Xavfsiz dasturiy vositalarni yaratishning dolzarbiligi va undagimuammolar

Dasturiy ta'minot xavfsizligining asosiy tushunchalari

Download 24,37 Kb.

bet	2/3
Sana	06.03.2023
Hajmi	24,37 Kb.
	#916908

1 2 3

Bog'liq
Xavfsiz dasturiy vositalarni yaratishning dolzarbiligi va undagi

Dasturiy ta'minot xavfsizligining asosiy tushunchalari.
Dasturiy ta'minot xavfsizligi SDLC bosqichlarida turli nuqtalarda, kompaniya bilan hech qanday aloqasi bo'lmagan insayderlar va begonalar tomonidan beixtiyor va zararli harakatlar orqali tahdid qilinadi. Dasturiy ta'minotdagi xatolar/zaifliklarni bartaraf etishning eng samarali usuli bu SDLC ning barcha bosqichlariga xavfsizlik va boshqa ishlamaydigan standartlarni kiritishdir. Yillar davomida "yuqori yaxlitlik" bo'yicha ko'plab tadqiqotlar olib borildi va tadqiqotchilar va amaliyotchilar xavfsiz dasturiy ta'minot tizimlarini yaratish uchun ko'p mehnat qildilar. Barcha sa'y-harakatlarga qaramay, xavfsizlikning yaxlitligining yuqori standartlarini taklif qiladigan dasturiy ta'minot kamdan-kam uchraydi. Xavfsizlik aniq belgilangan bo'lsa ham, talab va xavfsizlik dizayni amalga oshirish guruhiga kirish sifatida berilgan bo'lsa ham, natija xavfsiz bo'lishiga kafolat yo'q. Ushbu bo'limda xavfsizlikni SDLC bosqichlariga kiritishning turli metodologiyalari, shuningdek, ushbu metodologiyalarda keng tarqalgan xavfsizlik amaliyotlari muhokama qilinadi.
McGraw dasturiy ta'minotni ishlab chiqish bilan bog'liq bo'lgan xavfsiz dasturiy ta'minotni yaratish uchun yettita aloqa nuqtasi operatsiyasini ("Suiiste'mol holatlari, Xavfsizlik talablari, Arxitektura xavfini tahlil qilish, kodni ko'rib chiqish va ta'mirlash, Penetratsiya testi va xavfsizlik operatsiyalari") tavsiya qiladi. artefaktlar. Microsoft Microsoft Trustworthy Computing Security Development Lifecycle dasturini ishlab chiqdi [38]dasturiy ta'minotni ishlab chiqish jarayonining har bir bosqichiga quyidagi tarzda xavfsizlik amaliyotlari to'plamini qo'shadi: talab bosqichida xavfsizlik xususiyatlari talablari mijozlar talablari asosida aniqlanadi, dizayn bosqichida MS SDL shunday bajarilishi kerak bo'lgan tadbirlar to'plamini taklif qiladi. xavfsizlik xavfini aniqlash uchun tahdid modellashtirish, xavfsizlik uchun muhim bo'lgan yoki sinov paytida alohida e'tibor talab qiladigan komponentlarni aniqlash, amalga oshirish bosqichida, statik tahlil kodini skanerlash vositalari va kodlarni ko'rib chiqishdan foydalanish, amalga oshirish tugagandan so'ng, to'liq dasturiy ta'minot sinovdan o'tkaziladi. sinov bosqichida dasturiy ta'minotning xavfsizlik uchun muhim komponentlari, tekshirish bosqichida yangi va eski kodning yakuniy kodini ko'rib chiqish va nihoyat, chiqarish bosqichida,Yakuniy xavfsizlik tekshiruvi Markaziy Microsoft Xavfsizlik jamoasi tomonidan o'tkaziladi.
TSP Secure (Xavfsiz dasturiy ta'minotni ishlab chiqish uchun jamoaviy dasturiy ta'minot jarayoni) dasturiy ta'minot guruhlari uchun maxsus ishlab chiqilgan bo'lib, ularga yuqori samarali jamoani yaratishga yordam berish va o'z ishlarini eng yaxshi natijalarga erishish uchun tayyorlashga yordam beradi. TSP Secure dasturiy ta'minot xavfsizligiga to'g'ridan-to'g'ri uchta usulda e'tibor qaratadi: rejalashtirish, ishlab chiqish va boshqarish, shuningdek, dasturchilar uchun xavfsizlik bilan bog'liq jihatlar va boshqa jamoa a'zolarini o'qitish. Dastlabki bosqichda; rejalashtirish, jamoa xavfsizlik xatarlarini, xavfsizlik talablarini, xavfsiz dizaynni, kodni ko'rib chiqishni, statik tahlil vositalaridan foydalanishni, birlik testlarini va Fuzz testini aniqlaydi va bir qator yig'ilishlar davomida ishlab chiqish bosqichida foydalanish uchun batafsil rejani ishlab chiqadi. Keyinchalik, reja amalga oshiriladi va jamoa barcha xavfsizlik tadbirlarining amalga oshirilishini ta'minlaydi. Xavfsiz dasturiy ta'minotni ishlab chiqish jarayoni modeli (S2D-ProM) strategiyaga yo'naltirilgan jarayon modeli bo'lib, u xavfsiz dasturiy ta'minotni yaratishda yangi boshlanuvchilardan tortib ekspertlargacha bo'lgan barcha darajadagi ishlab chiquvchilar va dasturiy ta'minot muhandislariga yo'l-yo'riq va yordam beradi. Niyozi va boshqalar xavfsiz dasturiy ta'minotni ishlab chiqish uchun zarur amaliyotlarni aniqlash uchun tizimli adabiyotlarni ko'rib chiqish (SLR) o'tkazdi. Ushbu maqola, shuningdek, Somerville talablari muhandislik amaliyotiga o'zgartirishlar kiritdi. Eng yaxshi talab amaliyotlarini aniqlagandan so'ng, talablar muhandisligi xavfsizligi etuklik modeli (RESMM) deb nomlangan xavfsiz talablar muhandisligi uchun asos ishlab chiqildi. Taklif etilgan asosni sinab ko'rish uchun so'rovnomalar va amaliy tadqiqotlardan foydalanildi. Natijalar taklif etilayotgan tizim amaliy va moslashuvchan ekanligini ko'rsatadi.
Keng qamrovli, engil ilovalar xavfsizligi jarayoni (CLASP) SDLC davomida dasturiy taʼminotga toʻliq yoki qisman birlashtirilishi mumkin boʻlgan 24 ta yuqori darajadagi xavfsizlik faoliyatidan iborat boʻlgan oddiy jarayondir. CLASP da tahdidlarni modellashtirish va xavf tahlili talab va dizayn bosqichida amalga oshiriladi. Dizayn va amalga oshirish bosqichida u xavfsiz dizayn ko'rsatmalari va xavfsiz kodlash standartlarini taklif qiladi. Tekshiruvlar, statik kod tahlili va xavfsizlik testlari ishonch bosqichida amalga oshiriladi. Qurilish bo'yicha to'g'rilik - bu yuqori yaxlit dasturiy ta'minotni ishlab chiqish texnikasi. Quyida qurilish bo'yicha to'g'rilikning ettita asosiy tamoyillari keltirilgan: talablar oʻzgarishini kuting, nima uchun sinovdan oʻtayotganingizni biling, sinovdan oldin xatolarni yoʻq qiling, tekshirish oson boʻlgan dasturiy taʼminotni yozing, bosqichma-bosqich rivojlantiring, dasturiy taʼminotni ishlab chiqishning baʼzi jihatlari oddiygina qiyin, dasturiy taʼminot oʻz-oʻzidan foydali emas. AEGIS (Axborot xavfsizligi bo'yicha tegishli va samarali qo'llanma) birinchi navbatda qurilma aktivlari va ularning munosabatlarini baholaydi, so'ngra zaif tomonlar, tahdidlar va xavflarni belgilaydigan xavf tahliliga o'tadi. Subedi va boshqalarga ko'ra. Xavfsizlikni muhofaza qilish tizimni ishlab chiqishning umumiy hayot tsiklida hisobga olinmaydi, buning natijasida ko'plab xavfsizlik buzilishlari sodir bo'ladi. Ushbu maqola veb-ilovalarni ishlab chiqishda ushbu muammoni bartaraf etish uchun tezkor metodologiyada xavfsizlikni rivojlantirish amaliyotlarining kengaytmasi bo'lgan xavfsiz paradigmani taqdim etadi.

