[发明专利]软件安全开发能力成熟度差距分析方法及系统

权利要求书

1.一种软件安全开发能力成熟度差距分析方法，其特征在于，包括如下步骤：

基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，所述调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准，所述安全实践调查问卷中包括若干待查安全实践项，每一所述安全实践项包括若干评价指标；

启动所述调查问卷模板，生成所述安全调查问卷，并将所述安全实践调查问卷推送给用户；

根据所述评判标准，对用户反馈的所述安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据；

获取并存储若干个行业的相关行业数据，所述行业数据反映其所属行业现阶段综合软件安全开发能力成熟度；

采取数据差异化比较方式显示所述调查数据和所述行业数据的差异化程度。

2.根据权利要求1所述的软件安全开发能力成熟度差距分析方法，其特征在于，所述标准差距分析模型包括SAMM模型和/或BSIMM模型。

3.根据权利要求1所述的软件安全开发能力成熟度差距分析方法，其特征在于，将所述调查数据、所述行业数据和当前用户所选行业的标准数据显示在同一张蜘蛛图上。

4.根据权利要求1所述的软件安全开发能力成熟度差距分析方法，其特征在于，根据当前用户所属行业的标准数据将每一所述安全实践项的能力分为若干不同级别，根据所述调查数据对每一所述安全实践项进行评级，当任一所述安全实践项的能力低于最高级别时，根据该安全实践项所对应的下一级别的要求导出整改方案，所述整改方案的内容来源于所述标准差距分析模型。

5.一种软件安全开发能力成熟度差距分析系统，其特征在于，包括调查问卷模板制作模块、推送模块、评判模块、基础数据输入模块和比对显示模块；

所述调查问卷模板制作模块，用于基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，所述调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准；

所述推送模块，用于将所述调查问卷模板生成的安全实践调查问卷推送给用户；

所述评判模块，用于根据所述评判标准对用户反馈的所述安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据；

所述基础数据输入模块，用于输入若干个行业的相关行业数据，所述行业数据反映其所属行业现阶段综合软件安全开发能力成熟度；

所述比对显示模块，用于以数据差异化比较方式显示所述调查数据和所述行业数据的差异化程度。

6.根据权利要求5所述的软件安全开发能力成熟度差距分析系统，其特征在于，所述标准差距分析模型包括SAMM模型和/或BSIMM模型。

7.根据权利要求5所述的软件安全开发能力成熟度差距分析系统，其特征在于，通过蜘蛛图显示所述调查数据、所述行业数据和当前用户所选行业的标准数据的差异化程度。

8.根据权利要求5所述的软件安全开发能力成熟度差距分析系统，其特征在于，还包括分级模块、评级模块和整改方案导出模块；

所述分级模块，用于根据当前用户所属行业的标准数据将每一所述安全实践项的能力分为若干不同级别；

所述评级模块，用于对所述调查数据对每一所述安全实践项进行评级；

当所述评级模块输出的某一所述安全实践项的能力低于最高级别时，所述整改方案导出模块可根据该安全实践项所对应的下一级别的要求导出整改方案，所述整改方案的内容来源于所述标准差距分析模型。

9.一种软件安全开发能力成熟度差距分析系统，其特征在于，包括：

一个或多个处理器；

存储器；

以及一个或多个程序，其中一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述程序包括用于执行如权力要求1至4任一项所述的软件安全开发能力成熟度差距分析方法的指令。

10.一种计算机可读存储介质，其特征在于，包括测试用计算机程序，所述计算机程序可被处理器执行以完成如权力要求1至4任一项所述的软件安全开发能力成熟度差距分析方法。