一种软件开发全生命周期安全管理成效评估方法和系统技术方案

本发明专利技术涉及一种软件开发全生命周期安全管理成效评估方法和系统，其特征在于包括以下步骤：1）对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；2）基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；3）基于采集的开发安全管理数据计算综合类评估指标，用于对软件开发全生命周期安全管理系统整体安全情况进行评估；4）基于步骤2）和步骤3）得到的评估结果，对软件开发全生命周期安全管理成效进行评估。本发明专利技术可以广泛应用于软件安全管理成效评估领域。

【技术实现步骤摘要】
一种软件开发全生命周期安全管理成效评估方法和系统
本专利技术涉及一种软件开发全生命周期安全管理成效评估方法和系统，属于软件安全管理评估领域。
技术介绍
软件开发全生命周期安全管理过程中会用不同的工具对软件开发过程中的各个阶段进行管理，涉及的工具有项目管理系统、工单管理系统及开发安全支撑类系统等系统。目前各个系统之间相对孤立，开发安全管理相关数据分布在各个系统中，且各个系统之间无法互通互联，无法进行数据整合。因此，进行软件开发全生命周期安全管理成效评估时仅局限于某个系统或某个开发阶段的安全管理成效评估，未站在软件开发全生命周期安全管理的整体视角进行全局评估。
技术实现思路
针对上述问题，本专利技术的目的是提供一种软件开发全生命周期安全管理成效评估方法和系统，通过采集软件开发全生命周期中开发安全管理相关数据、对数据进行整理及深入分析，制定出可以评估安全管理成效的评价指标，为评估开发安全管理的工作成效及为安全管理决策提供依据。为实现上述目的，本专利技术采取以下技术方案：本专利技术的第一个方面，是提供一种软件开发全生命周期安全管理成效评估方法，其包括以下步骤：1）对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；2）基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；3）基于采集的开发安全管理数据计算综合类评估指标，用于对软件开发全生命周期安全管理系统整体安全情况进行评估；4）基于步骤2）和步骤3）得到的评估结果，对软件开发全生命周期安全管理成效进行评估。进一步，所述步骤1）中，所述不同阶段包括安全评审阶段、上线前安全检测阶段以及上线后周期性安全检测阶段。进一步，所述步骤1）中，不同阶段采集的相关数据包括：安全评审阶段：从安全评审系统采集项目名称、系统名称、机构名、项目负责人、项目评审开始时间、结束时间、评审人、评审时间、评审意见、评审意见分类、项目涉及的重要场景数、重点安全需求数和识别的安全风险点；上线前安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、缺陷名称、系统检出缺陷数量、确认缺陷数量、缺陷级别、代码缺陷率、审批意见、检测时间、缺陷开始时间和缺陷修复时间；上线后周期性安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、漏洞名称、系统检出漏洞数量、确认漏洞数量、漏洞级别、漏洞发现时间、漏洞关闭时间、是否超期未整改和审批意见。进一步，所述步骤2）中，所述预先构建的评价指标体系包括安全评审类指标、上线前安全检测类指标和上线后周期性安全检测类指标。进一步，所述安全评审类指标包括安全评审项目数、安全评审次数、安全评审分布情况、评审项目涉及重要场景数、重点安全需求数、安全评审识别的安全风险点指标；所述安全评审项目数和安全评审次数指标根据项目名称、评审时间数据得到；所述安全评审分布情况指标根据机构名、项目负责人、评审意见、评审意见分类、评审时间数据得到；所述评审项目涉及重要场景数指标根据项目涉及的重要场景数、评审时间数据得到；所述重点安全需求数指标根据项目涉及的重点安全需求数、评审时间数据得到；安全评审识别的安全风险点指标根据识别的安全风险点、评审时间数据得到。进一步，所述上线前安全检测类指标包括检测系统数、系统扫描发现缺陷数、确认缺陷数、缺陷分布、存在缺陷系统；所述检测系统数指标根据系统名称、检测时间得到；所述系统扫描发现缺陷数指标根据系统检出缺陷数量、检测时间得到；所述确认缺陷数指标根据确认缺陷数量、缺陷级别得到；所述缺陷分布指标根据确认系统名称、机构名、项目负责人、缺陷名称、缺陷级别、检测时间得到；所述存在缺陷系统指标根据确认系统名称、机构名、项目负责人、检测时间得到。进一步，所述上线后安全周期性指标包括周期检测系统数、发现漏洞系统数、累计发现漏洞数、发现漏洞系统数占比、未修复漏洞数、漏洞整改率、漏洞分布、超时未整改工漏洞数；所述周期检测系统数指标根据系统名称、检测时间得到；所述发现漏洞系统数与发现漏洞系统数占比指标根据系统名称、确认漏洞数量、漏洞发现时间得到；所述累计发现漏洞数指标根据确认漏洞数量、漏洞发现时间得到；所述未修复漏洞数、漏洞整改率指标根据确认漏洞数量、漏洞关闭时间、漏洞发现时间得到；所述漏洞分布指标根据系统名称、机构名、项目负责人、漏洞名称、漏洞级别、漏洞发现时间得到；所述超时未整改工漏洞数指标根据确认漏洞数量、是否超期未整改、漏洞发现时间得到。进一步，所述步骤3）中，所述开发安全排行榜类指标包括安全评审项目数TOP10、安全评审识别的安全风险点TOP10、开发安全发现缺陷TOP10、开发安全发现漏洞TOP10；所述安全评审项目数TOP10和安全评审识别的安全风险点TOP10指标根据安全评审类指标得到；所述开发安全缺陷TOP10指标根据上线前安全检测类指标得到；所述开发安全发现漏洞TOP10指标根据上线后安全周期性指标得到。进一步，所述步骤3）中，所述综合类评估指标为系统开发安全系数，所述系统开发安全系数的计算公式为：系统开发安全系数=基础分+该系统开发安全管理覆盖率和管控力度系数*各系统开发安全各阶段累计分值。本专利技术的第二个方面，是提供一种软件开发全生命周期安全管理成效评估系统，其包括：数据采集模块，用于对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；评价指标值计算模块，用于基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；综合类评估指标计算模块，用于基于采集的开发安全管理数据计算综合类评估指标；评估模块，用于基于得到的评价指标值和综合类评估指标，对软件开发全生命周期安全管理成效进行评估。本专利技术由于采取以上技术方案，其具有以下优点：1、实现对软件开发全生命周期安全管理成效评估本专利技术提供的软件开发全生命周期安全管理评估方法实现了对开发安全管理的工作量及工作成效评估，并为软件开发全生命周期安全管理决策提供依据。2、提供评估安全管理成效的指标本专利技术提供的软件开发全生命周期安全管理成效评估中给出了安全评审类、上线前安全检测类、上线后周期性安全检测类、开发安全排行榜类及综合类评估指标，这些指标很好的评估了安全管理工作中的工作量及成效，并指出当前安全管理过程中的不足，为下一步工作重点提供依据。因此，本专利技术可以广泛应用于软件安全管理成效评估领域。具体实施方式下面结合实施例对本专利技术进行详细的描述。本专利技术的目的在于提供一种软件开发全生命周期安全管理成效评估方法，该方法将采集软件开发全生命周期中开发安全管理相关数据、分析出可以评估安全管理成效的指标，并以可视化的方式展示指标。进而评估开发安全管理的工作成效及为安全管理决策提供依据。具体地，本专利技术提供的一种软件开发全生命周期安全管理成效评估方法，其包括以下本文档来自技高网...

