فرآيندی برای توليد نرم افزار‌های حساس به امنيت

صفحه 1:
گزارش پیشرفت پروژه‌ی کارشناسی ارشد حسین کرامتی استاد راهنما: دکتر میریان استاد مشاور: دکتر حبیبی دانشگاه صنعتی شریف دانشکده مهندسی کامپیوتر - ١ 

صفحه 2:
افزایش روز افزون آسیب پذیریهای امنیتی * توسعه استفاده از سیستمهای نرم افزاری امنیت: از اساسی ترین نیازهای بسیاری از نرم افزارها توسعه دهندگان: نقش اصلی در تولید نرم افزار عدم آشنایی توسعه دهندگان با امنیت > نرم افزارهای آسیب : فرآیندی برای تولید و توسعه امن نرم افزارها 

صفحه 3:
روشهای توصیف و مدل سازی فرآیند * فرآیندهایی برای تولید امن نرم افزار * منابع و راهنماهایی برای توسعه امن * زبانهای مدل سازی با پشتیبانی از نیازمندیهای امنیتی 

صفحه 4:
توصیف فرآیند: * محصولات کاری " نقشهای و توسعه دهندگان * فعالیتها * مراحل 

صفحه 5:
نمونه: اك ‎Process onl PriPoct State Mrocsiica Pbstracica *‏ * ارائه شده در سال ۱۹۹۷ مبتنی بر ماشین حالت ‎OPE"‏ OPED Provess Pravework * * عدم پشتیبانی کافی» عدم وجود ‎pil‏ دارای محدودیتهایی در توصیف و .. ‎ROC"‏ Ratioca Detkod Oowposer * * شی گرا و دارای کتابخانه ای قوی * متعطف. سازگاره یکپارچه مبتنی برلبزار و . 

صفحه 6:
RDO * محتوای روش (جهه0) ‎Qetkod‏ ‏* فعالیت ها الهم Task * محضولات کاری 1 8 ماده انام توليد كنندكان ame wierd ۱ 1g” فرأیند ‎(CProvesy)‏ اجزای محتوای روش در 800 * استفاده از محتواى روش * تعريف مراحل و نحوه به كاركيرى محتواى روش انتخاب شده 

صفحه 7:
مثال: فرآیند ‎ROE‏ 8 3 محتوای روش: ۴ مذل‌سازی فجار» لیازمننی‌ها آنالیژ و طرانعی, پیاه‌ساز ۲ ستفرازه مدیریت تفییرات. مدیریت پروژه و محیط * فرآیند: * چهار فاز آغاز . جزئیات . ایجاد و انتقال میزان پرداختن به اجزای محتوای در هر مرحله از انجام پروژه 

صفحه 8:
ویژگیهای 4۳00 * منبعی غنی از محتوای روش * دارای ابزار * سادگی و انعطاف توصيف و اعمال * حفظ سازكارى اجزاى مختلف فرآيند ات و نكهدارى فرآيند * توليد مستندات يكيارجه و استاندارد براى فرآيند تعريف شده * پشتیبانی از زبان ‎DOD‏ ۴ قابلیت تعریف فرآیندهای پیچیده 

صفحه 9:
۵0 651 )© امه( OOLGer 

صفحه 10:
* پایان‌نامه‌ی دکتری * بر مبنای * مدل‌سازی دارایی * شناسایی نیازمندی‌های امنیتی * تحلیل مخاطرات زمینه مورد استفاده 

صفحه 11:
5 (ادلمه) Internet Main Office ‘Confidentiality: High Accountant i Secretary 

صفحه 12:
5 (ادلمه) * تحلیل مخاطرات * شناسایی # سیب پذیریها » تهدیدها مخاطرات * ارزیابی مخاطرات » احتمال وقوع » خسارت وارده 

صفحه 13:
5 (ادلمه) * طراحی اقدامات متقابل * ارزیابی هزینه-منفعت * انتیخاب * پذیرفتن طراحی و هزینه-منفعت * قابل قبول بودن مخاطرات کاهش يافته * طراحی مجدد اقدامات متقابل 

صفحه 14:
CLOGP ‎Cowprekeusive Lightveight Pppicaica Gemurity Provess ©‏ * نگارش دوم * شامل: * ۷ تجربه موفق * روند کلی فرآیند ۰ ۲۴ فعالیتها * تشکیل دهنده تجربه های موفق * ۷نقش ؟ انجام دهنده فعالیتها * ۱۰۴ آسیب پذیری 

صفحه 15:
(aalst) OLOGP ‏مثال:‎ * تجربه موفق بدست آوردن نیازمندی‌های امنیتی * فعالیت‌های تشکیل دهنده: شناسایی خطمشی امنیتی شناسایی منایع و مرزهای اطمینان شناسایی نقش کاربران شناسایی قابلیت‌های منابع تعيين محيط عملیاتی شرح كامل موارد استفاده نادرست شناسايى خط حملة 

