高品質(zhì)安全軟件開發(fā)制程研究

摘 要 文章以現(xiàn)有的軟件開發(fā)制程為基礎(chǔ)，加強(qiáng)制度、管理、技術(shù)等三個(gè)層面的安全措施，進(jìn)而規(guī)劃出一套安全軟件開發(fā)制程，于軟件開發(fā)初期就能標(biāo)示出階段性的安全缺失與漏洞，有效提升軟件系統(tǒng)的安全性，且提出一套安全開發(fā)制程品質(zhì)量測(cè)模式，有效監(jiān)控與不斷改善安全開發(fā)制程的問題與缺失，確保安全軟件開發(fā)制程能夠持續(xù)強(qiáng)化軟件系統(tǒng)的安全性。

【關(guān)鍵詞】軟件安全性 品質(zhì)量測(cè)模式 安全軟件開發(fā)制程

1 前言

軟件系統(tǒng)安全性一般都被列為事后考慮的情況，當(dāng)功能規(guī)格都能夠滿足需求，且軟件專案的時(shí)程與預(yù)算都在規(guī)劃的范圍內(nèi)，軟件系統(tǒng)安全性才會(huì)被列入考量，使得軟件安全品質(zhì)的問題愈加嚴(yán)重。造成軟件安全漏洞的原因很多，卻幾乎都與開發(fā)作業(yè)的疏忽及運(yùn)作環(huán)境的缺失等問題密切相關(guān)，其中又以開發(fā)作業(yè)疏忽衍生遞延與擴(kuò)大的影響最大且最久；可以歸納成兩大類：軟件開發(fā)過程的疏失所形成軟件安全漏洞；運(yùn)作環(huán)境的規(guī)劃缺失導(dǎo)致維運(yùn)環(huán)境的安全漏洞。為了降低安全漏洞的風(fēng)險(xiǎn)，必須強(qiáng)化軟件制程的安全機(jī)制，于開發(fā)初期就有效標(biāo)示出安全缺失漏洞，且及時(shí)提出修補(bǔ)與改善作業(yè)。本文以現(xiàn)行的軟件制程為基礎(chǔ)，加強(qiáng)制度、管理、技術(shù)等層面的安全管制作業(yè)，進(jìn)而提出一套安全軟體開發(fā)制程（Secure Software Development Process SSDP），于軟體開發(fā)初期即能找出階段性的安全漏洞與缺失，且提出具體的修訂與改善措施，有效提升軟件系統(tǒng)的安全性。此外為了確認(rèn)SSDP的有效性，本研究以制度、管理與技術(shù)等三個(gè)層面為基礎(chǔ)，提出一套SSDP品質(zhì)量測(cè)（SSDP Quality Measurement SSDPQM）模式，用以監(jiān)控與持續(xù)改善SSDP執(zhí)行上的問題與缺失。

2 安全軟件開發(fā)制程

文章以調(diào)整制度層面、搭配管理層面與提升技術(shù)層面的安全管制作業(yè)為依據(jù)，提出一套改善軟件安全性的安全軟件開發(fā)制程。

2.1 結(jié)合安全管制作業(yè)的軟件制程

為了解決軟件危機(jī)的問題，軟件工程的理念于1967年被提出，將近三十年的軟件工程演進(jìn)過程中，許多軟件開發(fā)的方法與技術(shù)陸續(xù)被發(fā)表且提出，有效的改善軟件的品質(zhì)且提升其生產(chǎn)力，對(duì)于解決軟件危機(jī)的問題帶來不少的助益。不過，對(duì)于軟件安全危害卻極少被提及，使得軟件安全問題成為軟件開發(fā)作業(yè)即將面臨的另一項(xiàng)重大危機(jī)。為了提升軟件系統(tǒng)的安全品質(zhì)，本文從制度、管理與技術(shù)等三個(gè)層面來強(qiáng)化軟件開的安全管制作業(yè)，以下針對(duì)制度層面的調(diào)整、管理層面的配合與技術(shù)層面的提升說明之：

