[发明专利]一种软件功能需求与脆弱点知识的形式化表达方法

说明书

本发明提供了一种软件功能需求与脆弱点知识的形式化表达方法，属于软件工程领域。建立了将自然语言描述的需求说明文档转换为SOFL语言说明书规范的规则，以及将脆弱点代码知识转换为SOFL语言说明书规范的规则，实现了以统一的知识表达形式描述每一条软件功能需求和每一个脆弱点代码示例的目的，消除了自然语言和计算机代码两种不同知识表达方式之间的鸿沟，为软件功能需求与脆弱点知识的匹配做好了铺垫，便于在软件需求分析阶段对软件潜在脆弱点进行识别，并帮助实现代码功能与软件需求的一致性检验。

技术领域

本发明涉及一种软件功能需求与脆弱点知识的形式化表达方法，属于软件工程领域。已知以自然语言描述的软件功能需求文档是一种非形式化、不规范的表达形式，而脆弱点知识是隐藏在高度规范化的计算机程序代码中，对代码功能与软件功能需求进行自动化的一致性检验成为在软件生存周期的早期阶段识别需求中的脆弱点、保证极限编程系统成功的关键。为解决上述难题，本发明提出使用SOFL形式化语言作为中介，将功能需求知识与代码脆弱点这两种知识表达形式转换为统一的规范，为后续知识匹配奠定基础。

背景技术

随着软件的快速发展，软件安全问题成为亟待解决的问题。工业界和学术界的专家提出了许多软件安全漏洞的检查方法，这些方法多选择从软件生存周期的后期阶段入手，即在软件编码完成后进行代码检验或漏洞检测，属于事后发现漏洞，弥补缺陷的方法，具有明显的被动、滞后的特点，并且系统需求不足和设计结构的缺陷在代码测试阶段很难发现。

为了更早地发现软件潜在的安全问题，实现及时纠正和预防，一些专家和学者认为，对软件开发的早期阶段——需求分析阶段的研究十分重要。针对这一阶段提出的软件安全检查方法大多选择从需求分析阶段产生的需求说明书入手，进行人工审查。这类方法存在两个问题：第一，由于处理的是自然语言描述的需求说明书，无法避免自然语言本身带有的二义性所造成的理解偏差；第二，人工审查的方法严重依赖专家经验，实现起来费时费力，效率和准确率不高，特别是在处理大型复杂系统的安全问题时效果欠佳。

针对上述问题，本发明提出一种基于SOFL语言的、对软件需求与脆弱点进行统一规范的形式化知识表达方法，通过将自然语言表达的需求文档转换为SOFL语言描述的规则，同样地将脆弱点知识也转换为SOFL语言形式的规则，实现以统一的知识表达形式描述每一条软件功能需求和每一个脆弱点知识示例的目的。该方法为软件功能需求与脆弱点知识的匹配做好铺垫，便于在软件需求分析阶段对软件潜在脆弱点进行检测识别。

发明内容

本发明解决的技术问题是实现了软件功能需求与脆弱点知识相统一的形式化知识表达方法。

本发明的技术方案：

一种软件功能需求与脆弱点知识的形式化表达方法，其步骤如下：

(1)软件需求知识表达方面，本发明归纳总结出了用户需求的基本构成要素，每一条需求都可以通过SOFL语言描述为进程(Process)的规范格式。SOFL是一种形式化语言，在完整性、无二义性、可读性等方面均有良好的表现，结构化程度好，因此本发明采用SOFL语言作为软件需求描述的语言工具，分别建立了从自然语言描述的需求说明文档向SOFL半形式化需求说明书规范和形式化需求说明书规范的转换规则，实现了用SOFL语言进行软件需求的形式化知识表达的目的。

(2)脆弱点知识表达方面，首先建立SOFL语言抽象树，直观地展示SOFL语言规范所描述的程序代码的整体结构。然后根据SOFL语言抽象树，将脆弱点代码转化为SOFL语言的过程划分为两大部分：数据类型转换和模块转换。其中，模块是一系列进程的集合，进程是模块中最基础的单元，因此模块转换可以细化为进程转换。依次建立数据类型和进程转换规则，实现以SOFL语言进行脆弱点代码知识表达的目的。