网络时代的软件可信演化[J].pdfVIP

11 1 专题 第 6 卷  第 2 期  2010 年 2 月 网络时代的软件可信演化* 王怀民 尹 刚 关键词：可信软件 软件演化 互联网 Trustie 国防科学技术大学 问题的提出 客观质量的高低，还取决于其客观质量被用户 认同的程度。因此，我们不仅要关注提升软件 何谓可信软件？可信软件从何而来？在软 质量的理论和技术，还要关注提升其质量易于 件技术面临严峻挑战的今天，这两个基本问题 被用户认同的方法。 再次成为软件领域的焦点话题。 如何获得可信软件？在传统的解决之道中 隐含两个假设。第一，高质量的软件是可以被 所谓“可信软件”，通常是指那些运行行 设计和构造出来的，我们称其为“构造论”； 为及其结果总是符合人们预期，并在受到干扰 第二，软件缺陷是人在设计和构造软件过程中 时仍能提供连续服务的软件[1]。 的错误导致的，我们称其为“人为论”。基于 这是一个基于用户观点的定义。从用户的 这样的假设，传统的方法和技术主要关注在软 角度看，似乎这个定义已经说得很清楚了。但 件开发阶段排除人为错误对软件质量的影响。 是，从技术的角度看，由于该定义与人的主观 由此产生了形式化和工程化两大研究途径。形 判断相关，因此带来了许多操作层面的问题， 式化途径的核心思想是建立形式系统，给出用 例如，“人们”是指“所有人”、“一群人” 户需求的形式化规约，在此基础上，或形式地 还是“某个人”？“预期”是什么？如何表 证明目标软件符合规约，或通过形式变换由规 示？如何判断？国家 863计划“高可信软件生 约产生符合规约的目标软件，软件的可信性将 产工具及集成环境”重点项目对“可信软件” 通过形式系统的可靠性得到保证。但是，人们 的概念作了进一步界定[2~3] ：第一，将可信软 发现这一途径面临两个不可逾越的障碍，不能 件的“客观性”和“主观性”区分开，即用 一劳永逸地解决软件可信性问题。第一个障碍 “软件可信性”指称软件客观具有的质量，用 是从非形式化到形式化的鸿沟，即无法通过形 “可信软件”指称用户对软件客观质量的主观 式系统判断用户非形式预期是否被正确地表达 认同；第二，用软件可信分级模型将可信软件 为形式化规约；第二个障碍是不可证明性或不 的“客观性”和“主观性”联系起来，其基本 可变换性的鸿沟，即不存在一致的、足够丰富 思想是：越是有助于用户认同其客观质量的软 的通用形式系统，可以证明任何目标软件符合 件，就越有可能获得较高的可信等级。也就是 规约，或可以自动变换产生符合规约的目标软