2.1.1 制度層面的調(diào)整

配合安全軟件的開發(fā)，制度層面必須具備下面四項(xiàng)的調(diào)整：（1）透過制度的規(guī)范，需求分析必須將使用單位的安全需求列為必要的需求項(xiàng)目。使用單位提出的安全需求項(xiàng)目將注重全盤性的考量如終止駭客入侵、杜絕病毒攻擊、確保儲(chǔ)存資料的安全等。（2）透過制度的規(guī)范，需求分析必須將安全運(yùn)作環(huán)境需求列為必要的需求項(xiàng)目。安全運(yùn)作環(huán)境是指系統(tǒng)運(yùn)作的安全性如資料庫、儲(chǔ)存媒體或網(wǎng)絡(luò)傳輸?shù)劝踩＃?）透過制度的規(guī)范，需求分析必須將安全介面設(shè)計(jì)需求列為必要的需求項(xiàng)目，安全介面設(shè)計(jì)是指整合作業(yè)的安全性如系統(tǒng)、功能模組及元件等介面之間的安全。（4）透過制度的規(guī)范，需求分析必須將安全程式撰寫需求列為必要的需求項(xiàng)目，安全程式撰寫是指程式碼的安全性如排除超出陣列定義范圍、除以零的運(yùn)算式、檔案處理異常狀態(tài)等安全漏洞與缺失。

2.1.2 管理層面的配合

每一個(gè)軟件開發(fā)階段所完成的文件產(chǎn)品，都必通過嚴(yán)格的安全品質(zhì)檢視作業(yè)，才能依程序要求交付建構(gòu)管理（Configuration Management）進(jìn)行管制，檢視作業(yè)若發(fā)現(xiàn)安全漏洞或缺失，必須立即找出原因且進(jìn)行修訂與改善作業(yè)，最后還要配合后續(xù)的跟摧活動(dòng)（Follow Up）來確認(rèn)文件產(chǎn)品已完成缺失矯正與漏洞修訂，否則應(yīng)持續(xù)進(jìn)行修訂與改善作業(yè)，直到確認(rèn)完成缺失矯正與漏洞修訂改善后，才能依程序?qū)⑽募桓督?gòu)管理進(jìn)行管制，成為后續(xù)開發(fā)階段引用的文件。下面以三項(xiàng)管理層面的執(zhí)行品質(zhì)來確認(rèn)與判定管理層面的配合成效：

（1）安全文件完成后的核準(zhǔn)與繳交等作業(yè)程序品質(zhì)，安全文件漏洞或缺失修訂前后的確認(rèn)、提領(lǐng)與繳交等作業(yè)程序品質(zhì)。

（2）安全文件漏洞或缺失修訂前后的版本架構(gòu)規(guī)劃程序品質(zhì)、修訂前后內(nèi)容差異存放程序品質(zhì)。

（3）安全文件漏洞或缺失修訂的日期、修訂的內(nèi)容、修訂的人員及歸屬的安全項(xiàng)目等作業(yè)程序品質(zhì)。

2.1.3 技術(shù)層面的提升

軟件安全品質(zhì)所強(qiáng)調(diào)的特性與ISO早期規(guī)劃的軟體品質(zhì)特性有許多落差，為此本研究提出安全程式碼撰寫、例外處理（Exception Handling）機(jī)制、程式碼分析器、安全查核表及安全審核技巧等五個(gè)成熟度進(jìn)行安全軟體開發(fā)的技術(shù)層面提升：

（1）以安全程式碼撰寫規(guī)則、程式模組之間的介面整合確認(rèn)、程式模組之前置、后置條件確認(rèn)等技術(shù)，提升安全程式碼撰寫成熟度。

（2）在程式碼中適當(dāng)融入例外處理（Exception Handling）機(jī)制，可以避免發(fā)生超出陣列定義范圍、除以零的運(yùn)算式、檔案處理異常狀態(tài)等安全漏洞與缺失，有效提升程式碼的安全品質(zhì)。

（3）有效結(jié)合程式碼分析器協(xié)助找出的程式碼中隱含的安全漏洞與缺失，可以有效標(biāo)示出運(yùn)算式、輸出/輸入介面與模組元件整合介面的安全缺失。

（4）安全文件與產(chǎn)品查核表是內(nèi)部或非正式審查采用的方式，將來至各方面的安全軟件相關(guān)信息匯整、剖析、分類且設(shè)定權(quán)重后，可以產(chǎn)生具高度修改彈性安全文件與產(chǎn)品查核表，可以協(xié)助于開發(fā)早期找出潛在的安全漏洞與缺失。

（5）萃取安全軟件專家與學(xué)者的知識(shí)與經(jīng)驗(yàn)、收集安全漏洞修補(bǔ)的記錄以及記取安全漏洞造成的慘痛經(jīng)驗(yàn)等是提升安全文件與產(chǎn)品審核技巧的關(guān)鍵。

