软件安全期末论文

软件安全开发

1、软件安全开发概况

1．软件安全开发背景

第一次“软件危机”-20世纪60年代，根源：汇编语言不能处理日益庞大和复杂的程序，解决：高级语言的诞生-FORTRAN和C；

第二次“软件危机”-20世纪80年代，根源：大型程序，数百万行，数百万人同时开发，解决：1.面向对象语言-C++/java/c#；2.软件工程；

第三次“软件危机”-21世纪头十年，根源：软件安全。

软件应用广泛：电脑游戏、火车票售票系统、多媒体教学、手机、航天飞机、人造卫星、、、

软件安全问题广泛存在：运行错误，售票系统反应慢、连不上或是崩溃，多媒体教学系统死机，黑客盗取用户的银行密码、、、

软件安全问题导致的一般后果：造成产品运行不稳定，得不到正确的结果甚至崩溃，被恶意攻击，导致信息泄露/数据破坏等后果；

软件安全问题导致的严重后果：售票系统瘫痪，美国放射治疗仪超剂量辐射事件，阿丽亚纳5号火箭首发失败事件，Stuxnet病毒攻击伊朗布什尔核电站事件。

软件存在诸多安全问题的原因：软件开发周期短，工作量大，无暇顾及安全；软件设计时缺乏安全设计；软件开发人员缺乏安全编程的经验；功能越来越多，情况越来越复杂；软件模块复用，可扩展性/灵活性要求高；互联网环境下的安全挑战。总结概括为两点：存在漏洞，存在威胁。

漏洞已经成为危害软件安全的主要因素，危及用户对软件的信任、业务运营，还会危及一些关键基础设施和应用。

漏洞普遍存在，普通软件工程师，每千行代码存在20个缺陷，虽然采用严格的软件开发质量管理机制和多重测试，软件公司的缺陷率依然很高，其中普通软件开发公司的缺陷密度为4-40个，高水平的软件开发公司的缺陷密度为2-4个缺陷，美国NASA的软件缺陷密度可达到

0.1个缺陷。

2．软件安全开发简介

所谓的安全的软件是指不存在安全漏洞，能抵御各种攻击威胁，按照预期的方式执行。而软件安全开发是指在软件开发生命周期各个阶段采取必要的、相适应的的安全措施来避免绝大多数的安全漏洞。采取措施防止由于设计、开发、提交、升级或维护中的缺陷而导致的系统脆弱性。

软件安全开发要求安全提前介入，在软件发布以后进行修复的代价是在软件设计和编码阶段即进行修复所花代价的30倍。并且等软件发布以后再进行修复对软件使用者所造成的损失是巨大的，因此有了软件安全开发，即安全的软件开发生命周期：包括安全设计原则，安全开发

方法，最佳实践，安全专家经验。另外还提出了一些安全开发模型，包括由微软提出的可信计算安全开发生命周期，由Gary McGraw等提出的BSI系列模型，OWASP提出的SAMM和CLASP模型。

可信计算安全开发生命周期（The Trustworthy Computing Security Development LifeCycle）是一个安全保证过程，其在开发过程的所有阶段中引入了安全和隐私原则，共5+2个阶段，16项必须的安全活动。

BSI（Building Security IN）使安全成为软件开发必须的部分，无需改变现有的软件开发方法，适用各种软件开发生命周期。

SAMM（Software Assurance Maturity Mode），即软件保证成熟度模型，一个开放的框架，用以帮助制定并实施针对软件安全特定风险的策略。规定了四个软件开发过程中的核心业务功能：治理、构造、验证和部署。

CLASP（Comprehensive Lightweight Application Security Process），综合的轻量应用安全过程，选取了30个特定的基于角色的活动，用于提升整个开发团队的安全意识，并针对这些活动给出了相应的指南、导则和检查列表。

2、软件安全开发的关键工作

1．软件安全设计

在这个环节中我们要了解软件安全设计的重要性，理解软件安全设计的基本原则，理解受攻击面概念和常用的减少攻击面的保护措施，了解威胁建模的概念和目的，理解威胁建模的关键因素及作用。

在传统的方法中，软件发布后测试，等待修复bug，有研究表示50%的安全问题由设计瑕疵引起，因此安全提前介入，效益高，成本低。

所谓的设计缺陷，有如明文存储口令，甚至将口令拿到客户端对比验证，这些都会给系统带来严重的威胁。

安全设计的目标就是制定项目计划来定义安全行为，制定安全检查点来保证安全控制措施的质量，识别配置过程和变更控制过程。

安全设计主要的设计内容包括确定访问控制机制，定义主体角色和权限，选择加密方法和算法，解决敏感数据处理问题，评估内部通信机制，确定完整性机制、、、

安全设计的安全设计原则包括保护最薄弱的环节，纵深防御，最小特权，最小共享，权限分离，经济性，保护隐私，正确理解“秘密”，安全的错误处理，心理接受能力等原则。

受攻击面指对一个软件系统可以采取的攻击方法的集合，可攻击的面例如有功能、API、接口、资源、数据存储等。一个软件的攻击面越大安全风险就越大。因此降低受攻击面，对于提高软件安全性至关重要。

降低受攻击面的方法，第一步分析产品功能的重要性，即此功能是不是必须的；第二步分析从哪里访问这些功能；第三步采取合理的措施，比如降低权限等。

威胁建模是以结构化的方式，识别评估应用系统面临的威胁。目的是帮助在设计阶段充分了解各种安全威胁，并指导选择适当的应对措施；

对可能的风险进行管理；可以重新验证其架构。

威胁建模的流程：确定建模对象；识别威胁；评估威胁；消灭威胁。

建模对象包括应用的可信任边界之内的所有功能组件和边界之外的

应用最实际部分。识别威胁包括发现组件或进程存在的威胁，但是威胁不等于漏洞。评估威胁包括判断攻击发生的概率，攻击后果，计算风险。消灭威胁包括重新设计并排除这个威胁，使用标准的威胁消减技术，发明新的消减方法，根据安全bug标准来确定是否可以接受风险，把威胁作为漏洞记录下来，以后再想办法解决。

常见威胁举例，1.哄骗，就是模仿其他人或实体，比如伪装成；2.篡改，即修改数据或代码，例如修改硬盘、DVD或

网络数据包中的DLL；3.抵赖，即声称没有执行过某个动作；4.信息泄露，即把信息披露给那些无权知道的人，比如允许某人阅读windows源代码，公布某个网站的用户清单；5.拒绝服务，即拒绝为用户提供服务，例如使得Windows或Web网站崩溃，发送数据包并耗尽CPU时间，将数据包路由到某黑洞中；6.权限提升，即获得非授权访问权，例如允许远程因特网用户执行命令，让受限用户获得管理员权限。

消减威胁举例，1.针对假冒威胁，采取认证方式，例如Cookie认证，KerBeros认证，PKI等；2.针对篡改威胁，采取哈希函数、消息认证码、数字签名、防篡改协议的措施消减；3.针对抵赖威胁，采取强认证、安全审计、数字签名、时间戳等措施消减；4.针对信息泄露威胁，采用加密、保护秘密、访问控制、不保存秘密、隐私保护协议等措施消减；5.针对拒绝服务威胁，采取认证、访问控制、过滤、流量控制、授权等措施消减；6.针对特权提升威胁，采取建立访问控制列表、最小权限运行等措施消减。

2．软件安全编码

软件安全编码属于软件安全开发的关键阶段，在此，我们先了解通

用的安全编程准则，包括验证输入、避免缓存溢出、程序内部安全、安全调用组件、程序编写编译等概念。了解编码时禁止使用的函数，了解相关的安全编码标准和建议。了解常见的代码安全问题及处置办法。了解代码审查的目的。了解常见源代码静态分析工具。

其中验证输入是安全程序的第一道防线，我们要检查、验证或是过

滤输入，不让恶意数据进入程序后续处理，类似网络中的防火墙。对数据的检查应该设置在最初接收数据时。

最常见的输入，即输入源，包括1、命令行，要检查参数数量、数

据格式和内容；2、环境变量，环境变量可能超出期望，有的环境变量

存储格式可能存在危险；3、文件，包括被不可信用户控制的文件能容，不可信的临时文件；4、网络，来自网络的数据是高度不可信的；5、还包括一些其它的来源。

常见的数据类型，1、字符串，确定合法的范围，拒绝非法的字符（串），识别特定的字符，使用强类型，过滤单引号、双引号、反斜杠、以及NULL字符，过滤“select”、“insert”、“update”、“shutdown”、“delete”、“drop”等字符串，对于数字类型的字段，很多程序员会这样写“select*from test where id=?”，由于变量