软件安全开发技术研究和实施.docx

软件安全开发技术研究和实施一、引言随着信息社会的飞速进展，人们对软件的依靠已不行小视，尤其是软件不仅为人们带来了很多便利的同时，也对人们的生活方式带来了巨大转变。在我们生活中，数字视频、音乐、电子游戏等娱乐方式已经得到普及，而其和交通、通讯和医疗保健的联系也是特别普遍。因为软件在当前和人类有着不同以往的关系，因此，软件的安全问题更加应当引起重视，因此，下文本文将从软件安全开发的关键技术等方面展开探讨。二、当前软件所面临的威逼通过对软件产品所面临的安全威逼讨论所知，当前严重威逼着软件安全威逼因素主要有两个方面：一方面是对软件产品的破解、非法传播和使用，而另一方面则来自于攻击者针对软件产品自身的安全漏洞进行的攻击。这两者中，无论是来自哪一方面的威逼，都将给企业带来巨大的损失。一版权爱护通俗来说，版权爱护问题也即是软件盗版的问题，它涉及到软件的非授权使用和非授权复制等两个主要方面。我们都知道，软件常常会带来很大的经济、社会效益，因此，它的价值就不言而喻，而这种高价值、低本钱、易复制的特性，使得其特别简单受到攻击，当前，这种问题显得愈发突出了。二安全漏洞互联网的普及，使得网络服务越来越便利，尤其是随着云计算的概念的提出，用户更是享受到了前所未有的便捷，对于用户来说，或许仅仅需要安装一个浏览器，就可以享受到诸如娱乐和购物等多方面服务。但是在这种便利的背后，软件服务的漏洞却也存在着，对于数据的篡改、窃取等现象时有发生，甚至给用户或服务商带来巨大损失。三、软件安全开发的关键技术分析针对软件安全开发存在的问题，本文首先对其中涉及的关键技术进行分析：一软件安全开发流程技术当前，很多软件开发商都没有具备在软件构建中就实行足够的安全意识，他们往往将重心放在后期对软件的安全修复上，这是不行取的。由于软件的其他业务更简单获取利润，因此他们的重心有所偏离。本文经过笔者分析，要转变这种状态，使软件的安全性到达较高的水平，就应当将安全性纳入整个软件开发生命周期中来进行考虑。本文所采纳的软件开发流程如下列图1所示，在这个流程中，大致有五个阶段：1设计阶段；2编码阶段；3测试阶段；4发布阶段；5维护阶段。简单看出，在这个流程中，随着项目的进展，全部工作的核心都是以安全为主线，并且也可以和螺旋模型、瀑布模型等很多软件开发模型得到很好结合。因此，在软件生命周期中，几乎每一个阶段都会有不同的行为来提高软件系统的安全性能。图1基于改良的软件安全开发流程二动态软件水印技术当前，软件的学问产权爱护成为人们原来越关注的一个焦点问题，尤其是随着互联网技术的迅猛进展，带宽的提高和各种资源共享技术的成熟，软件的传播也得到了极大便利，其带来的非授权现象也变成了特别常见的现象。传统对软件学问产权爱护的方法主要加密狗爱护、加密、加壳等方法，这些方法虽然也可以有效地防止软件被破解，但是实践证明，这些方法对软件的爱护并不是长期有效的，在各种利益的驱使下，黑客等人员对软件的破解只是时间而已。因此，随着软件技术的进展，另一种方法被提了出来，这就是动态水印技术。动态水印技术并不直接对软件进行爱护，它的工作原理是将开发商的诸如版权爱护信息、身份认证信息等隐藏到软件产品中，这种信息是不简单被发觉到的，而这种信息又可以标识作者、全部者、发行者等信息，当提取出来以后，可以有效地对产品进行鉴定。实践证明，这种动态软件水印技术可以有效地到达爱护软件产品的目的。三软件静态源代码分析技术随着网络技术的进展，随之而来的是越来越多的软件安全漏洞问题，对于广大用户和开发商来说，软件漏洞的发觉实属不易，那么有没有什么方法可以有效查找到软件的漏洞呢？在这种状况下，就出现了软件静态源代码分析技术。所谓软件静态源代码分析技术，其在当前也是一个比较成熟的安全漏洞检测技术。