软件安全性测试研究综述

近年来,软件安全性在保证系统安全、避免重大人员伤亡和财产损失方面起到了重要作用;然而在软件安全性工程中,软件安全性并不能完全依靠常规的软件工程方法和软件测评手段来进行测试;如何在工程中开展软件安全性测试仍然是一个悬而未决的问题;首先从软件安全性测试的发展现状入手,分析我国在该领域工程应用中所遇到的问题;然后阐述当前主要的软件安全性测试流程和方法,将现有的测试方法分3类进行描述,并分析和比较这些测试方法的特点;最后总结并展望软件安全性测试研究的发展方向.     

嵌入式机载软件安全性分析标准、方法及工具研究综述

嵌入式软件在安全关键系统中的应用,使得保障软件安全性成为软件工程领域的研究热点之一.以典型嵌入式软件系统机载软件为基础,对机载软件安全性保障的标准、方法及工具进行综述.首先,对机载软件领域所采用的软件安全性相关的标准进行简介,并给出机载软件安全性分析框架;其次,从机载软件安全性分析框架出发,将机载软件安全性保障方法划分为3个方面,即,机载软件安全需求的提取与规约、面向标准的机载软件开发、机载软件安全需求验证.对这3个方面的现有研究工作以及工业应用进行了综述;然后,针对当前适航标准的要求对机载软件安全性保证过程中软件安全证据的收集方面的研究工作进行了总结;最后,提出机载软件安全性领域存在的挑战和未来的研究方向.     

软件安全性研究综述

软件是安全性关键的软件密集型系统(比如综合航电系统)的一个重要安全因子,软件安全性已逐渐成为软件工程和安全工程交又领域的研究热点之一。对软件安全性的内涵与外延进行了剖析,给出了软件安全性定义。讨论了软件安全性的度量模型。着重从软件工程的视角对软件安全性的开发过程、设计方案、评估方法与认证技术等现状进行了综述,并探讨了软件安全性的研究方向。     

一种基于JM模型的软件安全性测试方法研究

为保证和提高软件安全性水平,针对软件安全性与软件失效后果和发生可能性密切相关,提出一种有效的软件安全性测试方法。在JM模型中注入软件失效严重度参数,对软件失效后果严重度进行降级处理;根据软件失效对系统安全影响程度,推导了软件安全可靠度计算公式;以软件错误严重度和发生概率为核心,建立了软件风险计算公式,更直观地反映软件安全性能,其中所定义的含权软件缺陷严重度变化矩阵,直接反映软件安全改善力度。改进后的JM模型以降低软件风险为目的开展测试过程,更符合软件安全性特征,为软件安全性测试的工程实践提供了一种可行、可信的方法。     

一种结合线性时序逻辑和故障树的软件安全验证方法

嵌入式软件在安全关键领域的广泛应用使得保障软件的安全性成为学界的研究热点。故障树技术是工业界常用的传统的安全分析方法之一。然而,传统的故障树无法精确描述安全关键系统中具有时序特征的系统故障。针对此问题,给出了一种结合线性时序逻辑和故障树的安全验证方法。该方法运用线性时序逻辑对故障树进行形式化规约,从中抽取出软件安全属性并用时序逻辑公式进行描述,用以支持对安全关键软件的模型检验。最后,以某机载控制系统软件数据处理故障模块的模型检验为例,来说明该方法的有效性和可行性。     

面向软件安全性需求分析过程的追踪模型

追踪性即关联一些制品及其中各种相关要素的机制或能力。安全关键系统开发不仅包括一般系统的开发过程,更重要的是必需要有独立的安全性分析,建立并验证系统的安全性需求。目前针对安全性分析过程的追踪性研究较少。安全相关标准如ARP-4761和DO 178C等提供了安全性分析过程的指导意见,然而其由于涉及的概念和方法很多,因此在实际应用和研究中常会忽略对一些关键信息的追踪。此外,软件安全性需求分析不仅应考虑系统到软件的安全性分析,还应考虑软件到系统的安全性分析。面向软件安全性需求分析过程建立安全性相关信息的双向追踪,有助于了解安全性需求的前因后果,为验证工作和影响分析提供便利。参照标准,构建面向软件安全性需求分析过程的追踪模型。     

Stochastic software safety/reliability measurement and its application

Safety and reliability have become important software quality characteristics in the development of safety-critical software systems. However, there are so far no quantitative methods for assessing a safety-critical software system in terms of the safety/reliability characteristics. The metrics of software safety is defined as the probability that conditions that can lead to hazards do not occur. In this paper, we propose two stochastic models for software safety/reliability assessment: the data-domain dependent safety assessment model and the availability-related safety assessment model. These models focus on describing the time- or execution-dependent behavior of the software faults which can lead to unsafe states when they cause software failures. The application of one of these models to optimal software release problems is also discussed. Finally, numerical examples are illustrated for quantitative software safety assessment and optimal software release policies. This revised version was published online in June 2006 with corrections to the Cover Date.     