2.2 安全軟件開發(fā)制程的關(guān)鍵優(yōu)勢(shì)endprint

為了凸顯對(duì)軟件安全品質(zhì)的重視，安全管制作業(yè)應(yīng)該采取獨(dú)立運(yùn)作，不過，受到人力不足與時(shí)程的壓力，也可以將安全管制作業(yè)融入軟件開發(fā)制程中，整合運(yùn)作。無論是獨(dú)立運(yùn)作或整合運(yùn)作，每階段的任務(wù)除了依程序的要求完成階段性產(chǎn)品外，還必須依制度要求達(dá)成下面的工作內(nèi)容：需求分析階段；初步設(shè)計(jì)階段；細(xì)部設(shè)計(jì)階段；程式制作階段；測(cè)試階段；建置移轉(zhuǎn)階段；標(biāo)示軟件安全缺失的時(shí)段；改善軟件安全缺失的作業(yè)時(shí)段；各階段軟件開發(fā)安全管控的調(diào)整彈性；軟件安全改善作業(yè)的人力投入；軟件安全改善作業(yè)的時(shí)間花費(fèi)；軟件安全缺失的影響范圍。當(dāng)軟件系統(tǒng)開發(fā)計(jì)劃依SSDP完成安全軟件系統(tǒng)開發(fā)作業(yè)后，接著便是找出SSDP存在的問題與缺失，且針對(duì)這些問題與缺失進(jìn)行剖析，再提出調(diào)整與修訂作業(yè)，持續(xù)不斷的改善SSDP，才能確認(rèn)SSDP的有效性且維持SSDP的實(shí)用狀態(tài)。

3 安全軟件開發(fā)制程的品質(zhì)量測(cè)模式與改善方式

一套完善的開發(fā)制程必須配合環(huán)境與需求不斷擴(kuò)充與調(diào)整，以品質(zhì)量測(cè)模式監(jiān)控與持續(xù)改善SSDP執(zhí)行上的問題與缺失，才能確認(rèn)SSDP的有效性。

3.1 安全軟件開發(fā)制程的品質(zhì)量測(cè)模式

個(gè)別的量度或量測(cè)值只能評(píng)量作業(yè)品質(zhì)的某些特質(zhì)，為了監(jiān)控及評(píng)量軟體制程品質(zhì)，必須將個(gè)別的量度或量測(cè)值做適當(dāng)?shù)慕Y(jié)合。量度結(jié)合的方式可以分為線性結(jié)合與非線性結(jié)合，考量實(shí)用性、修改彈性、擴(kuò)充性與簡(jiǎn)單性，本文以線性結(jié)合方式建立品質(zhì)量測(cè)模式。影響SSDP作業(yè)品質(zhì)的三個(gè)關(guān)鍵項(xiàng)目分別為制度層面的調(diào)整、管理層面的配合及技術(shù)層面的提升，每個(gè)關(guān)鍵項(xiàng)目的影響指標(biāo)則是由一些低階的品質(zhì)因子所組成，透過線性結(jié)合公式，可以將高度相關(guān)性的基層因子結(jié)合成特定量測(cè)值，這些特定項(xiàng)目量測(cè)值可以進(jìn)一步結(jié)合成高階項(xiàng)目量測(cè)值，最后再將高階項(xiàng)目量測(cè)值加以結(jié)合，而成為SSDP作業(yè)品質(zhì)量測(cè)指標(biāo)。

3.2 安全軟件開發(fā)制程改善方式

品質(zhì)量測(cè)模式所估算出的SSDP品質(zhì)量測(cè)指標(biāo)，是找出SSDP潛在問題與缺失的依據(jù)，整合各個(gè)層面的品質(zhì)因子、基層品質(zhì)量度及高階品質(zhì)量測(cè)值等三個(gè)層次，結(jié)合而成的品質(zhì)量測(cè)指標(biāo)是找出SSDP潛在問題與缺失的關(guān)鍵。因此，當(dāng)品質(zhì)量測(cè)指標(biāo)落在「過低」的范圍時(shí)，便可以從品質(zhì)量測(cè)模式的結(jié)合公式進(jìn)行推導(dǎo)，判斷出相關(guān)的品質(zhì)因子，再?gòu)钠焚|(zhì)因子對(duì)映剖析出SSDP的子工作項(xiàng)，進(jìn)而找出SSDP實(shí)行過程中潛在的問題與缺失，依據(jù)問題與缺失可以提出具體的調(diào)整措施與監(jiān)控作業(yè)。以下即針對(duì)SSDP「潛在問題與缺失」所提出的改善法則：

3.2.1

如果「SSDP品質(zhì)量測(cè)指標(biāo)」未能通過品質(zhì)門檻，進(jìn)一步分析「制度層面品質(zhì)」、「管理層面品質(zhì)」及「技術(shù)層面品質(zhì)」等量測(cè)值是否落在過低狀態(tài)，且透過結(jié)合公式，對(duì)照找出屬于過低狀態(tài)的品質(zhì)特性量測(cè)值。