其工作原理为待检测软件产品不必运行，而只需要对软件的源代码进行检查和分析，这包括源代码的结构、文法、接口等，最终生成软件的安全性检测报告的过程。软件静态源代码分析技术由于其一系列优点被广泛应用：1对源码分析的速度比较快；2有着比较高的自动化程度；3同时也可以对无穷状态系统进行检测。当然，传统的静态源代码分析技术也存在着诸如要耗费大量精力对大量的检测结果进行分析、对发觉的漏洞的问题进行修复等缺乏。基于此，笔者提出了一种基于对类进行度量来对静态分析工具的扫描结果进行优先级排序的算法，可以有效地解决这个问题。四、软件安全开发管理平台的设计和实现当前软件的开发商中中小企业占有相当的比例，因此，本文基于中小企业的软件开发提出一种有效的安全开发流程，并对其实现进行了相关探讨，其总体架构如图2所示，在以下整体架构中结合了上文提出的各种技术等。下文将对这些模块进行具体介绍：1.软件安全开发管理平台：为了能够使简化后的软件安全开发流程被更好的应用到企业软件项目开发的过程中去，本文针对该模型设计并实现了一个软件安全开发管理平台用于帮助软件安全开发流程的实施。该平台可以有效到达在资源较为有限的状况下，在软件开发过程中尽早发觉安全问题并进行修复，降低安全本钱，提高软件产品安全性的目的。2.项目管理：在这个模块中所涉及的人员主要是项目的管理人员等，其主要包括项目经理等。其可以对软件项目的信息进行维护，对项目的阶段进行掌握，并能够对软件项目的安全状况进行整体把握。3.安全开发管理：这一部分是核心部分。在这一模块中会根据软件开发项目所处的阶段，根据软件安全开发流程提供各种安全措施，其中有能够自动完成的措施也有需要人工完成的部分，这一模块所面向的使用人员和软件开发项目所处的阶段有关。它主要包括以下阶段：设计阶段：设计阶段是项目的最初状态，需要在这一阶段完成对软件项目的风险评估等内容。编码阶段：在这一阶段中，就用到了上文中提出的静态源代码分析技术，它将对软件项目的源代码进行扫描，以发觉其中的漏洞。在这一阶段中，开发人员要随时在安全学问库中查看相关的安全编码策略文档，使其尽可能的削减代码中存在的安全问题。当软件功能己经全部实现，代码全部完成，静态源代码分析出的安全漏洞解决完毕后，可以由项目经理把项目推动到测试阶段，开始进行软件的测试。测试阶段：在这一阶段中，安全开发管理模块提供的功能包括定期自动部署测试系统、动态分析测试以及其他安全测试工具的结果导入，面向的使用人员主要是测试人员。发布阶段：当项目进入发布阶段时，安全开发管理模块提供对软件代码进行混淆、加入软件水印、启用动态软件爱护以及对软件产品进行发布前的安全评审功能。主要面向的使用人员是项目经理和安全管理员。4.安全学问库管理和问卷管理：这两个模块面向的人员主要是安全管理员。由安全管理员对安全学问库中的安全文档以及在安全评审中需要使用的问卷进行管理。5.系统管理：这一模块主要对软件安全开发管理平台本身进行一些配置和管理工作。本文提出的这种改良的软件安全开发流程，其中优点就在于不仅结合了各种先进的安全技术，而且设计了一个软件安全开发管理平台，它将软件开发中的各个阶段都统一管理了起来，集成了更高的自动化程度，可以更有效地提高了软件的安全性能。五、结语当前，计算机网络安全问题不容小觑，各种攻击、病毒、垃圾信息，甚至一些网络犯罪等，无时无刻不在考验着网络的安全性能，因此，软件安全问题也引起了大家的重视。因此，为了使软件能够应对目前的安全威逼，就必需在软件开发过程中提高安全意识，在软件的整个生命周期内对软件的安全性进行关注，提高软件产品的安全性。本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第8页 共8页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页