相关热词搜索:
文/褚岷昇【关键词】软件安全性 品质量测模式 安全软件开发制程1 前言软件系统安全性一般都被列为事后考虑的情况,当功能规格都能够满足需求,且软件专案的时程与预算都在规划的范围内,软件系统安全性才会被列入考量,使得软件安全品质的问题愈加严重。造成软件安全漏洞的原因很多,却几乎都与开发作业的疏忽及运作环境的缺失等问题密切相关,其中又以开发作业疏忽衍生递延与扩大的影响最大且最久;可以归纳成两大类:软件开发过程的疏失所形成软件安全漏洞;运作环境的规划缺失导致维运环境的安全漏洞。为了降低安全漏洞的风险,必须强化软件制程的安全机制,于开发初期就有效标示出安全缺失漏洞,且及时提出修补与改善作业。本文以现行的软件制程为基础,加强制度、管理、技术等层面的安全管制作业,进而提出一套安全软体开发制程(SecureSoftware Development Process SSDP),于软体开发初期即能找出阶段性的安全漏洞与缺失,且提出具体的修订与改善措施,有效提升软件系统的安全性。此外为了确认SSDP 的有效性,本研究以制度、管理与技术等三个层面为基础,提出一套SSDP 品质量测(SSDP QualityMeasurement SSDPQM) 模式,用以监控与持续改善SSDP 执行上的问题与缺失。2 安全软件开发制程文章以现有的软件开发制程为基础,加强制度、管理、技术等三个层面的安全措施,进而规划出一套安全软件开发制程,于软件开发初期就能标示出阶段性的安全缺失与漏洞,有效提升软件系统的安全性,且提出一套安全开发制程品质量测模式,有效监控与不断改善安全开发制程的问题与缺失,确保安全软件开发制程能够持续强化软件系统的安全性。文章以调整制度层面、搭配管理层面与提升技术层面的安全管制作业为依据,提出一套改善软件安全性的安全软件开发制程。2.1 结合安全管制作业的软件制程为了解决软件危机的问题,软件工程的理念于1967 年被提出,将近三十年的软件工程演进过程中,许多软件开发的方法与技术陆续被发表且提出,有效的改善软件的品质且提升其生产力,对于解决软件危机的问题带来不少的助益。不过,对于软件安全危害却极少被提及,使得软件安全问题成为软件开发作业即将面临的另一项重大危机。为了提升软件系统的安全品质,本文从制度、管理与技术等三个层面来强化软件开的安全管制作业,以下针对制度层面的调整、管理层面的配合与技术层面的提升说明之:
