[发明专利]一种结合产品和过程的软件安全性举证开发方法

权利要求书

1.一种结合产品和过程的软件安全性举证开发方法，其特征在于包含以下步骤：

（1）进行系统危险分析。获取并标识系统危险、危险原因和危险控制方法；明确系统危险列表中每个危险的等级及出现的可能性，选择安全性需要关注的危险。

（2）对系统危险进行充分正确性和满足性举证。结合影响系统危险获取的过程因素举证危险是完整的和正确的；通过举证软件安全性需求的实现来表明危险已消除或缓解，从而说明从软件角度而言系统的安全性水平是可接受的。

（3）进行软件安全性需求分析。获取并标识软件安全性需求，将与软件相关的危险原因和危险控制转换为软件安全性需求，同时再通过由底向上的方式、通用安全性需求补充软件安全性需求。

（4）对软件安全性需求进行充分正确性和满足性举证。结合软件安全性需求获取的过程因素论证软件安全性需求是完整的和正确的；通过举证危险软件失效原因已规避来表明软件安全性需求已实现。

（5）进行危险软件失效分析。获取危险的软件失效列表，针对每个软件安全性需求，分析软件安全性需求列表中每个软件安全性需求相应的危险软件失效、失效原因和失效改进措施。

（6）对危险软件失效进行充分正确性和满足性举证。结合危险软件失效获取的过程因素举证危险的软件失效是完整的和正确的；通过举证危险软件失效改进措施的实现来表明危险软件失效原因已规避。

（7）对危险软件失效改进措施进行满足性举证。获取程序代码和测试结果，从程序代码审查和测试两方面提供证据来表明危险软件失效改进措施已实现。

2.根据权利要求1所述的结合产品和过程的软件安全性举证开发方法，其特征：该方法是一个以危险及危险控制为核心从软件角度来实现系统安全性风险管理的闭环，其思路是以基于产品方法为主、基于过程方法为辅的思想，将二者相结合。依据软件安全性定义，将软件安全性举证开发的最顶层目标设为‘软件在系统环境中运行产生的风险是可接受的’。为了表明这个目标的实现，软件安全性举证中论据开发从以下二个方面展开：

（1）满足性举证：表明所举证对象都已经实现并且得到满足。以基于产品方法为主线，从危险识别、与软件相关的危险控制及控制实现等角度进行举证。围绕软件安全性顶层目标，首先从系统危险出发，从危险原因、危险遏制及预防措施等角度来获知软件对危险的贡献，进而获取软件安全性需求。通过举证软件安全性需求的实现来表明软件对危险的贡献已消除，进而也表明软件安全性顶层目标的实现。软件安全性需求没有实现即说明软件失效，这种失效称为危险软件失效，所以可以通过举证危险软件失效已经消除或缓解来表明软件安全性需求的实现。危险软件失效没有被消除或缓解即说明软件存在缺陷（失效原因），没有合适的改进措施避免软件失效的发生，所以可以进一步通过程序代码和测试来验证软件中不存在导致危险软件失效的缺陷，当然基于提供的程序代码和测试结果是可信的。

（2）充分正确性举证：表明所举证对象是完整并且正确的。采用基于过程方法增强其实现的信心。为了进行充分正确性论证和可信论证，虽无法给出证据直接表明其实现情况，但可以从软件界达成的共识“软件质量源于软件过程”这个角度出发，通过论证“过程规范、人员素质及开发方法”等面向过程的因素来增强其实现的信心。