基于缺陷檢測的軟件安全風(fēng)險(xiǎn)評估工具設(shè)計(jì)與實(shí)現(xiàn).pdf

1、對軟件進(jìn)行有效的安全風(fēng)險(xiǎn)評估,可以指導(dǎo)開發(fā)者平衡“開發(fā)成本”和“安全級別”的關(guān)系,對軟件開發(fā)有著重要作用。而隨著缺陷檢測技術(shù)的發(fā)展,缺陷檢測工具能夠在軟件中識別出大量的潛在安全缺陷,這些工具的檢測結(jié)果可以作為評估軟件安全風(fēng)險(xiǎn)的重要依據(jù)。因此基于缺陷檢測結(jié)果來評估軟件的安全風(fēng)險(xiǎn)成為軟件安全評估的重要方法。
　　為此,本文設(shè)計(jì)并實(shí)現(xiàn)了基于缺陷檢測的軟件安全風(fēng)險(xiǎn)評估工具。首先,基于軟件安全屬性,給出了CWE(Common Weaknes

2、s Enumeration)缺陷與安全屬性之間的映射關(guān)系;其次,建立了基于D-S證據(jù)理論的安全風(fēng)險(xiǎn)評估模型,提出了考慮缺陷檢測結(jié)果的軟件安全風(fēng)險(xiǎn)評估方法。在風(fēng)險(xiǎn)評估模型中融合風(fēng)險(xiǎn)信息,計(jì)算出軟件整體風(fēng)險(xiǎn)值的可信度分配函數(shù),將其定性為相應(yīng)的安全風(fēng)險(xiǎn)等級,并通過一個應(yīng)用實(shí)例闡述本文方法的有效性;最后,設(shè)計(jì)和實(shí)現(xiàn)了基于缺陷檢測的軟件安全風(fēng)險(xiǎn)評估工具。
　　本文提出的方法和平臺工具可以有效的輔助安全評估人員依據(jù)缺陷檢測工具的檢測結(jié)果進(jìn)行軟