[发明专利]一种结合产品和过程的软件安全性举证开发方法

说明书

技术领域

本发明属于软件安全性工程领域，涉及其中的软件安全性评估方法，具体涉及一种结合产品和过程的软件安全性举证技术。

背景技术

安全性是指不发生导致人员伤亡、职业病、设备损坏或财产损失的意外事件的能力。安全关键系统（Safety-Critical System）的控制和安全防护是计算机的一个非常重要的应用领域。随着安全关键系统中软件（被称为安全关键软件（Safety-Critical Software））比重的增加，软件也存在安全性问题。软件安全性对安全关键系统的正常工作和安全运行是至关重要的，已成为国防系统能否正常使用的关键因素之一，如何表明软件达到了系统所要求的安全性水平，一直是管理者和开发商非常重视又是非常困扰的问题。当今，安全性举证（Safety Case）因为能通过建立合适的论证结构和证据表明目标实现，所以是解决该问题的一个不错的技术。

安全关键系统的开发一般离不开安全性标准的指导，如民航的DO-178B[1]、铁路的EN50128[2]、美军的NASA-STD-8719[3][4]及三军联合手册[5]等。这类标准被称之为过程标准，不仅规定了产品开发过程，也包括了安全性过程，包括使用相关安全性技术。它们最先遭到欧洲诸多学者的质疑[6-8]，如规定的开发过程和技术一般来源于过去的经验，这对于技术创新行业也许不合适；规定的开发过程和技术只能代表标准制定时的最好实践，可能最终阻碍开发人员采用更好的实践，反而可能限制软件产品质量的提高；规定的开发过程和技术可能造成这样的误解：软件安全性的责任在于标准的制定者，而不是软件服务的提供者等。

于是欧洲学者提出了基于目标论证的安全性举证方法，相比于上述过程标准，它将证实和展示系统安全性的责任更多地转移给系统开发方和运行者，由监管机构制定顶层目标，开发方和运行者自由灵活地建立合适的论证结构和证据来证实满足了这些目标。安全性举证方法适用性和易用性较强，不仅能够有效地解决上述问题，而且当缺乏过程标准指导时也能对安全性要求实现情况进行举证。目前安全性举证已经在欧洲核工业、航空、船舶、铁路、石油、医疗、矿产等行业得到了广泛应用，尤其在英国。这些行业一般是高风险的，其产品在部署运行前往往需要向监管部门和公众表明是足够安全的。安全性举证不仅关注开发过程更关注产品行为，也强调与上述标准进行集成，它不是取代当前安全性分析和审查活动，而是处于补充的角色来促进构建关键和系统化论证来证实系统开发、维护和运行安全性。

现有软件安全性举证的开发方法主要集中在二方面：一是基于过程的方法；二是基于产品的方法。Weaver在自己的博士论文中将基于过程的方法定义为：推荐或提供的开发过程和方法，安全性由过程质量来决定；基于产品的方法定义为：显式的、直接与系统安全性需求相关的安全性证据[9]。现在有些观点对基于过程的保证持批判态度[6]。首先，缺乏证据说明遵守过程的规范可以得到特定完整性等级的软件。另外，固定的过程规范阻碍了新过程方法的应用。最后，由于SILs和DALs在不同领域的详细要求不同，DAL/SIL的声明不能在不同领域间轻易的“转换”。比如，DO-178B的A级要求不能够直接横跨到IEC61508SIL4级的需求。单从基于产品的安全性举证方法也遭到质疑[10]。最主要表现为：产品论据的正确性依赖于证据，但是证据不一定是正确的。比如证据“黑盒测试结果”的正确性与测试过程有很大关系。这种方法中证据可能存在的可信性问题将会降低对评定结果的信心。

软件安全性举证技术因能通过建立合适的论证结构和证据表明目标实现而在软件安全性评估领域越来越受到重视，但单从过程和产品的方法对软件安全性进行举证都不充分，可以考虑将二者结合起来对软件安全性进行举证。

发明内容

本发明克服了单从产品或单从过程进行软件安全性举证的缺点，将二者相结合，以基于产品为主、基于过程为辅的思想，提出结合产品和过程的软件安全性举证开发方法，指明了软件安全性举证开发的“满足性和充分正确性”的举证思路及与此相关的证据类型。本发明给软件安全性举证开发提供了一个更有效更系统的视角。

本发明提供了一种产品和过程的软件安全性举证技术，该技术包括以下步骤：

步骤1：进行系统危险分析。获取并标识系统危险、危险原因和危险控制方法；明确系统危险列表中每个危险的等级及出现的可能性，选择安全性需要关注的危险。