[发明专利]一种软件开发全生命周期安全管理成效评估方法和系统

权利要求书

1.一种软件开发全生命周期安全管理成效评估方法，其特征在于包括以下步骤：1）对不同阶段中软件开发全生命周期安全管理相关系统中的开发安全管理数据进行采集；2）基于采集的开发安全管理数据以及预先构建的评价指标体系，计算得到软件开发全生命周期安全管理的各项评价指标值，进而得到开发安全排行榜类指标；3）基于采集的开发安全管理数据计算综合类评估指标，用于对软件开发全生命周期安全管理系统整体安全情况进行评估；4）基于步骤2）和步骤3）得到的评估结果，对软件开发全生命周期安全管理成效进行评估。

2.如权利要求1所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤1）中，所述不同阶段包括安全评审阶段、上线前安全检测阶段以及上线后周期性安全检测阶段。

3.如权利要求2所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤1）中，不同阶段采集的相关数据包括：安全评审阶段：从安全评审系统采集项目名称、系统名称、机构名、项目负责人、项目评审开始时间、结束时间、评审人、评审时间、评审意见、评审意见分类、项目涉及的重要场景数、重点安全需求数和识别的安全风险点；上线前安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、缺陷名称、系统检出缺陷数量、确认缺陷数量、缺陷级别、代码缺陷率、审批意见、检测时间、缺陷开始时间和缺陷修复时间；上线后周期性安全检测阶段：从安全检测系统采集项目名称、系统名称、机构名、项目负责人、漏洞名称、系统检出漏洞数量、确认漏洞数量、漏洞级别、漏洞发现时间、漏洞关闭时间、是否超期未整改和审批意见。

4.如权利要求3所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述步骤2）中，所述预先构建的评价指标体系包括安全评审类指标、上线前安全检测类指标和上线后周期性安全检测类指标。

5.如权利要求4所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述安全评审类指标包括安全评审项目数、安全评审次数、安全评审分布情况、评审项目涉及重要场景数、重点安全需求数、安全评审识别的安全风险点指标；所述安全评审项目数和安全评审次数指标根据项目名称、评审时间数据得到；所述安全评审分布情况指标根据机构名、项目负责人、评审意见、评审意见分类、评审时间数据得到；所述评审项目涉及重要场景数指标根据项目涉及的重要场景数、评审时间数据得到；所述重点安全需求数指标根据项目涉及的重点安全需求数、评审时间数据得到；安全评审识别的安全风险点指标根据识别的安全风险点、评审时间数据得到。

6.如权利要求4所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述上线前安全检测类指标包括检测系统数、系统扫描发现缺陷数、确认缺陷数、缺陷分布、存在缺陷系统；所述检测系统数指标根据系统名称、检测时间得到；所述系统扫描发现缺陷数指标根据系统检出缺陷数量、检测时间得到；所述确认缺陷数指标根据确认缺陷数量、缺陷级别得到；所述缺陷分布指标根据确认系统名称、机构名、项目负责人、缺陷名称、缺陷级别、检测时间得到；所述存在缺陷系统指标根据确认系统名称、机构名、项目负责人、检测时间得到。

7.如权利要求4所述的一种软件开发全生命周期安全管理成效评估方法，其特征在于：所述上线后安全周期性指标包括周期检测系统数、发现漏洞系统数、累计发现漏洞数、发现漏洞系统数占比、未修复漏洞数、漏洞整改率、漏洞分布、超时未整改工漏洞数；所述周期检测系统数指标根据系统名称、检测时间得到；所述发现漏洞系统数与发现漏洞系统数占比指标根据系统名称、确认漏洞数量、漏洞发现时间得到；所述累计发现漏洞数指标根据确认漏洞数量、漏洞发现时间得到；所述未修复漏洞数、漏洞整改率指标根据确认漏洞数量、漏洞关闭时间、漏洞发现时间得到；所述漏洞分布指标根据系统名称、机构名、项目负责人、漏洞名称、漏洞级别、漏洞发现时间得到；所述超时未整改工漏洞数指标根据确认漏洞数量、是否超期未整改、漏洞发现时间得到。