صفحه 16:
(aalsl) CLBGRP " آسیب پذیریها ‎ai UF gad‏ * معرفی * نتیجه آسیب‌پذیری و تاثیر آن بر جنبه‌های مختلف امنیت سیستم مرحله وقوع در دوره حیات و توسعه نرم‌افزار نقش آن در بسترهای مختلف تولید * منابع حمله * ارزیابی خطر * راه‌های جلوگیری از آن در مراحل مختلف تولید نرمافزار 

صفحه 17:
۴ 1۰ سحوق لاد * پروزه ‎OG-CERT‏ ‏* مجموعه‌ای از * تجربیات موفق ابزار * رهنمودها قواعد اصول * سایر اطلاعات 

صفحه 18:
Orrvschi GOL Orroscht Geoniy Oevelopwed LiPeode © ‏مرحله‎ ۳ ۰ آموزش و آگاهی بخشی به پرسنل oe * تعیین یک مشاور امنیتی برای پروژه تیم راهبری امنیتی اصولی مشترک در طراحی امن ترماقزار رای مخاطراتآمتیتی راه‌کارهایی برای برنامه‌نویسی امن تست امنیتی نرم‌اقزار ایمن‌تر کردن نر‌فزار تولیدی Sel oth cal * طرحریزی سیستم پاسخگویی به مشکلات امنیتی عرضه محصول * پاستگویی به مشکلات 

صفحه 19:
| ncThisWeek ‘rerum, 60 مه اک ‎CheckReq‏ را(0() * توسعه ای ‎DOOD gia Joe obj sly‏ [otherwise] \ahrow new SecurityException) انی از نیازمندی های امنیتی * نمودارهای * نمونه کارکرد: نیازمندی‌های امنیتی * نمودار فعالیت: فرآیند تجاری امن نمودار کلاس: تعیین جنبه های امنیتی اشیاء ادل پیفام‌های امنیتی نمودار حالت سیستم: رفتار امنیتی سیستم ae loyal نمودار پسته: دسته بندی اجزاء تباطات ذ | 

صفحه 20:
Levers O., Lyrae, ©, Nr On Ocbrau, B., CePricrr Grey: Buoy Grows ‘ha Peso et, D.C ‏اما سره 6۱ 0 با‎ Barger @ Park Dred Bech 4, Denna Groner and Doc Geren, PhD. a, Dracrs of beara eerie, ee, "Daaechey XO ranean B mepent orm enaroey exert”, rocersore o& ke DDS سم موی بر موی تیب بویا سا 0 رس چا وی میتی امه ططط؟ روط ,© ‎Gr, ©., Byers,‏ 2 ‎secure sare, DDE.‏ موه ماوق و اس اه بو ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‏موحت جومیجا ‎fe EXDDG worker om ٩‏ اب6000 مس موس تومم6 م1۵ رلا تن رم کت درو ‎bun reac‏ سوه ‎Sen‏ ‎meceet h(brozerng oP hr DO neve werbhay 2‏ عسوب بعصم جا ۹ ‎spares, DDO.‏ سم موه م6 00 روا ‎Ricparterce” lou oP Opes‏ بوسح امه ‎Wherfsay‏ © لسو .8 ‎ ‎ ‎. Yom Qa, Prcky, , "Precene Denkdey eo Cappers tie Deb Donkey Lenxnene” hs raceme bt here ‏ی[‎ One erenae, G30? ‏را سا و‎ Came, D.@., ede, (8. 0.0, 1B zero Por dpi onear ‏م1 سر عالت لجن‎ Provera oP fee DDS) ‏رال‎ ont ‏ره هه همه نع‎ DO ۱ ‎OP, Coca‏ رن وا مسلط سس هس 6 اسف لس مسا ‎bboy DOE, REO. , DDE,‏ ] ‎Channa, Dae, "Berren, Dror Dake For ‘hbimnainy Tortora’ Ohateom DS, Onrarey Crores Deer, AST‏ .089 ‎ODDO,‏ ی معا مس ‏,008 ۵0 سس سس روم مهب رل دا موق :00۵ اس سوق .هه تسج سبط ‎B._ W®.CEWP, OxPrucee Correa Tener, Bull Grows, ‏تناه س نها ۵006 وا‎ Gerav, ©., Lined, 0.8, ‏ص0‎ & Procher Greve Orbcere, Drtoxrd ber Grown, Carman, DINE, ‏اه در دیا سم دا لوکوم سس الوا‎ ‏0 وس ما00 هار )پم هس00 گت سم سم پسمولم م10 رل سول ,۵ حامس ‎asst‏ ۳ ‏اه 000 ‎orks woe, ADDS‏ معط ‎“HED Reered Deter! Orcprmer: Por) & 2°, WD‏ ,© صمل رک 000 ‏ان 0 زو ساموت کاس کت سس الوا ‎05. 1000 ‏لجسا‎ Orterd Ooroperer (RDO) oP unten, tanacar JDO de como unrelaunterelroclair ark ‎| Prommuert (OC) eed uetote, ‏وما عم الايها‎ ‎9 

صفحه 21: