背景与现状 ●指导开发人员如何编写安全的代码的资源很少 ●更糟的是,如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的 ●在这种市场压力下,首当其冲受到损害的通常是 软件质量(任何种类的质量) ●在最好的情况下安全性往往也只是事后的想法, 而通常它都被完全遗忘
背景与现状 指导开发人员如何编写安全的代码的资源很少 更糟的是,如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的 在这种市场压力下,首当其冲受到损害的通常是 软件质量(任何种类的质量) 在最好的情况下安全性往往也只是事后的想法, 而通常它都被完全遗忘。 by XJU SE Group
妨害安全性分析的认识误区 01 只有在代码已经编制完成之后,才需要进行安 全性分析 ●2政府机构与独立的安全性分析机构签订合同是 困难和耗时的 ●3良好的软件开发过程能够预防软件全部潜在危 险 ●4安全性分析费用没有必要列入项目经费计划 ●5缺乏明显证据表明,如果已经发现的危险没有 消除,一定会发生事故
妨害安全性分析的认识误区 1 只有在代码已经编制完成之后,才需要进行安 全性分析 2 政府机构与独立的安全性分析机构签订合同是 困难和耗时的 3 良好的软件开发过程能够预防软件全部潜在危 险 4 安全性分析费用没有必要列入项目经费计划 5 缺乏明显证据表明,如果已经发现的危险没有 消除,一定会发生事故 by XJU SE Group
妨害安全性分析的认识误区 缺乏安全性分析专业人员和分析过程 一跟踪评估安全性分析机构和人员的历史业绩, 可以发 现称职的机构和人员 ●软件安全性分析发现的新问题,将带来额外的工 作量 -早期识别安全性分析问题可以节省大量资源 by
妨害安全性分析的认识误区 缺乏安全性分析专业人员和分析过程 – 跟踪评估安全性分析机构和人员的历史业绩,可以发 现称职的机构和人员 软件安全性分析发现的新问题,将带来额外的工 作量 – 早期识别安全性分析问题可以节省大量资源 by XJU SE Group
软件缺陷 Company LOGO ●英文有多个词与之对应: -缺陷:bug -缺点:defect Group -偏差:variance -谬误:fault SE -失败:failure -矛盾:inconsistency -错误:error -毛病:incident -异常:anomy www.themegallery.com
软件缺陷 英文有多个词与之对应: – 缺陷:bug – 缺点:defect – 偏差:variance – 谬误:fault – 失败:failure – 矛盾:inconsistency – 错误:error – 毛病:incident – 异常:anomy www.themegallery.com Company LOGO by XJU SE Group
软件缺陷 Company LOGO ●1EEE标准729-1983中对软件缺陷的定义: 从产品内部来看,软件缺陷是软件产品开发或维护过 程中所存在的错误,毛病等多种问题; 从产品外部来看,软件缺陷是系统的需求实现的某种 功能的失败或违背。 ●RFC2828[ISG] -互联网词汇将漏洞定义为:“系统设计实现和操作管 理中存在的缺陷和弱点,能被利用而违背系统的安全 策略” www.themegallery.com
软件缺陷 IEEE标准729-1983中对软件缺陷的定义: – 从产品内部来看,软件缺陷是软件产品开发或维护过 程中所存在的错误,毛病等多种问题; – 从产品外部来看,软件缺陷是系统的需求实现的某种 功能的失败或违背。 RFC2828[ISG] – 互联网词汇将漏洞定义为:“系统设计实现和操作管 理中存在的缺陷和弱点,能被利用而违背系统的安全 策略”。 www.themegallery.com Company LOGO by XJU SE Group