软件供应链安全综述

随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。     

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

典型软件安全开发生命周期对比研究

从软件开发过程角度入手采取主动防御的策略才能更加有效地清除安全风险正逐步成为软件开发组织的共识,本文对当前比较典型的三种软件安全开发生命周期做了较深入的对比和分析,并总结了其共有的特点,以给软件开发组织制定自己的开发过程模型提供帮助.     

浅谈网络安全体系下的软件安全开发人才培养

软件安全开发是近年来我国网信行业积极实践的网络安全保障措施,旨在软件系统开发过程中降低安全漏洞的存在。然而,软件安全开发人才匮乏是当前实践面临的关键问题。文章依据行业有关软件安全开发人员岗位和技能的典型要求,介绍在当前网络安全体系下培养软件安全开发人才的关键思路和核心内容,最后说明在软件安全开发人才培养方面获得的初步成效。     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

基于安全模式的软件安全设计研究

当前软件开发过程中往往忽略了安全性的保障,本研究提出了一种基于安全模式的软件安全设计方法,将安全工程学科中的风险管理过程和POAD(面向模式的分析和设计)方法过程进行结合,通过加入安全设计模式重构系统的整体架构提升软件设计环节的安全性。     

安全关键软件的安全性保障工作研究

安全关键软件如果发生故障,可能会对国家财产和人民安全造成巨大的损失,所以需要重点考虑它们的安全性.但是由于当前还无法精确地定量评估软件安全性,而只能在软件生命周期中从安全性角度对开发行为进行规范和保障.概述了安全性相关的概念,并给出了一个完整的安全关键软件安全性保障工作流程.     

安全第一步，从开发开始！——开源软件：你到底安不安全

使用开源软件的领域与日俱增，享受开源软件的用户也越来越多，那么使用开源软件到底安不安全呢？大家在使用开源软件时常常有这样的困惑，到底开源软件安全是否能达到商业软件的安全性能？目前有哪些可以增强开源软件安全的项目？此外，开源软件几乎都是采用大集市式的开发模式进行开发，这样宽松的环境开发出来的软件是否安全？又该如何提高开源软件开发和应用安全？本次开源专题将介绍开源软件的安全性及开发过程中的安全性。     

基于GIT的实时测控软件分布式管理方法研究

实时测控软件功能模块多、结构复杂,参与研发和维护的人员多.团队协作开发过程中使用基于GIT的分布式管理方法,可以有效解决软件版本控制、代码安全、缺陷追踪等问题,从而降低软件研发的风险、提高实时测控软件系统的可靠性.     

安全关键软件术语推荐和需求分类方法

安全关键软件需求中的相关知识大多需要手工提取,既费时又费力。近年来,人工智能技术逐渐被应用于安全关键软件设计与开发过程中,以减少工程师的手工劳动,缩短软件开发的生命周期。文中提出了一种安全关键软件术语推荐和需求分类方法,为安全关键软件需求规约提供了基础。首先,基于词性规则和依存句法规则对候选术语进行提取,通过术语相似度计算和聚类方法对候选术语进行聚类,将聚类结果推荐给工程师;其次,基于特征提取方法和分类方法将安全关键软件需求自动分为功能、安全性、可靠性等需求;最后,在AADL(Architecture Analysis and Design Language)开源建模环境OSATE中实现了原型工具TRRC4SCSTool,并基于工业界案例需求、安全分析与认证标准等构建实验数据集进行了实验验证,证明了所提方法的有效性。     

系统与软件安全浅析

本文用系统工程的概念论述了系统与软件安全,并集中论述了如何将系统与软件安全分析集成到系统开发的各个生命周期中。     

对软件安全开发流程的研究

随着软件产品使用的越来越广泛,软件的安全问题日益受到重视.对于软件开发者来说,开发出能够更好地应对漏洞攻击,安全性高的软件也变得越来越重要.传统软件工程中所包括的软件开发流程已经不能满足人们对于软件安全的要求,为了解决这个问题,基于已有的SDL软件安全开发流程进行优化,提出了一种新型的软件安全开发流程.     

