軟件安全開(kāi)發(fā)技術(shù)研究和實(shí)施論文

　　一、引言

　　隨著信息社會(huì)的飛速發(fā)展，人們對(duì)軟件的依賴(lài)已不可小視，尤其是軟件不僅為人們帶來(lái)了許多便利的同時(shí)，也對(duì)人們的生活方式帶來(lái)了巨大改變。在我們生活中，數(shù)字視頻、音樂(lè)、電子游戲等娛樂(lè)方式已經(jīng)得到普及，而其和交通、通訊和醫(yī)療保健的聯(lián)系也是非常普遍。因?yàn)檐浖�在�?dāng)前和人類(lèi)有著不同以往的關(guān)系，因此，軟件的安全問(wèn)題更加應(yīng)該引起重視，因此，下文本文將從軟件安全開(kāi)發(fā)的關(guān)鍵技術(shù)等方面展開(kāi)探討。

　　二、當(dāng)前軟件所面臨的威脅

　　通過(guò)對(duì)軟件產(chǎn)品所面臨的安全威脅研究所知，當(dāng)前嚴(yán)重威脅著軟件安全威脅因素主要有兩個(gè)方面：一方面是對(duì)軟件產(chǎn)品的破解、非法傳播和使用，而另一方面則來(lái)自于攻擊者針對(duì)軟件產(chǎn)品自身的安全漏洞進(jìn)行的攻擊。這兩者中，無(wú)論是來(lái)自哪一方面的威脅，都將給企業(yè)帶來(lái)巨大的損失。

　�。ㄒ唬┌鏅�(quán)保護(hù)

　　通俗來(lái)說(shuō)，版權(quán)保護(hù)問(wèn)題也即是軟件盜版的問(wèn)題，它涉及到軟件的非授權(quán)使用和非授權(quán)復(fù)制等兩個(gè)主要方面。我們都知道，軟件經(jīng)常會(huì)帶來(lái)很大的經(jīng)濟(jì)、社會(huì)效益，因此，它的價(jià)值就不言而喻，而這種高價(jià)值、低成本、易復(fù)制的特性，使得其非常容易受到攻擊，當(dāng)前，這種問(wèn)題顯得愈發(fā)突出了。

　�。ǘ�）安全漏洞

　　互聯(lián)網(wǎng)的普及，使得網(wǎng)絡(luò)服務(wù)越來(lái)越便利，尤其是隨著云計(jì)算的概念的提出，用戶(hù)更是享受到了前所未有的便捷，對(duì)于用戶(hù)來(lái)說(shuō)，也許僅僅需要安裝一個(gè)瀏覽器，就可以享受到諸如娛樂(lè)和購(gòu)物等多方面服務(wù)。但是在這種便利的背后，軟件服務(wù)的漏洞卻也存在著，對(duì)于數(shù)據(jù)的篡改、竊取等現(xiàn)象時(shí)有發(fā)生，甚至給用戶(hù)或服務(wù)商帶來(lái)巨大損失。

　　三、軟件安全開(kāi)發(fā)的關(guān)鍵技術(shù)分析

　　針對(duì)軟件安全開(kāi)發(fā)存在的問(wèn)題，本文首先對(duì)其中涉及的關(guān)鍵技術(shù)進(jìn)行分析：

　�。ㄒ唬┸浖�安全開(kāi)發(fā)流程技術(shù)

