[发明专利]基于大数据的软件研发安全管控可视化方法及系统

说明书

本申请公开了基于大数据的软件研发安全管控可视化方法及系统，包括：对待开发的软件的节点通过人工监控或设置数据采集探针的方式，收集节点输入、输出物的安全数据；将收集的安全数据通过安全数据模型规范化存储在安全数据库单元中，其中安全数据模型包括应用场景、安全威胁分析模型、安全威胁、安全测试用例、安全需求、威胁消减措施；抽取安全数据，并按所述安全数据模型计算安全数值，将安全数值进行图形化展示。解决了现有技术缺乏对软件生产阶段的安全数据可视化和量化管控，实现收集软件研发全生命周期各安全管控节点数据，统计并图形化展示，使得软件开发流程可靠性、安全性、便利性大大提高。

技术领域

本发明涉及计算机软件技术领域，尤其涉及基于大数据的软件研发安全管 控可视化方法及系统。

背景技术

软件开发是根据用户要求建造出软件系统或者系统中的软件部分的过程。 软件开发是一项包括需求捕捉、需求分析、设计、实现和测试的系统工程。软 件一般是用某种程序设计语言来实现的。通常采用软件开发工具可以进行开 发。软件分为系统软件和应用软件，并不只是包括可以在计算机上运行的程序， 与这些程序相关的文件一般也被认为是软件的一部分。软件设计思路和方法的 一般过程，包括设计软件的功能和实现的算法和方法、软件的总体结构设计和 模块设计、编程和调试、程序联调和测试以及编写、提交程序。

软件开发中的系统安全、应用安全、敏感信息的保护等话题已经成为软件 企业不能回避的挑战，软件安全包括保护软件中的智力成果、知识产权不被非 法使用，包括篡改及盗用等。研究的内容主要包括防止软件盗版、软件逆向工 程、授权加密以及非法篡改等。采用的技术包括软件水印(静态水印及动态水 印)、代码混淆(源代码级别的混淆，目标代码级别的混淆等)、防篡改技术、 授权加密技术以及虚拟机保护技术等。如何在开发过程中制度化、流程化的实 现安全特性，是所有软件企业都需着重考虑的问题。现有技术缺乏对软件生产 阶段的安全数据可视化和量化管控，软件开发流程中的可靠性、安全性、便利 性较差。

发明内容

本申请实施例提供一种基于大数据的软件研发安全管控可视化方法及系 统，以解决现有技术的不足。

本申请实施例采用下述技术方案：本申请实施例提供一种基于大数据的软 件研发安全管控可视化方法，包括：

对待开发的软件的节点通过人工监控或设置数据采集探针的方式，收集节 点输入、输出物的安全数据；

将收集的安全数据通过安全数据模型规范化存储在安全数据库单元中，其 中安全数据模型包括应用场景、安全威胁分析模型、安全威胁、安全测试用例、 安全需求、威胁消减措施；

抽取安全数据，并按所述安全数据模型计算安全数值，将安全数值进行图 形化展示。

进一步地，所述待开发的软件的节点包括：

1)安全威胁分析数据：包括应用场景数据、威胁点数据、风险描述数据、 风险级别数据、安全需求数据、开发建议数据、安全测试用例数据；

2)第三方代码使用登记数据：包含工程里使用的第三方代码信息，如开 源组件、购买的商业组件、免费试用的组件；

3)源代码安全性和质量静态测试数据：包含通过Fortify、Sonar静态代码 测试工具扫描的测试结果数据；

4)动态安全测试数据：包含自动触发的代码扫描结果数据，如WebInspect、AppScan黑盒渗透测试工具的测试结果数据；

5)人工渗透测试数据：包含常规增量渗透和全量渗透测试结果，如通过 人工渗透攻击的方法获得的软件漏洞数据；

6)安全应急响应缺陷数据：包含安全事件描述、处理过程及响应时间数 据。

进一步地，所述安全数据模型包括应用场景、安全威胁分析模型、安全威 胁、安全测试用例、安全需求、威胁消减措施，其中：