3.2.2

如果「制度層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)，可以進(jìn)一步分析出那幾項(xiàng)基層品質(zhì)不良造成「制度層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)中，且透過結(jié)合公式，對(duì)照找出使用單位安全需求、安全運(yùn)作環(huán)境需求、安全設(shè)計(jì)介紹需求及安全程式撰寫等品質(zhì)量度值所對(duì)應(yīng)的正確性、完整性及一致性等品質(zhì)因子，再由品質(zhì)因子配合找出制度層面相關(guān)子工作項(xiàng)潛在的問題與缺失，進(jìn)行修正、改善與監(jiān)控等措施。

3.2.3

如果「管理層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)，可以進(jìn)一步分析出那幾項(xiàng)基層品質(zhì)不良造成「管理層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)中，且透過結(jié)合公式，對(duì)照找出品質(zhì)量度值所對(duì)應(yīng)的安全文件存取監(jiān)控、版本管制及修訂記錄等品質(zhì)因子，再由品質(zhì)因子配合找出安全文件存取監(jiān)控、版本管制及修訂記錄等子工作項(xiàng)潛在的問題與缺失，進(jìn)行修正、改善與監(jiān)控等措施。

3.2.4

如果「技術(shù)層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)，可以進(jìn)一步分析出那幾項(xiàng)品質(zhì)不良造成「技術(shù)層面品質(zhì)」量測(cè)值屬于「過低」?fàn)顟B(tài)中，且透過結(jié)合公式，對(duì)照找出安全程式撰寫、例外處理機(jī)制、弱點(diǎn)掃瞄工具、漏洞查核表及漏洞檢視技巧等品質(zhì)量度值所對(duì)映的成熟度之品質(zhì)因子，再由品質(zhì)因子配合找出安全程式撰寫、例外處理機(jī)制、弱點(diǎn)掃瞄工具、漏洞查核表及漏洞檢視技巧等子工作項(xiàng)成熟度潛在的問題與缺失，進(jìn)行修正、改善與監(jiān)控等措施。

4 結(jié)論

本文從制度、管理與技術(shù)三個(gè)層面為基礎(chǔ)，結(jié)合安全檢視查核表與法則式安全知識(shí)庫，規(guī)劃出一套安全軟件開發(fā)制程（SSDP），從管理與技術(shù)層面對(duì)軟件開發(fā)制度進(jìn)行調(diào)整，在軟件開發(fā)初期就能有效的標(biāo)示出軟件安全缺失與漏洞，隨即以較低的人力、時(shí)間與成本進(jìn)行安全缺失的改善作業(yè)，將安全品質(zhì)融入產(chǎn)品中。此外為了確認(rèn)SSDP的有效性，本文更提出一套SSDP品質(zhì)量測(cè)（SSDPQM）模式，用以監(jiān)控與持續(xù)改善SSDP執(zhí)行上的問題與缺失，確保SSDP能夠持續(xù)強(qiáng)化軟件系統(tǒng)的安全性。SSDP品質(zhì)量測(cè)模式以制度、管理與技術(shù)三個(gè)層面為基礎(chǔ)，采取線性的量度結(jié)合模式簡(jiǎn)化了復(fù)雜的公式，具有高度的修改彈性與擴(kuò)充能力，可以隨著SSDP的變動(dòng)進(jìn)行快速調(diào)整，持續(xù)確認(rèn)SSDP的有效性與最佳狀態(tài)。

參考文獻(xiàn)

[1]施寅生，鄧世偉，谷天陽.軟件安全性測(cè)試方法與工具[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008（01）.

[2]仉俊峰，洪炳镕，喬永強(qiáng).基于軟件方法故障注入系統(tǒng)[J].哈爾濱工業(yè)大學(xué)學(xué)報(bào)，2006（06）.

[3]顏炯，王戟，陳火旺.基于模型的軟件測(cè)試綜述[J].計(jì)算機(jī)科學(xué)，2004（02）.

[4]徐中偉，吳芳美.形式化故障樹分析建模和軟件安全性測(cè)試[J].同濟(jì)大學(xué)學(xué)報(bào)（自然科學(xué)版），2001（11）.

作者簡(jiǎn)介

褚岷昇（1973-），男，臺(tái)灣省臺(tái)南市人。 大學(xué)本科學(xué)歷，福州大學(xué)工商管理系（MBA）在讀?，F(xiàn)為冠捷電子有限公司RD部門經(jīng)理。

作者單位

冠捷電子有限公司 福建省福清市 350301