　　當(dāng)前，許多軟件開(kāi)發(fā)商都沒(méi)有具備在軟件構(gòu)建中就采取足夠的安全意識(shí)，他們往往將重心放在后期對(duì)軟件的安全修復(fù)上，這是不可取的。由于軟件的其他業(yè)務(wù)更容易獲取利潤(rùn)，因此他們的重心有所偏離。本文經(jīng)過(guò)筆者分析，要改變這種狀態(tài)，使軟件的安全性達(dá)到較高的水平，就應(yīng)該將安全性納入整個(gè)軟件開(kāi)發(fā)生命周期中來(lái)進(jìn)行考慮。本文所采用的軟件開(kāi)發(fā)流程如下圖1所示，在這個(gè)流程中，大致有五個(gè)階段：（1）設(shè)計(jì)階段；（2）編碼階段；（3）測(cè)試階段；（4）發(fā)布階段；（5）維護(hù)階段。容易看出，在這個(gè)流程中，隨著項(xiàng)目的進(jìn)展，所有工作的核心都是以安全為主線，并且也可以和螺旋模型、瀑布模型等許多軟件開(kāi)發(fā)模型得到很好結(jié)合。因此，在軟件生命周期中，幾乎每一個(gè)階段都會(huì)有不同的行為來(lái)提高軟件系統(tǒng)的安全性能。圖1基于改進(jìn)的軟件安全開(kāi)發(fā)流程

　　（二）動(dòng)態(tài)軟件水印技術(shù)

　　當(dāng)前，軟件的知識(shí)產(chǎn)權(quán)保護(hù)成為人們?cè)瓉?lái)越關(guān)注的一個(gè)焦點(diǎn)問(wèn)題，尤其是隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，帶寬的提高和各種資源分享技術(shù)的成熟，軟件的傳播也得到了極大便利，其帶來(lái)的非授權(quán)現(xiàn)象也變成了非常常見(jiàn)的現(xiàn)象。傳統(tǒng)對(duì)軟件知識(shí)產(chǎn)權(quán)保護(hù)的方法主要加密狗保護(hù)、加密、加殼等方法，這些方法雖然也可以有效地防止軟件被破解，但是實(shí)踐證明，這些方法對(duì)軟件的保護(hù)并不是長(zhǎng)期有效的，在各種利益的驅(qū)使下，電腦高手等人員對(duì)軟件的破解只是時(shí)間而已。因此，隨著軟件技術(shù)的發(fā)展，另一種方法被提了出來(lái)，這就是動(dòng)態(tài)水印技術(shù)。動(dòng)態(tài)水印技術(shù)并不直接對(duì)軟件進(jìn)行保護(hù)，它的工作原理是將開(kāi)發(fā)商的諸如版權(quán)保護(hù)信息、身份認(rèn)證信息等隱藏到軟件產(chǎn)品中，這種信息是不容易被察覺(jué)到的，而這種信息又可以標(biāo)識(shí)作者、所有者、發(fā)行者等信息，當(dāng)提取出來(lái)以后，可以有效地對(duì)產(chǎn)品進(jìn)行鑒定。實(shí)踐證明，這種動(dòng)態(tài)軟件水印技術(shù)可以有效地達(dá)到保護(hù)軟件產(chǎn)品的目的。

　�。ㄈ�）軟件靜態(tài)源代碼分析技術(shù)

　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，隨之而來(lái)的是越來(lái)越多的軟件安全漏洞問(wèn)題，對(duì)于廣大用戶(hù)和開(kāi)發(fā)商來(lái)說(shuō)，軟件漏洞的發(fā)現(xiàn)實(shí)屬不易，那么有沒(méi)有什么方法可以有效查找到軟件的漏洞呢？在這種情況下，就出現(xiàn)了軟件靜態(tài)源代碼分析技術(shù)。所謂軟件靜態(tài)源代碼分析技術(shù)，其在當(dāng)前也是一個(gè)比較成熟的安全漏洞檢測(cè)技術(shù)。其工作原理為待檢測(cè)軟件產(chǎn)品不必運(yùn)行，而只需要對(duì)軟件的源代碼進(jìn)行檢查和分析，這包括源代碼的結(jié)構(gòu)、文法、接口等，最后生成軟件的安全性檢測(cè)報(bào)告的過(guò)程。軟件靜態(tài)源代碼分析技術(shù)由于其一系列優(yōu)點(diǎn)被廣泛應(yīng)用：（1）對(duì)源碼分析的速度比較快；（2）有著比較高的自動(dòng)化程度；（3）同時(shí)也可以對(duì)無(wú)窮狀態(tài)系統(tǒng)進(jìn)行檢測(cè)。當(dāng)然，傳統(tǒng)的靜態(tài)源代碼分析技術(shù)也存在著諸如要耗費(fèi)大量精力對(duì)大量的檢測(cè)結(jié)果進(jìn)行分析、對(duì)發(fā)現(xiàn)的漏洞的問(wèn)題進(jìn)行修復(fù)等不足�；�于此，筆者提出了一種基于對(duì)類(lèi)進(jìn)行度量來(lái)對(duì)靜態(tài)分析工具的掃描結(jié)果進(jìn)行優(yōu)先級(jí)排序的算法，可以有效地解決這個(gè)問(wèn)題。

