- 相關推薦
軟件安全開發技術研究和實施論文
一、引言
隨著信息社會的飛速發展,人們對軟件的依賴已不可小視,尤其是軟件不僅為人們帶來了許多便利的同時,也對人們的生活方式帶來了巨大改變。在我們生活中,數字視頻、音樂、電子游戲等娛樂方式已經得到普及,而其和交通、通訊和醫療保健的聯系也是非常普遍。因為軟件在當前和人類有著不同以往的關系,因此,軟件的安全問題更加應該引起重視,因此,下文本文將從軟件安全開發的關鍵技術等方面展開探討。
二、當前軟件所面臨的威脅
通過對軟件產品所面臨的安全威脅研究所知,當前嚴重威脅著軟件安全威脅因素主要有兩個方面:一方面是對軟件產品的破解、非法傳播和使用,而另一方面則來自于攻擊者針對軟件產品自身的安全漏洞進行的攻擊。這兩者中,無論是來自哪一方面的威脅,都將給企業帶來巨大的損失。
(一)版權保護
通俗來說,版權保護問題也即是軟件盜版的問題,它涉及到軟件的非授權使用和非授權復制等兩個主要方面。我們都知道,軟件經常會帶來很大的經濟、社會效益,因此,它的價值就不言而喻,而這種高價值、低成本、易復制的特性,使得其非常容易受到攻擊,當前,這種問題顯得愈發突出了。
(二)安全漏洞
互聯網的普及,使得網絡服務越來越便利,尤其是隨著云計算的概念的提出,用戶更是享受到了前所未有的便捷,對于用戶來說,也許僅僅需要安裝一個瀏覽器,就可以享受到諸如娛樂和購物等多方面服務。但是在這種便利的背后,軟件服務的漏洞卻也存在著,對于數據的篡改、竊取等現象時有發生,甚至給用戶或服務商帶來巨大損失。
三、軟件安全開發的關鍵技術分析
針對軟件安全開發存在的問題,本文首先對其中涉及的關鍵技術進行分析:
(一)軟件安全開發流程技術
當前,許多軟件開發商都沒有具備在軟件構建中就采取足夠的安全意識,他們往往將重心放在后期對軟件的安全修復上,這是不可取的。由于軟件的其他業務更容易獲取利潤,因此他們的重心有所偏離。本文經過筆者分析,要改變這種狀態,使軟件的安全性達到較高的水平,就應該將安全性納入整個軟件開發生命周期中來進行考慮。本文所采用的軟件開發流程如下圖1所示,在這個流程中,大致有五個階段:(1)設計階段;(2)編碼階段;(3)測試階段;(4)發布階段;(5)維護階段。容易看出,在這個流程中,隨著項目的進展,所有工作的核心都是以安全為主線,并且也可以和螺旋模型、瀑布模型等許多軟件開發模型得到很好結合。因此,在軟件生命周期中,幾乎每一個階段都會有不同的行為來提高軟件系統的安全性能。圖1基于改進的軟件安全開發流程
(二)動態軟件水印技術
當前,軟件的知識產權保護成為人們原來越關注的一個焦點問題,尤其是隨著互聯網技術的迅猛發展,帶寬的提高和各種資源分享技術的成熟,軟件的傳播也得到了極大便利,其帶來的非授權現象也變成了非常常見的現象。傳統對軟件知識產權保護的方法主要加密狗保護、加密、加殼等方法,這些方法雖然也可以有效地防止軟件被破解,但是實踐證明,這些方法對軟件的保護并不是長期有效的,在各種利益的驅使下,電腦高手等人員對軟件的破解只是時間而已。因此,隨著軟件技術的發展,另一種方法被提了出來,這就是動態水印技術。動態水印技術并不直接對軟件進行保護,它的工作原理是將開發商的諸如版權保護信息、身份認證信息等隱藏到軟件產品中,這種信息是不容易被察覺到的,而這種信息又可以標識作者、所有者、發行者等信息,當提取出來以后,可以有效地對產品進行鑒定。實踐證明,這種動態軟件水印技術可以有效地達到保護軟件產品的目的。
(三)軟件靜態源代碼分析技術