基于软件工程思想的软件安全性保障框架研究

通过分析软件安全领域存在的问题。以软件工程思想为基础,运用系统安全工程的原则,提出一个软件安全性保障框架。在软件开发生命周期过程中,将软件安全保障集成到需求分析,设计编码,测试,维护四个环节中,详细阐述了每个环节要进行的安全性处理的任务,采用一系列安全预测和分析技术,确保软件开发的安全性和可靠性。     

基于软件工程思想的软件安全性保障框架研究

通过分析软件安全领域存在的问题,以软件工程思想为基础,运用系统安全工程的原则,提出一个软件安全性保障框架。在软件开发生命周期过程中,将软件安全保障集成到需求分析,设计编码,测试,维护四个环节中,详细阐述了每个环节要进行的安全性处理的任务,采用一系列安全预测和分析技术,确保软件开发的安全性和可靠性。     

浅谈软件安全开发关键技术的研究和实现

随着计算机技术的日益快速发展,软件已经成为人们生活中不可或缺的一部分,无论在生活、还是工作中。尤其是随着互联网技术的普及,软件也面临着非常多的威胁,这些都会给用户或者开发商带来潜在的危险。基于此种原因,本文在探讨了软件安全开发关键技术的基础上,研究了一种改进的软件开发流程,使得在整个软件的生命周期中都可以得到了网络安全的覆盖,相信这对于提高软件安全性水平有着积极意义。     

基于用例的软件需求开发与管理平台的研究

需求工程在软件生命周期中占有非常重要的地位,需求开发与管理工作也存在着相当多的困难.为解决需求开发中存在的软件开发人员与客户交互比较困难的问题,引入了一种基于客户角度来说明问题的需求描述方法,即用例分析技术.介绍了一个基于这种需求实践的软件需求开发与管理平台的设计与实现.通过实际应用证实,这个平台可以在一定程度上帮助软件开发组织提高软件需求开发与管理工作的效率与能力.     

基于攻击树与Petri网的软件安全关注点建模

为了构建更加安全的软件,搭建软件开发人员和安全专家之间的桥梁,软件安全关注点的建模受到越来越多的关注。针对攻击树和Petri网各自的建模优势,提出基于攻击树的Petri网模型,旨在对软件安全关注点中的安全威胁进行建模,并利用面向方面Petri网对模型进行缓解和分析,为软件开发人员提供简单直观且便于自动化分析的模型。     

对软件演化变更影响分析方法的探讨

随着网络技术的发展,软件系统的复杂性和规模日益增大,软件演化变得也难以控制和管理,对软件系统的开发产生了很大影响,甚至有可能造成整个项目的失败。现代软件开发中,开发阶段往往只占软件生命周期的一小部分,而软件产品交付以后,维护、演化等活动却占据了软件生命周期的大部分时间,而且此后软件的生命周期基本可以看作是随着需求的变化而不断改变系统的过程。     

软件过程的模型化研究

由于软件开发组织不能很好地定义和管理其软件过程，以致在实际开发过程中产生诸多问题。在对传统开发过程分析的基础上构造了一个有效可行的过程模型，即生命周期分阶段、每个阶段进行多次受控迭代、工作流活动有计划进行，并根据CMM(Capability Maturity Model)标准对软件过程进行了形式化描述。最后给出了对抽象模型进行重用和剪裁再工程的一般原则，从而能根据不同需求制定合适的开发过程来指导软件开发。     

智能汽车行业软件供应链安全风险与治理

汽车产业的智能化、网联化、自动化、共享化程度不断提高，面临的软件供应链安全风险也越发严重。本文首先对智能汽车软件以及软件供应链进行梳理说明，并分析了近年来智能汽车行业部分典型软件供应链安全事件，其次分析了识别智能汽车行业软件供应链风险，最后提出适用于智能汽车软件供应链供需双方的安全治理策略和软件安全检测技术。