自然语言数据驱动的智能化软件安全评估方法

软件安全性是衡量软件是否能够抵御恶意攻击的重要性质.在当前互联网环境下,黑客攻击无处不在,因而估计软件中可能含有的漏洞数量与类型,即对软件进行安全评估,变得十分必要.在实际中用户不仅需要对未发布、或者最新发布的软件实施安全性评估,对已发布软件也会有一定的安全评估需求,例如当用户需要从市场上互为竞争的多款软件中作出选择,就会希望能花费较低成本、较为客观地对这些软件进行第三方的评估与比较.本文提出了一种由自然语言数据驱动的智能化软件安全评估方法来满足这一要求,该方法基于待评估软件现有用户的使用经验信息来评估软件的安全性,它首先自适应地爬取用户在软件使用过程中对软件的自然语言评价数据,并利用深度学习方法与机器学习评估模型的双重训练来获得软件的安全性评估指标.由于本文的自适应爬虫能够在反馈中调整特征词,并结合搜索引擎来获得异构数据,因而可通过采集广泛的自然语言数据来进行安全评估.另外,使用一对多的机器翻译训练能有效解决将自然语言数据转换为语义编码的问题,使得用于安全评估的机器学习模型可以建立在自然语言的语义特征基础上.我们进一步在国际通用漏洞披露数据库（CVE）和美国国家漏洞数据库（NVD）上对本文方法进行了实验,结果表明,本文方法在评估软件漏洞数量,漏洞类型,以及漏洞严重程度等指标上十分有效.     

软件安全性技术在工程中的应用

载人航天工程等国家重大科技工程对软件安全性有着很高的要求.软件安全性技术在这些工程领域也在逐步得到推广应用.首先分析了软件安全性的概念,然后介绍了目前工程中主要应用的软件安全性技术,最后结合工程实际情况给出了一个软件关键等级的确定方法.     

安全关键软件的安全性保障工作研究

安全关键软件如果发生故障,可能会对国家财产和人民安全造成巨大的损失,所以需要重点考虑它们的安全性.但是由于当前还无法精确地定量评估软件安全性,而只能在软件生命周期中从安全性角度对开发行为进行规范和保障.概述了安全性相关的概念,并给出了一个完整的安全关键软件安全性保障工作流程.     

Software fault tree analysis

With the increased use of software in safety critical systems, software safety has become an important factor in system quality. This paper describes a technique, software fault tree analysis, for the safety analysis of software. The technique interfaces with hardware fault tree analysis to allow the safety of the entire system to be maximized. Experience with the technique and its practicality are discussed.     

基于系统思维的软件安全性需求开发框架

糟糕的软件需求是导致安全性关键系统发生灾难性事故的最主要原因。为解决需求开发问题,建构了一个系统建模与系统分析相结合、基于系统思维的软件安全性需求开发框架。针对系统模型的特定等级特定领域,提出了集成安全性分析的需求开发方法。该方法既能最大限度地约束安全性需求缺陷,防止其向同一分析等级内的其它领域或下一分析等级传播,并尽早重新生成安全性需求,又能够不断生成证据,支持安全性论据的构建。     

基于故障树分析的软件安全性测试研究

针对软件安全性测试的本质特征在于快速降低由于软件失效而导致系统事故的风险, 结合基于Baye-sian统计理论的测试方法, 建立一套构建安全性测试剖面, 并由此产生测试用例的测试方法。该方法运用故障树分析技术, 对各模块发生故障对系统安全性的影响进行分析, 找出影响较大的关键性模块, 然后利用分析结果构建安全性测试剖面。最后给出了测试停止的标准。通过对例子的分析可知, 本方法在快速降低软件事故风险方面比现有软件测试方法更有效。     

Detecting safety‐related components in statecharts through traceability and model slicing

With rapid development in software technology, more and more safety‐critical systems are software intensive. Safety issues become important when software is used to control such systems. However, there are 2 important problems in software safety analysis: (1) there is often a significant traceability gap between safety requirements and software design, resulting in safety analysis and software design are often conducted separately; and (2) the growing complexity of safety‐critical software makes it difficult to determine whether software design fulfills safety requirements. In this paper, we propose a technique to address the above 2 important problems on the model level. The technique is based on statecharts, which are used to model the behavior of software, and fault tree safety analysis. This technique contains the following 2 parts, which are corresponding to the 2 problems, respectively. The first part is to build a metamodel of traceability between fault trees and statecharts, which is to bridge their traceability gap. A collection of rules for the creation and maintenance of traceability links is provided. The second part is a model slicing technique to reduce the complexity of statecharts with respect to the traceability information. The slicing technique can deal with the characteristics of hierarchy, concurrency, and synchronization of statecharts. The reduced statecharts are much smaller than their original statecharts, which are helpful to successive safety analysis. Finally, we illustrate the effectiveness and the importance of the method by a case study of slats and flaps control units in flight control systems.     

安全性苛求系统中关于软件安全性评价的研究

安全性苛求系统由于其行为直接关系人身和大宗财产的安全，需要有一个安全性定量指标来反映系统中计算机软件的安全性品质，由于安全性苛求系统的软件在开发时规定要采取一系列可靠性和安全性措施，到形成产品后，软件内部缺陷的暴露都是一些小概率事件，如果仅仅依靠测试数据进行安全性定量评估，由于测试开销的限制，依据似感不不足，本文提出一种多元、多模型，多阶段进行安全性评价的方法，在系统开发和运用的不同阶段，从不同角度，利用历史和当前的数据，依靠客观和主观的判断，对系统的安全性进行评价，希望较完整地反映系统的安全性。     

构件化安全苛求软件的安全接口策略

在采用构件化技术的安全苛求软件中,软件的安全性仍旧是首要特性,介绍了多故障模式下的安全接口策略,并将此理论应用在铁路车站计算机联锁软件这种安全苛求软件的开发中,对系统中单个构件定义安全接口,从而为整个软件系统提供了有效的安全性保障。     

Software safety

The author considers four issues that prevent software safety from sometimes getting the attention it deserves: safety is often confused with security and reliability; safety is viewed as a system-level problem; software failures are subtle; and safety cannot be proven. He presents his software safety predictions.     

基于SFTA的桥接模式安全性分析

采用软件故障树分析法,通过一个应用桥接模式的实例研究在软件设计中引入设计模式对软件安全性的影响。结果表明,单纯引入桥接模式,软件的安全性约降低50%,但引入设计模式使得软件模块之间解耦合,通过加入双余量设计,可以使软件安全性提高2个数量级。该结论对安全关键软件面向对象的设计具有指导作用。     

一个基于COP的控制软件安全性增强方法

控制软件往往是安全攸关系统的核心,其正确性对系统安全起着至关重要的作用。然而由于系统面对的环境因素越来越复杂,软件设计之初不可能考虑到所有可能面对的环境变化因素,系统的安全性面临新的挑战。因此在软件维护阶段,以环境变化为中心,增量式地增强软件的安全性显得非常重要。面向上下文编程方法(Context-Oriented Programming,COP)正是一种以软件运行上下文环境为中心的编程方法。现有的支撑COP思想的运行机制可以使得系统根据精确的上下文信息动态地调整系统的行为,但是有些上下文引发的系统行为调整会导致系统执行器的现有运行被打断,对于这类影响系统执行器行为的上下文,现有的COP运行机制还没有提供有效处理方法。根据现有的COP方法,给出了一个基于软件上下文保存与恢复的控制软件安全性增强的编程模型,并在LegoNXT控制器上实现了相应的运行支撑和编程工具,通过一个产品分拣系统的安全性增强实例,初步验证了该编程模型的合理性。     

基于加速剖面的软件防危性验证测试方法

在严格区分软件防危性和可靠性的基础上,提出一种基于加速剖面的软件防危性验证测试方法。该方法通过系统性的防危分析,构建软件加速剖面,根据重要性取样原理求得测试加速因子,能在减少测试代价的同时实现对软件防危性指标的高可信验证测试。