【技术保护点】
1.一种软件开发全生命周期安全管理成效评估方法，其特征在于包括以下步骤：1）对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；2）基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；3）基于采集的开发安全管理数据计算综合类评估指标，用于对软件开发全生命周期安全管理系统整体安全情况进行评估；4）基于步骤2）和步骤3）得到的评估结果，对软件开发全生命周期安全管理成效进行评估。/n

【技术特征摘要】
1.一种软件开发全生命周期安全管理成效评估方法，其特征在于包括以下步骤：1）对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；2）基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；3）基于采集的开发安全管理数据计算综合类评估指标，用于对软件开发全生命周期安全管理系统整体安全情况进行评估；4）基于步骤2）和步骤3）得到的评估结果，对软件开发全生命周期安全管理成效进行评估。


2.如权利要求1所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤1）中，所述不同阶段包括安全评审阶段、上线前安全检测阶段以及上线后周期性安全检测阶段。


3.如权利要求2所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤1）中，不同阶段采集的相关数据包括：安全评审阶段：从安全评审系统采集项目名称、系统名称、机构名、项目负责人、项目评审开始时间、结束时间、评审人、评审时间、评审意见、评审意见分类、项目涉及的重要场景数、重点安全需求数和识别的安全风险点；上线前安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、缺陷名称、系统检出缺陷数量、确认缺陷数量、缺陷级别、代码缺陷率、审批意见、检测时间、缺陷开始时间和缺陷修复时间；上线后周期性安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、漏洞名称、系统检出漏洞数量、确认漏洞数量、漏洞级别、漏洞发现时间、漏洞关闭时间、是否超期未整改和审批意见。


4.如权利要求3所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤2）中，所述预先构建的评价指标体系包括安全评审类指标、上线前安全检测类指标和上线后周期性安全检测类指标。


5.如权利要求4所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述安全评审类指标包括安全评审项目数、安全评审次数、安全评审分布情况、评审项目涉及重要场景数、重点安全需求数、安全评审识别的安全风险点指标；所述安全评审项目数和安全评审次数指标根据项目名称、评审时间数据得到；所述安全评审分布情况指标根据机构名、项目负责人、评审意见、评审意见分类、评审时间数据得到；所述评审项目涉及重要场景数指标根据项目涉及的重要场景数、评审时间数据得到；所述重点安全需求数指标根据项目涉及的重点安全需求数、评审时间数据得到；安全评审识别的安全风险点指标根据识别的安全风险点、评审时间数据得到。


6.如权利要求4所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述上线前安全检测类指标包括检测系统数、系统扫描发现...

【专利技术属性】
技术研发人员：王志伟，孟庆飞，孙倩倩，董芸逢，
申请(专利权)人：北京国舜宸锋科技有限公司，
类型：发明
国别省市：北京;11