基于缺陷檢測的軟件安全風險評估工具設(shè)計與實現(xiàn).pdf

1、對軟件進行有效的安全風險評估,可以指導開發(fā)者平衡“開發(fā)成本”和“安全級別”的關(guān)系,對軟件開發(fā)有著重要作用。而隨著缺陷檢測技術(shù)的發(fā)展,缺陷檢測工具能夠在軟件中識別出大量的潛在安全缺陷,這些工具的檢測結(jié)果可以作為評估軟件安全風險的重要依據(jù)。因此基于缺陷檢測結(jié)果來評估軟件的安全風險成為軟件安全評估的重要方法。
　　為此,本文設(shè)計并實現(xiàn)了基于缺陷檢測的軟件安全風險評估工具。首先,基于軟件安全屬性,給出了CWE(Common Weaknes

2、s Enumeration)缺陷與安全屬性之間的映射關(guān)系;其次,建立了基于D-S證據(jù)理論的安全風險評估模型,提出了考慮缺陷檢測結(jié)果的軟件安全風險評估方法。在風險評估模型中融合風險信息,計算出軟件整體風險值的可信度分配函數(shù),將其定性為相應(yīng)的安全風險等級,并通過一個應(yīng)用實例闡述本文方法的有效性;最后,設(shè)計和實現(xiàn)了基于缺陷檢測的軟件安全風險評估工具。
　　本文提出的方法和平臺工具可以有效的輔助安全評估人員依據(jù)缺陷檢測工具的檢測結(jié)果進行軟