دوره 17، شماره 2 - ( 6-1399 )                   جلد 17 شماره 2 صفحات 33-46 | برگشت به فهرست نسخه ها


XML English Abstract Print


Download citation:
BibTeX | RIS | EndNote | Medlars | ProCite | Reference Manager | RefWorks
Send citation to:

RahimiZadeh K, Torkamani M, Dehghani A. Mapping of McGraw Cycle to RUP Methodology for Secure Software Developing. JSDP 2020; 17 (2) :46-33
URL: http://jsdp.rcisp.ac.ir/article-1-917-fa.html
رحیمی زاده کیوان، ترکمانی محمدعلی، دهقانی عباس. نگاشت چرخه McGraw به متدولوژی RUPبرای توسعه نرم‌افزار امن. پردازش علائم و داده‌ها. 1399; 17 (2) :46-33

URL: http://jsdp.rcisp.ac.ir/article-1-917-fa.html


دانشکده فنی و مهندسی، گروه مهندسی کامپیوتر، دانشگاه یاسوج
چکیده:   (2928 مشاهده)
امنیت نرم‌افزار از چالش‌های مهم در توسعه نرم‌افزار است. هر روز آسیب‌پذیری‌ها و نفوذهای زیادی در نرم‌افزارهای مشهور گزارش می‌شود. همان‌طور که برای حل مشکل بحران نرم‌افزار بحث مهندسی نرم‌افزار مطرح شد، مهندسی نرم‌افزار امن در کاهش چالش­های امنیتی نرم‌افزار مؤثر است. چرخه McGraw  به‌عنوان یکی از ره‌یافت­‌های­ توسعه نرم‌افزار امن‌ تعدادی نقطه تماس امنیت نرم‌افزار را معرفی می­‌کند که شامل مجموعه‌ای از دستورالعمل‌های صریح و مشخص در راستای اِعمال مهندسی امنیت در نیازمندی‌ها، معماری، طراحی، کد‌نویسی، اندازه‌گیری و نگهداری نرم‌افزار است. نقاط تماس امنیت نرم‌افزار برای استفاده در ساخت نرم‌افزار، مستقل از پروسه نرم‌افزاری است و به هر فرآیند تولید نرم‌افزار قابل‌اعمال است. بنابراین، می‌توان با تغییر چرخه توسعه نرم‌افزار مورد نظر و اعمال نقاط تماس، چرخه توسعه نرم‌افزار امن را ایجاد کرد. در این پژوهش، راه‌کاری برای نگاشت چرخه McGraw به متدولوژی RUP؛ به‌عنوان متدولوژی سنگین وزن توسعه نرم‌افزار؛ و تلفیق این دو متدولوژی در راستای ایجاد یک متدولوژی ساده و کارآمد برای توسعه نرم‌افزار امن (که RUPST نام دارد) ارائه و همچنین، فراورده‌های جدید RUP برای توسعه نرم‌افزار امن به تفکیک هر نظم ارائه و چهار نقش جدید نیز برای انجام فعالیت‌های مرتبط با امنیت نرم‌افزار تعریف می‌شود. راه‌کار پیشنهادی در یک پروژه واقعی در شرکت کارخانجات مخابراتی ایران مورد استفاده و ارزیابی قرار گرفت. دست‌آوردها نشان می‌دهد که بهره‌گیری و اجرای صحیح این ره‌یافت توسط توسعه‌دهندگان، به پیاده‌سازی و توسعه امن‌تر و مستحکم­تر نرم‌افزار منجر می‌شود.
متن کامل [PDF 5997 kb]   (682 دریافت)    
نوع مطالعه: پژوهشي | موضوع مقاله: مقالات گروه امنیت اطلاعات
دریافت: 1397/7/30 | پذیرش: 1398/6/11 | انتشار: 1399/6/24 | انتشار الکترونیک: 1399/6/24