隨著網絡技術的發展,隨之而來的是越來越多的軟件安全漏洞問題,對于廣大用戶和開發商來說,軟件漏洞的發現實屬不易,那么有沒有什么方法可以有效查找到軟件的漏洞呢?在這種情況下,就出現了軟件靜態源代碼分析技術。所謂軟件靜態源代碼分析技術,其在當前也是一個比較成熟的安全漏洞檢測技術。其工作原理為待檢測軟件產品不必運行,而只需要對軟件的源代碼進行檢查和分析,這包括源代碼的結構、文法、接口等,最后生成軟件的安全性檢測報告的過程。軟件靜態源代碼分析技術由于其一系列優點被廣泛應用:(1)對源碼分析的速度比較快;(2)有著比較高的自動化程度;(3)同時也可以對無窮狀態系統進行檢測。當然,傳統的靜態源代碼分析技術也存在著諸如要耗費大量精力對大量的檢測結果進行分析、對發現的漏洞的問題進行修復等不足。基于此,筆者提出了一種基于對類進行度量來對靜態分析工具的掃描結果進行優先級排序的算法,可以有效地解決這個問題。
四、軟件安全開發管理平臺的設計和實現
當前軟件的開發商中中小企業占有相當的比例,因此,本文基于中小企業的軟件開發提出一種有效的安全開發流程,并對其實現進行了相關探討,其總體架構如圖2所示,在以下整體架構中結合了上文提出的各種技術等。下文將對這些模塊進行詳細介紹:
1.軟件安全開發管理平臺:為了能夠使簡化后的軟件安全開發流程被更好的應用到企業軟件項目開發的過程中去,本文針對該模型設計并實現了一個軟件安全開發管理平臺用于輔助軟件安全開發流程的實施。該平臺可以有效達到在資源較為有限的情況下,在軟件開發過程中盡早發現安全問題并進行修復,降低安全成本,提高軟件產品安全性的目的。
2.項目管理:在這個模塊中所涉及的人員主要是項目的管理人員等,其主要包括項目經理等。其可以對軟件項目的信息進行維護,對項目的階段進行控制,并能夠對軟件項目的安全狀況進行整體把握。
3.安全開發管理:這一部分是核心部分。在這一模塊中會按照軟件開發項目所處的階段,按照軟件安全開發流程提供各種安全措施,其中有能夠自動完成的措施也有需要人工完成的部分,這一模塊所面向的使用人員和軟件開發項目所處的階段有關。它主要包括以下階段:設計階段:設計階段是項目的最初狀態,需要在這一階段完成對軟件項目的風險評估等內容。編碼階段:在這一階段中,就用到了上文中提出的靜態源代碼分析技術,它將對軟件項目的源代碼進行掃描,以發現其中的漏洞。在這一階段中,開發人員要隨時在安全知識庫中查看相關的安全編碼策略文檔,使其盡可能的減少代碼中存在的安全問題。當軟件功能己經全部實現,代碼全部完成,靜態源代碼分析出的安全漏洞解決完畢后,可以由項目經理把項目推進到測試階段,開始進行軟件的測試。測試階段:在這一階段中,安全開發管理模塊提供的功能包括定期自動部署測試系統、動態分析測試以及其他安全測試工具的結果導入,面向的使用人員主要是測試人員。發布階段:當項目進入發布階段時,安全開發管理模塊提供對軟件代碼進行混淆、加入軟件水印、啟用動態軟件保護以及對軟件產品進行發布前的安全評審功能。主要面向的使用人員是項目經理和安全管理員。
4.安全知識庫管理和問卷管理:這兩個模塊面向的人員主要是安全管理員。由安全管理員對安全知識庫中的安全文檔以及在安全評審中需要使用的問卷進行管理。
5.系統管理:這一模塊主要對軟件安全開發管理平臺本身進行一些配置和管理工作。本文提出的這種改進的軟件安全開發流程,其中優點就在于不僅結合了各種先進的安全技術,而且設計了一個軟件安全開發管理平臺,它將軟件開發中的各個階段都統一管理了起來,集成了更高的自動化程度,可以更有效地提高了軟件的安全性能。
五、結語
當前,計算機網絡安全問題不容小覷,各種攻擊、病毒、垃圾信息,甚至一些網絡犯罪等,無時無刻不在考驗著網絡的安全性能,因此,軟件安全問題也引起了大家的重視。因此,為了使軟件能夠應對目前的安全威脅,就必須在軟件開發過程中提高安全意識,在軟件的整個生命周期內對軟件的安全性進行關注,提高軟件產品的安全性。
【軟件安全開發技術研究和實施論文】相關文章:
開發組件軟件的論文04-27
軟件工程在軟件開發中的運用論文04-27
軟件工程在軟件開發中的應用論文04-27
軟件開發風險管理研究論文05-01
軟件工程開發與應用的論文04-27
公路計量支付軟件的應用與開發論文04-30
軟件開發中現代軟件工程的應用的論文04-27
教學軟件開發思想和模式05-01
構件軟件工程技術研究的論文04-27