　　四、軟件安全開(kāi)發(fā)管理平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)

　　當(dāng)前軟件的開(kāi)發(fā)商中中小企業(yè)占有相當(dāng)?shù)谋壤�，因此，本文基于中小企業(yè)的軟件開(kāi)發(fā)提出一種有效的安全開(kāi)發(fā)流程，并對(duì)其實(shí)現(xiàn)進(jìn)行了相關(guān)探討，其總體架構(gòu)如圖2所示，在以下整體架構(gòu)中結(jié)合了上文提出的各種技術(shù)等。下文將對(duì)這些模塊進(jìn)行詳細(xì)介紹：

　　1.軟件安全開(kāi)發(fā)管理平臺(tái)：為了能夠使簡(jiǎn)化后的軟件安全開(kāi)發(fā)流程被更好的應(yīng)用到企業(yè)軟件項(xiàng)目開(kāi)發(fā)的過(guò)程中去，本文針對(duì)該模型設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)軟件安全開(kāi)發(fā)管理平臺(tái)用于輔助軟件安全開(kāi)發(fā)流程的實(shí)施。該平臺(tái)可以有效達(dá)到在資源較為有限的情況下，在軟件開(kāi)發(fā)過(guò)程中盡早發(fā)現(xiàn)安全問(wèn)題并進(jìn)行修復(fù)，降低安全成本，提高軟件產(chǎn)品安全性的目的。

　　2.項(xiàng)目管理：在這個(gè)模塊中所涉及的人員主要是項(xiàng)目的管理人員等，其主要包括項(xiàng)目經(jīng)理等。其可以對(duì)軟件項(xiàng)目的信息進(jìn)行維護(hù)，對(duì)項(xiàng)目的階段進(jìn)行控制，并能夠?qū)�軟件�?xiàng)目的安全狀況進(jìn)行整體把握。

