【技术实现步骤摘要】
基于大数据的软件研发安全管控可视化方法及系统
本专利技术涉及计算机软件
,尤其涉及基于大数据的软件研发安全管控可视化方法及系统。
技术介绍
软件开发是根据用户要求建造出软件系统或者系统中的软件部分的过程。软件开发是一项包括需求捕捉、需求分析、设计、实现和测试的系统工程。软件一般是用某种程序设计语言来实现的。通常采用软件开发工具可以进行开发。软件分为系统软件和应用软件,并不只是包括可以在计算机上运行的程序,与这些程序相关的文件一般也被认为是软件的一部分。软件设计思路和方法的一般过程,包括设计软件的功能和实现的算法和方法、软件的总体结构设计和模块设计、编程和调试、程序联调和测试以及编写、提交程序。软件开发中的系统安全、应用安全、敏感信息的保护等话题已经成为软件企业不能回避的挑战,软件安全包括保护软件中的智力成果、知识产权不被非法使用,包括篡改及盗用等。研究的内容主要包括防止软件盗版、软件逆向工程、授权加密以及非法篡改等。采用的技术包括软件水印(静态水印及动态水印)、代码混淆(源代码级别的混淆,目标代码级别的混淆等)...
【技术保护点】
1.基于大数据的软件研发安全管控可视化方法,其特征在于,包括:/n对待开发的软件的节点通过人工监控或设置数据采集探针的方式,收集节点输入、输出物的安全数据;/n将收集的安全数据通过安全数据模型规范化存储在安全数据库单元中,其中安全数据模型包括应用场景、安全威胁分析模型、安全威胁、安全测试用例、安全需求、威胁消减措施;/n抽取安全数据,并按所述安全数据模型计算安全数值,将安全数值进行图形化展示。/n
【技术特征摘要】 【专利技术属性】
1.基于大数据的软件研发安全管控可视化方法,其特征在于,包括:
对待开发的软件的节点通过人工监控或设置数据采集探针的方式,收集节点输入、输出物的安全数据;
将收集的安全数据通过安全数据模型规范化存储在安全数据库单元中,其中安全数据模型包括应用场景、安全威胁分析模型、安全威胁、安全测试用例、安全需求、威胁消减措施;
抽取安全数据,并按所述安全数据模型计算安全数值,将安全数值进行图形化展示。
2.根据权利要求1所述的基于大数据的软件研发安全管控可视化方法,其特征在于,所述待开发的软件的节点包括:
安全威胁分析数据:包括应用场景数据、威胁点数据、风险描述数据、风险级别数据、安全需求数据、开发建议数据、安全测试用例数据;
第三方代码使用登记数据:包含工程里使用的第三方代码信息;
源代码安全性和质量静态测试数据:包含通过Fortify、Sonar静态代码测试工具扫描的测试结果数据;
动态安全测试数据:包含自动触发的代码扫描结果数据;
人工渗透测试数据:包含常规增量渗透和全量渗透测试结果;
安全应急响应缺陷数据:包含安全事件描述、处理过程及响应时间数据。
3.根据权利要求1所述的基于大数据的软件研发安全管控可视化方法,其特征在于,所述安全数据模型包括应用场景、安全威胁分析模型、安全威胁、安全测试用例、安全需求、威胁消减措施,其中:
应用场景,用于对现有应用系统的所有应用场景做标识;
安全威胁分析模型,为不同应用场景对应的安全威胁关系;
安全威胁,包括威胁名称、攻击模式、详细原理、严重程度、威胁来源;
安全测试用例,实现测试阶段如何对安全威胁出现的威胁点进行验证;
安全需求,用于如何避免所述的安全威胁;
威胁消减措施,用于如何通过设计、编码来避免所述的安全威胁。
4.根据权利要求3所述的基于大数据的软件研发安全管控可视化方法,其特征在于,所述安全数据模型包括待开发软件节点的数据信息,并添加软件及其关联的信息。
5.根据权利要求1所述的基于大数据的软件研发安全管控可视化方法,其特征在于,所述安全数据模型规范后的安全数据与业务信息关联,包括产品信息、版本信息、部门信息、团队信息、个人信息。
技术研发人员:路向宇,宣军法,赵佳萌,陈星,高钰,
申请(专利权)人:中国人寿保险股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。