فرآیندی برای تولید نرمافزارهای حساس به امنیت
اسلاید 1: گزارش پيشرفت پروژهی کارشناسی ارشد فرآيندی برای توليد نرمافزارهای حساس به امنيتحسين کرامتياستاد راهنما: دکتر ميرياناستاد مشاور: دکتر حبيبیدانشگاه صنعتي شريفدانشکده مهندسي کامپيوترپائيز 1385÷به نام خدا
اسلاید 2: مقدمهافزایش روز افزون آسیب پذیریهای امنیتیتوسعه استفاده از سیستمهای نرم افزاریامنیت: از اساسی ترین نیازهای بسیاری از نرم افزارهاتوسعه دهندگان: نقش اصلی در تولید نرم افزارعدم آشنایی توسعه دهندگان با امنیت نرم افزارهای آسیب پذیرراه حل: فرآیندی برای تولید و توسعه امن نرم افزارها
اسلاید 3: کارهای مرتبطروشهای توصیف و مدل سازی فرآیندفرآیندهایی برای تولید امن نرم افزارمنابع و راهنماهایی برای توسعه امنزبانهای مدل سازی با پشتیبانی از نیازمندیهای امنیتی
اسلاید 4: توصیف فرآیندتوصیف فرآیند:محصولات کارینقشهای و توسعه دهندگانفعالیتهامراحل
اسلاید 5: توصیف فرآیند (ادامه)چند نمونه:PASTAProcess and Artifact State Transition Abstractionارائه شده در سال 1997مبتنی بر ماشین حالتOPFOPEN Process Frameworkعدم پشتیبانی کافی، عدم وجود ابزار، دارای محدودیتهایی در توصیف و ...RMCRational Method Composerشی گرا و دارای کتابخانه ای قویمنعطف، سازگار، یکپارچهمبتنی بر ابزار و ...
اسلاید 6: توصیف فرآیند (ادامه)RMCمحتوای روش (Method Content)فعالیت هامحصولات کاریتولید کنندگانفرآیند (Process)استفاده از محتوای روشتعریف مراحل و نحوه به کارگیری محتوای روش انتخاب شدهاجزای محتوای روش در RMC
اسلاید 7: توصیف فرآیند (ادامه)مثال: فرآیند RUPمحتوای روش: مدلسازی تجارت، نیازمندیها، آنالیز و طراحی، پیادهسازی، تست، استقرار، مدیریت تغییرات، مدیریت پروژه و محیط فرآیند:چهار فاز آغاز ، جزئیات ، ایجاد و انتقالمیزان پرداختن به اجزای محتوای در هر مرحله از انجام پروژه
اسلاید 8: توصیف فرآیند (ادامه)ویژگیهای RMC:منبعی غنی از محتوای روشدارای ابزارسادگی و انعطاف توصیف و اعمال تغییرات و نگهداری فرآیندحفظ سازگاری اجزای مختلف فرآیندتولید مستندات یکپارچه و استاندارد برای فرآیند تعریف شدهپشتیبانی از زبان UMLقابلیت تعریف فرآیندهای پیچیده
اسلاید 9: فرآیندهای توسعه امنAEGISCLASPBSIMicrosoft SDLUMLSec
اسلاید 10: فرآیندهای توسعه امن (ادامه)AEGISپایاننامهی دکتری بر مبنای مدلسازی داراییشناسایی نیازمندیهای امنیتی تحلیل مخاطراتزمینه مورد استفاده
اسلاید 11: فرآیندهای توسعه امن (ادامه)AEGIS (ادامه)
اسلاید 12: فرآیندهای توسعه امن (ادامه)AEGIS (ادامه)تحلیل مخاطراتشناساییآسیب پذیریهاتهدیدهامخاطراتارزیابی مخاطراتاحتمال وقوعخسارت واردهانواع روشهای قابل استفاده برای تحلیل
اسلاید 13: فرآیندهای توسعه امن (ادامه)AEGIS (ادامه)طراحی اقدامات متقابلارزیابی هزینه-منفعتانتخابپذیرفتن طراحی و هزینه-منفعتقابل قبول بودن مخاطرات کاهش یافتهطراحی مجدد اقدامات متقابل
اسلاید 14: فرآیندهای توسعه امن (ادامه)CLASPComprehensive Lightweight Application Security Process نگارش دومشامل:7 تجربه موفقروند کلی فرآیند24 فعالیتهاتشکیل دهنده تجربه های موفق7 نقش انجام دهنده فعالیتها104 آسیب پذیری
اسلاید 15: فرآیندهای توسعه امن (ادامه)CLASP (ادامه)مثال:تجربه موفق بدست آوردن نیازمندیهای امنیتیفعالیتهای تشکیل دهنده:شناسایی خطمشی امنیتیشناسایی منابع و مرزهای اطمینان شناسایی نقش کاربرانشناسایی قابلیتهای منابع تعیین محیط عملیاتیشرح کامل موارد استفاده نادرست شناسایی خط حمله مستندسازی نیازمندیهای امنیتی
اسلاید 16: فرآیندهای توسعه امن (ادامه)CLASP (ادامه)آسیب پذیریهالیستی 104 تاییمعرفینتیجه آسیبپذیری و تاثیر آن بر جنبههای مختلف امنیت سیستممرحله وقوع در دوره حیات و توسعه نرمافزارنقش آن در بسترهای مختلف تولیدمنابع حملهارزیابی خطرراههای جلوگیری از آن در مراحل مختلف تولید نرمافزارسایر اطلاعات و مثال
اسلاید 17: فرآیندهای توسعه امن (ادامه)BSIBuild Security Inپروژه US-CERTمجموعهای از تجربیات موفقابزاررهنمودهاقواعداصولسایر اطلاعاتلازم برای تامین امنیت در مراحل مختلف توسعه نرمافزار را فراهم کرده است.
