维以及可能导致缺陷被激活的操作方式维三个维度对安全性缺陷进行分类。这种三维结构综合分类法,可以弥补单一分类法的不足,为测试人员分析安全性缺陷提供了更为准确细致的描述手段;其次,通过数据流图结合数据交互边界提出一种可行的基于数据交互边界的软件安全性缺陷确定技术;最后,通过对DREAD模型的改进,提出一种软件安全性缺陷优先级度量模型,从而解决了软件安全性缺陷定位问题和软件安全性缺陷优先级确定问题。

安全需求工程研究综述

近年来,安全需求工程逐渐成为软件工程领域的研究热点之一。在开发周期的早期阶段引进安全分析和安全工程实践比在应用设计阶段才引进分析的投资回报要高出12%-21%。归纳安全需求工程发展过程及其主要研究活动,给出安全需求工程的相关定义,并分析了几个典型的安全需求工程框架。通过总结安全需求工程领域的若干研究活动,提出安全需求工程研究的两大思路,并从6个方面介绍安全需求工程的研究进展,探讨安全需求工程研究存在的不足。作为总结,给出了安全需求工程领域最有前途的发展方向。