　　3.安全開(kāi)發(fā)管理：這一部分是核心部分。在這一模塊中會(huì)按照軟件開(kāi)發(fā)項(xiàng)目所處的階段，按照軟件安全開(kāi)發(fā)流程提供各種安全措施，其中有能夠自動(dòng)完成的措施也有需要人工完成的部分，這一模塊所面向的使用人員和軟件開(kāi)發(fā)項(xiàng)目所處的階段有關(guān)。它主要包括以下階段：設(shè)計(jì)階段：設(shè)計(jì)階段是項(xiàng)目的最初狀態(tài)，需要在這一階段完成對(duì)軟件項(xiàng)目的風(fēng)險(xiǎn)評(píng)估等內(nèi)容。編碼階段：在這一階段中，就用到了上文中提出的靜態(tài)源代碼分析技術(shù)，它將對(duì)軟件項(xiàng)目的源代碼進(jìn)行掃描，以發(fā)現(xiàn)其中的漏洞。在這一階段中，開(kāi)發(fā)人員要隨時(shí)在安全知識(shí)庫(kù)中查看相關(guān)的安全編碼策略文檔，使其盡可能的減少代碼中存在的安全問(wèn)題。當(dāng)軟件功能己經(jīng)全部實(shí)現(xiàn)，代碼全部完成，靜態(tài)源代碼分析出的安全漏洞解決完畢后，可以由項(xiàng)目經(jīng)理把項(xiàng)目推進(jìn)到測(cè)試階段，開(kāi)始進(jìn)行軟件的測(cè)試。測(cè)試階段：在這一階段中，安全開(kāi)發(fā)管理模塊提供的功能包括定期自動(dòng)部署測(cè)試系統(tǒng)、動(dòng)態(tài)分析測(cè)試以及其他安全測(cè)試工具的結(jié)果導(dǎo)入，面向的使用人員主要是測(cè)試人員。發(fā)布階段：當(dāng)項(xiàng)目進(jìn)入發(fā)布階段時(shí)，安全開(kāi)發(fā)管理模塊提供對(duì)軟件代碼進(jìn)行混淆、加入軟件水印、啟用動(dòng)態(tài)軟件保護(hù)以及對(duì)軟件產(chǎn)品進(jìn)行發(fā)布前的安全評(píng)審功能。主要面向的使用人員是項(xiàng)目經(jīng)理和安全管理員。

　　4.安全知識(shí)庫(kù)管理和問(wèn)卷管理：這兩個(gè)模塊面向的人員主要是安全管理員。由安全管理員對(duì)安全知識(shí)庫(kù)中的安全文檔以及在安全評(píng)審中需要使用的問(wèn)卷進(jìn)行管理。

　　5.系統(tǒng)管理：這一模塊主要對(duì)軟件安全開(kāi)發(fā)管理平臺(tái)本身進(jìn)行一些配置和管理工作。本文提出的這種改進(jìn)的軟件安全開(kāi)發(fā)流程，其中優(yōu)點(diǎn)就在于不僅結(jié)合了各種先進(jìn)的安全技術(shù)，而且設(shè)計(jì)了一個(gè)軟件安全開(kāi)發(fā)管理平臺(tái)，它將軟件開(kāi)發(fā)中的各個(gè)階段都統(tǒng)一管理了起來(lái)，集成了更高的自動(dòng)化程度，可以更有效地提高了軟件的安全性能。

　　五、結(jié)語(yǔ)

　　當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題不容小覷，各種攻擊、病毒、垃圾信息，甚至一些網(wǎng)絡(luò)犯罪等，無(wú)時(shí)無(wú)刻不在考驗(yàn)著網(wǎng)絡(luò)的安全性能，因此，軟件安全問(wèn)題也引起了大家的重視。因此，為了使軟件能夠應(yīng)對(duì)目前的安全威脅，就必須在軟件開(kāi)發(fā)過(guò)程中提高安全意識(shí)，在軟件的整個(gè)生命周期內(nèi)對(duì)軟件的安全性進(jìn)行關(guān)注，提高軟件產(chǎn)品的安全性。

【軟件安全開(kāi)發(fā)技術(shù)研究和實(shí)施論文】相關(guān)文章：

開(kāi)發(fā)組件軟件的論文04-27

面向管理信息系統(tǒng)開(kāi)發(fā)的軟件工廠技術(shù)研究的論文05-02

軟件工程在軟件開(kāi)發(fā)中的運(yùn)用論文04-27

軟件工程在軟件開(kāi)發(fā)中的應(yīng)用論文04-27

軟件開(kāi)發(fā)風(fēng)險(xiǎn)管理研究論文05-01

軟件工程開(kāi)發(fā)與應(yīng)用的論文04-27

公路計(jì)量支付軟件的應(yīng)用與開(kāi)發(fā)論文04-30

軟件開(kāi)發(fā)中現(xiàn)代軟件工程的應(yīng)用的論文04-27

教學(xué)軟件開(kāi)發(fā)思想和模式05-01

構(gòu)件軟件工程技術(shù)研究的論文04-27