اسلاید 18: فرآیندهای توسعه امن (ادامه)Microsoft SDLMicrosoft Security Development Lifecycle 13 مرحلهآموزش و آگاهی بخشی به پرسنلفاز آغازینتعیین یک مشاور امنیتی برای پروژهتیم راهبری امنیتیاصولی مشترک در طراحی امن نرمافزارارزیابی مخاطرات امنیتیراهکارهایی برای برنامهنویسی امنتست امنیتی نرمافزار ایمنتر کردن نرمافزار تولیدیآخرین بازبینی امنیتی طرحریزی سیستم پاسخگویی به مشکلات امنیتی عرضه محصولپاسخگویی به مشکلات امنیتی
اسلاید 19: زبان مدل سازیUMLSecتوسعه ای برای زبان مدلسازی UML پشتیبانی از نیازمندی های امنیتینمودارهاینمونه کارکرد: نیازمندیهای امنیتی نمودار فعالیت: فرآیند تجاری امن نمودار کلاس: تعیین جنبه های امنیتی اشیاءنمودار ترتیب: تبادل پیغامهای امنیتینمودار حالت سیستم: رفتار امنیتی سیستمنمودار بسته: دسته بندی اجزاءنمودار استقرار: ارتباطات فیزیکی و امنیتی
اسلاید 20: مراجعHoward, M., Lipner, S., The Security Development Lifecycle: SDL: A Process for Developing Demonstrably More Secure Software, Microsoft Press, 2006.McGraw, G., Software Security: Building Security In, Pearson Education Inc., Addison Wesley Professional, 2006.Weiss, D. M., Lai, C. T. R., Software Product-Line Engineering: A Family-Based Software Development Process, Addison-Wesley, 1999.Flechais, I., Designing Secure and Usable Systems, Ph.D. Thesis, University of London, London, UK, 2005.Boström, G., etc, Extending XP practices to support security requirements engineering, In Proceedings of the 2006 international workshop on Software engineering for secure systems, 2006.Ardi, S., Byers, D., Shahmehri, N., Towards a structured unified process for software security, In Proceedings of the 2006 international workshop on Software engineering for secure systems, 2006.Viega, J., Building Security Requirements with CLASP, In Proceedings of the 2005 workshop on Software engineering for secure systems-building trustworthy applications, 2005.Haley, C. B., etc, A framework for security requirements engineering, In Proceedings of the 2006 international workshop on Software engineering for secure systems, 2006.Firesmith, D., Specifying Reusable Security Requirements. Journal of Object Technology, 2004.Yang, K. J., Pooley, R., Process Modelling to Support the Unified Modelling Language, In Proceedings of the 21st International Computer Software and Applications Conference, 1997.Flechais, I., Sasse, M. A., Hailes, S. M. V., “A process for developing secure and usable systems”, In Proceedings of the 2003 Workshop on New Security Paradigms, 2003.Grance, T., Hash, J., Stevens, M., Security Considerations in the Information System Development Life Cycle, NIST, Computer Security Division, NIST Special Publication 800-64, REV. 1, 2004.Swanson, M., etc, Security Metrics Guide for Information Technology Systems, NIST, Computer Security Division, NIST Special Publication 800-55, 2003.Secure Software Inc., CLASP: Comprehensive Lightweight Application Security Process, Version 2.0, 2006, http://www.securesoftware.com/process.US-CERT, Software Engineering Institute, Build Security In, 2006, https://buildsecurityin.us-cert.gov.McGraw, G., Howard, M., etc, Processes to Produce Secure Software, National Cyber Security Summit, 2004, http://www.cigital.com/papers/download/secure_software_process.pdf.Jürjens, J., Developing Secure Systems with UMLsec From Business Processes to Implementation, UMLsec homepage, 2002, http://www4.in.tum.de/~umlsec.Haumer, P., IBM Rational Method Composer: Part 1 & 2, IBM Developer Works website, 2005 & 2006, http://www-128.ibm.com/developerworks/rational/library/dec05/haumer & http://www-128.ibm.com/developerworks/rational/library/jan06/haumer.IBM Rational Method Composer (RMC) official website, http://www-306.ibm.com/software/awdtools/rmc/index.html.OPEN Process Framework (OPF) official website, http://www.opfro.org
اسلاید 21: با تشکر
نقد و بررسی ها
هیچ نظری برای این پاورپوینت نوشته نشده است.