Xavfsiz dasturiy ta'minotni ishlab chiqish modeli (SSDM) xavfsizlik treningi dasturiy ta'minotni ishlab chiqishda manfaatdor tomonlarga tegishli xavfsizlik ta'limi bilan ta'minlaydi. SSDM talablari jarayonida tahdid modeli va ularning imkoniyatlarini aniqlash uchun foydalaniladi. Xavfsizlik spetsifikatsiyasi xavfsizlikka erishish bo'yicha ko'rsatmalarni belgilash orqali ixtisoslashtirilgan bo'lishi kerak. Penetratsiya monitoringi xavfsizlikni ta'minlash jarayonida dasturiy ta'minotning hujumdan qochish qobiliyatini tekshiradigan yagona SSD operatsiyasidir. Security Quality Requirements Engineering (SQUARE) metodologiyasi axborot texnologiyalari tizimlari va ilovalari uchun xavfsizlik spetsifikatsiyalarini aniqlash, tasniflash va ustuvorligini aniqlash imkonini beradi. Al-Matouq va boshqalar. Xavfsiz dasturiy ta'minotni loyihalash bo'yicha eng yaxshi amaliyotlarni aniqlash uchun Ko'p ovozli adabiyotlarni ko'rib chiqishni o'tkazdi. Aniqlangan ilg'or tajribalar asosida xavfsiz dasturiy ta'minot dizayni etuklik modeli (SSDMM) ramkasi ishlab chiqildi. Ramka amaliy tadqiqotlar yordamida baholandi va natijalar SSDMM dasturiy ta'minotni ishlab chiqish tashkilotlarining etuklik darajasini o'lchashga yordam berishini ko'rsatdi.

Download 24,37 Kb.

Do'stlaringiz bilan baham:

1 2 3