软件成分安全分析(SCA)能力的建设与演进研究

在维护软件供应链的安全性方面,软件成分安全分析(SCA)技术起到了至关重要的作用。通过建设SCA模型、基础设施与工具的部署、制定安全策略和合规要求等路径,能够显著增强软件的安全防护能力。该文深入剖析了SCA能力从起步阶段到现代化全面升级的整个演进过程,并对即将到来的创新机遇与挑战进行了展望。

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一.由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势.本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望.

软件安全的多指标综合评测

文章提出了一种新的软件安全评测方法。通过对软件安全的实际研究和分析提取出典型的评测指标,并将层次分析法AHP(AnalyticHierarchyProcess),主成分分析法PCA(PrincipalComponentAnalysis)和聚类分析法CA(ClusterAnalysis)三者结合进行评测。首先采用AHP通过定量分析确定指标权重;之后采用PCA,通过线性变换,在保留大部分原始信息的前提下,把加权后的指标重新组合成一组无关的综合指标并进行分析;最后采用CA对PCA的分析结果进一步研究并根据用户需求将软件分为指定数目的类别从而使结果更加直观。实际的评测结果表明这一方法可以对软件的安全性进行正确有效的评测。

面向公安监管业务领域的构件库设计

为了实现将面向公安监管业务领域的看守所、拘留所、收容所、戒毒所和安康医院等几个独立的信息管理系统构建成统一的公安行政监管综合信息平台,实现对整体监管信息资源的开发挖掘,采用服务划分的方法对行政监管综合信息平台的各子系统之间功能复用性进行了探究,对构件的分类以及刻面描述方法进行了详细论述,并在此基础上设计了构件库系统体系结构,基于该构件库实现了看守所管理系统。采用该技术方案可以减少综合信息平台的开发周期,降低开发难度,提高软件的质量。

MSMAM:Testing Resources Allocation,Obtaining Non-Functional Indexes Based on Functional Testing Results,and Evaluating Security

Security testing is a key technology for software security.The testing results can reflect the relationship between software testing and software security,and they can help program designers for evaluating and improving software security.However,it is difficult to describe by mathematics the relationship between the results of software functional testing and software nonfunctional security indexes.In this paper,we propose a mathematics model（MSMAM） based on principal component analysis and multiattribute utility theory.This model can get nonfunctional security indexes by analyzing quantized results of functional tests.It can also evaluate software security and guide the effective allocation of testing resources in the process of software testing.The feasibility and effectiveness of MSMAM is verified by experiments.