软件安全需求分析与实践.pptxVIP

软件安全需求分析

课程内容软件安全开发知识体知识域软件安全需求分析知识子域需求和安全需求安全需求分析方法

知识域：软件安全需求分析知识子域：软件安全需求分析了解软件安全需求分析的重要性理解安全需求分析方法

软件安全需求重要性安全编码？安全测试？传统方法：软件发布后测试、等待修复BugGaryMcGraw：50%的安全问题由设计瑕疵引起安全提前介入，效益高，成本低设计缺陷——举例MicrosoftBob明文存储口令，甚至将口令拿到客户端对比验证

软件安全需求的重要性软件安全需求是开发安全软件的基础软件安全需求分析以风险管理为基础，建立“威胁”分析计划建立软件安全需求定义，确保软件安全需求定义正确安全需求应文档化

需求的定义IEEE的软件工作标准术语表（1997）用户为解决某个问题或达到某个目标而需具备的能力和目标；系统或系统组件为符合合同、标准、规范或其他正式文档而必须满足的条件或必须具备的能力。AlanM.Davis需求是从系统外部能发现的所有满足用户的特点、功能及属性等。IanSommerville则从用户需求进一步转移到了系统特征：需求必须指明要实现什么规格说明。

需求的分类业务需求反映了组织机构或客户对系统、产品高层次的目标要求，它们在项目视图与范围文档中予以说明。用户需求描述了用户使用产品必须要完成的任务，它在使用实例文档或方案脚本说明中予以说明。功能需求定义了开发人员必须实现的软件功能，使得用户能完成他们的任务，从而满足业务需求。

需求的分类业务需求反映了组织机构或客户对系统、产品高层次的目标要求，它们在项目视图与范围文档中予以说明。用户需求描述了用户使用产品必须要完成的任务，它在使用实例文档或方案脚本说明中予以说明。功能需求定义了开发人员必须实现的软件功能，使得用户能完成他们的任务，从而满足业务需求。

知识域：安全需求分析方法知识子域：安全需求分析方法常用安全需求分析方法安全需求分析方法在实践中的应用使用UMLsec方法对网上交易系统进行安全需求分析

谢谢！