فهرست منابع
1. [1] J. H. Allen, Software security engineering: a guide for project managers. Addison-Wesley, 2008.
2. [2] مهدی افتخاری، مریم مجیدی مومن آبادی، مجتبی خمر، "ارائه یک روش فازی-تکاملی برای تشخیص خطاهای نرم‌افزار"، پردازش علائم و داده‌ها. 1397، دوره 15،شماره 4، صفحات 16-3.
3. [2] M. Eftekhari, M.M. Momenabadi, M. Khamar, "Proposing an evolutionary-fuzzy method for software defects detection", JSDP. Vol. 15, NO. 4, pp.3-16, 2009. [DOI:10.29252/jsdp.15.4.3]
4. [3] G. McGraw, "Software Security: Building Security in," in 2006 17th International Symposium on Software Reliability Engineer-ing, 2006, pp. 6-16. [DOI:10.1109/ISSRE.2006.43]
5. [4] M. Howard and S. Lipner, "The security development lifecycle : SDL, a process for developing demonstrably more secure soft-ware", Microsoft Press, 2006.
6. [5] "Microsoft SDL Process Guidance updates, version 5.2 - Microsoft Security." [Online]. Available: https://www.microsoft.com/security/blog/2012/05/23/now-available-microsoft-sdl-process-guidance-updates-version-5-2/. [Accessed: 14-May-2019].
7. [6] J. Jürjens, "UMLsec: Extending UML for Secure Systems Development," Springer, Berlin, Heidelberg, 2002, pp. 412-425. DOI: [DOI:10.1007/3-540-45800-X_32]
8. [7] J. Jürjens, Secure Systems Development with UML. Springer-Verlag Berlin, Heidelberg, 2010.
9. [8] N. R. Mead, T. Stehney, N. R. Mead, and T. Stehney, "Security quality requirements engineering (SQUARE) methodology," in Proceedings of the 2005 workshop on Software engineering for secure systems building trustworthy applications - SESS '05, 2005, vol. 30, no. 4, pp. 1-7. DOI: [DOI:10.1145/1082983.1083214]
10. [9] N. R Mead, V. Viswanathan, and J. Zhan, "Incorporating security requirements engineering into standard lifecycle processes," International Journal of Security and Its Applications, vol. 2, no. 4, pp. 67-79, 2008. DOI: 10.1109/COMPSAC.2008.85 [DOI:10.1109/COMPSAC.2008.85]
11. [10] H. Assal and S. Chiasson, "Security in the Software Development Lifecycle," in Four-teenth Symposium on Usable Privacy and Security, 2018, pp. 281-296.
12. [11] P. Jaferian, G. Elahi, M. R. A. Shirazi, and B. Sadeghian, "RUPSec: extending business modeling and requirements disciplines of RUP for developing secure systems," in 31st EUROMICRO Conference on Software Engineering and Advanced Applications, 2005, pp.232-239. DOI: 10.1109/EUROMICRO.2005.51 [DOI:10.1109/EUROMICRO.2005.51]
13. [12] H. Mohd and et al., "A secured e-tendering model based on rational unified process (RUP) approach: inception and elaboration phases," International Journal of Supply Chain Management. Vol. 5, no 4, pp. 114-120, 2016.
14. [13] H. Belani, Z. Car, and A. Caric, "RUP-based process model for security requirements engineering in value-added service develop-ment," in 2009 ICSE Workshop on Software Engineering for Secure Systems, 2009, pp.54-60. DOI: 10.1109/IWSESS.2009.5068459 [DOI:10.1109/IWSESS.2009.5068459]
15. [14] "Microsoft Attack Surface Analyzer. "[Online]. Available: https://www.microsoft.com/en-us/-download/details.aspx?id=24487. [Accessed: 15-May-2019].
16. [15] "FxCop | Microsoft Docs." [Online]. Available: https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-3.0/bb429476(v=vs.80). [Accessed: 15-May-2019].
17. [16] "Microsoft Code Analysis." [Online]. Available: http://microsoft.github.io/CodeAna-lysis/. [Accessed: 15-May-2019].
18. [17] "Microsoft Anti-Cross Site Scripting Library V4.3 from Official Microsoft Download Center." [Online]. Available: https://www.mic-rosoft.com/en-us/download/details.aspx-?id=43126. [Accessed: 15-May-2019].
19. [18] "Kali Linux | Penetration Testing and Ethical Hacking Linux Distribution." [Online]. Available: https://www.kali.org/. [Accessed: 15-May-2019].
20. [19] C. E. de Barros Paes and C. M. Hirata, "RUP Extension for the Development of Secure Systems," in Fourth International Conference on Information Technology (ITNG'07), 2007, pp. 643-652. DOI: 10.1109/ITNG.2007.171 [DOI:10.1109/ITNG.2007.171]
21. [20] R. Kneuper, "Software Processes in the Software Product Life Cycle," in Software Processes and Life Cycle Models, Cham: Springer International Publishing, 2018, pp. 69-157. DOI: [DOI:10.1007/978-3-319-98845-0_3]
22. [21] Y. Mufti, M. Niazi, M. Alshayeb, and S. Mahmood, "A Readiness Model for Security Requirements Engineering," IEEE Access, vol. 6,pp.28611-28631,2018. DOI: 10.1109/ACCESS.2018.2840322 [DOI:10.1109/ACCESS.2018.2840322]
23. [22] C. Gonzalez and E. Liñan, "A Software Engineering Methodology for Developing Secure Obfuscated Software," Springer, Cham, 2020, pp. 1069-1078. DOI: https://doi.or-g/10.1007/978-3-030-12385-7_72 [DOI:10.1007/978-3-030-12385-7_72]
24. [23] S. K. Jha and R. K. Mishra, "Predicting and Accessing Security Features into Component-Based Software Development: A Critical Survey," Springer, Singapore, 2019, pp. 287-294. DOI: [DOI:10.1007/978-981-10-8848-3_28]
25. [24] P. Morrison, D. Moye, R. Pandita, and L. Williams, "Mapping the field of software life cycle security metrics," Information and Software Technology, vol. 102, pp. 146-159, Oct. 2018. DOI: https://doi.org/10.1016/j.infsof.2018.05.011 [DOI:10.1016/j.in-fsof.2018.05.011]
26. [25] H. Maleki, A. Jamshidi, and M. Mohammadi, "A Framework for Effective Exception Handling in Software Requirements Phase," Springer, Singapore, 2019, pp. 397-411. DOI: https://doi.org/10.1007/978-981-10-8672-4_30 [DOI:10.1007/978-981-10-8672-4_30.]

ارسال نظر درباره این مقاله : نام کاربری یا پست الکترونیک شما:
CAPTCHA

ارسال پیام به نویسنده مسئول


بازنشر اطلاعات
Creative Commons License این مقاله تحت شرایط Creative Commons Attribution-NonCommercial 4.0 International License قابل بازنشر است.

کلیه حقوق این تارنما متعلق به فصل‌نامة علمی - پژوهشی پردازش علائم و داده‌ها است.