Yazılım teminatı - Software assurance

Microsoft Yazılım Güvencesi ile karıştırılmamalıdır .

Yazılım güvencesi ( SwA ), "yazılımın kasıtlı olarak yazılıma tasarlanmış veya yaşam döngüsü boyunca herhangi bir zamanda yanlışlıkla eklenmiş güvenlik açıklarından arınmış olduğuna ve yazılımın amaçlanan şekilde çalıştığına dair güven düzeyi" olarak tanımlanır.

Yazılım güvencesinin temel amacı, yazılımı üretmek ve sürdürmek için kullanılan süreçlerin, prosedürlerin ve ürünlerin, bu süreçleri, prosedürleri ve ürünleri yönetmek için belirtilen tüm gereksinimlere ve standartlara uymasını sağlamaktır. Yazılım güvencesinin ikincil bir amacı, ürettiğimiz yazılım yoğun sistemlerin daha güvenli olmasını sağlamaktır. Bu tür yazılım yoğun sistemler için, potansiyel güvenlik açıklarının önleyici dinamik ve statik bir analizi gereklidir ve bütünsel, sistem düzeyinde bir anlayış önerilir. Gary McGraw tarafından belirtildiği gibi , "Tasarım kusurları, güvenlik sorunlarının %50'sinden sorumludur. Kodlara bakarak tasarım kusurları bulunamaz. Daha üst düzeyde bir anlayış gereklidir. Bu nedenle mimari risk analizi, herhangi bir katı yazılımda önemli bir rol oynar. güvenlik programı."

Alternatif tanımlar

Amerika Birleşik Devletleri İç Güvenlik Bakanlığı (DHS)

DHS'ye göre , yazılım güvence adresleri:

  • Güvenilirlik - kötü niyetli veya kasıtsız olarak eklenmiş, kötüye kullanılabilir güvenlik açıkları yoktur;
  • Öngörülebilir Yürütme - yazılımın yürütüldüğünde amaçlandığı gibi çalıştığına dair haklı bir güven;
  • Uygunluk - yazılım süreçlerinin ve ürünlerinin gereksinimlere, standartlara/prosedürlere uygun olmasını sağlayan planlı ve sistematik çok disiplinli faaliyetler dizisi.

Bilgi ve temel yetkinlikler içinde ifade edilen katkıda bulunan SwA disiplinleri: yazılım mühendisliği, sistem mühendisliği, bilgi sistemleri güvenlik mühendisliği, bilgi güvencesi, test ve değerlendirme, güvenlik, güvenlik, proje yönetimi ve yazılım edinimi.

Yazılım güvencesi, ABD İç Güvenlik Bakanlığı'nın (DHS) yazılımda bütünlüğü, güvenliği ve güvenilirliği teşvik etmeye yönelik stratejik bir girişimidir. SwA Programı, Siber Alanın Güvenliğine Yönelik Ulusal Strateji - Eylem/Tavsiye 2-14'e dayanmaktadır:

“DHS, yazılım kodu geliştirmede bütünlüğü, güvenliği ve güvenilirliği teşvik eden en iyi uygulamaları ve metodolojileri yaymak için ulusal bir kamu-özel çabasını kolaylaştıracaktır; buna hatalı kod, kötü amaçlı kod veya olabilecek tuzak kapılarının olasılığını azaltan süreçler ve prosedürler dahildir. geliştirme sırasında tanıtıldı.” Potansiyel güvenlik açıklarını belirlemeye yardımcı olan yazılım güvencesi için açık kaynaklı yazılım araçları vardır.

Amerika Birleşik Devletleri Savunma Bakanlığı (DoD)

İçin DoD , swa yazılım işlevleri sadece olarak tasarlanmıştır ve yaşam döngüsü boyunca, ya kasıtlı veya kasıtsız olarak tasarlanmış veya yazılım parçası olarak sokulan, açıkların serbest olduğu güven düzeyi" olarak tanımlanmaktadır. Savunma Bakanlığı bir ses olarak swa geliştiriyor Yazılım Mühendisliği Enstitüsü (SEI) liderliğindeki geliştirme ve Askeri Hizmetler ve NSA içindeki uzman uygulayıcılar tarafından finanse edilen JFAC tarafından finanse edilen son iki yayın tarafından gösterildiği gibi sistem mühendisliği uygulaması. Geliştiricinin SwA Kılavuzu, yaşam döngüsü boyunca uyarlanabilir teknik uygulamalar önerir. Bu belgelerin her ikisi de türünün ilk örneğidir ve ödüle layık görülmüştür. Savunma Bakanlığı SwA yeteneği oluşturma konusunda kurumsal ölçekteki iki kuruluş, Birleşik Federe Güvence Merkezi (JFAC) ve Savunma Bakanlığı'dır. Üç ayda bir iş birliği forumu olarak faaliyet gösteren SwA Uygulama Topluluğu 32 ardışık toplantı. Her ikisi de açık ABD Hükümetinin diğer bölümlerine. JFAC Tüzüğü web sitesinde mevcuttur. JFAC, ticari olarak mevcut olan SwA araçları aileleri hakkında daha geniş durumsal farkındalık geliştirmek için, Son Teknoloji Kaynağını (SOAR) üretmek için Savunma Analizi Enstitüsü'nü (IDA) finanse etti. Yaşam döngüsü boyunca "mühendislik" SwA'daki yeni bir yenilik, mühendislik sonuçlarının Risk Yönetimi Çerçevesini (RMF) tanımlaması ve Otoriteyi İşletmeye (ATO) yönlendirmesi için seçilen NIST 800-53 kontrollerini mühendislik görevleriyle birleştirir. Veri Öğesi Tanımlarını (DID'ler), makine tarafından okunabilen güvenlik açığı raporu formatlarını ve tekniklerin kısa bir genel bakış uygulamasını içeren bir paket JFAC web sitesinde mevcuttur. Diğer yıkıcı yenilikler devam ediyor.

Yazılım Güvencesi Metrikleri ve Araç Değerlendirme (SAMATE) projesi

Göre NIST SAMATE projesi, yazılım güvencesi yazılım süreçlerini sağlar ve ürünleri elde yardımına gereksinimleri, standartlar ve prosedürlere uygun faaliyetlerin planlı ve sistematik seti" dir:

  • Güvenilirlik - Kötü niyetli veya kasıtsız kaynaklı hiçbir istismar edilebilir güvenlik açığı yoktur ve
  • Öngörülebilir Yürütme - Yazılımın yürütüldüğünde amaçlandığı gibi çalıştığına dair haklı bir güven."

Ulusal Havacılık ve Uzay Dairesi (NASA)

NASA'ya göre yazılım güvencesi, "yazılım süreçlerinin ve ürünlerinin gereksinimlere, standartlara ve prosedürlere uygun olmasını sağlayan planlı ve sistematik bir faaliyetler dizisidir. Kalite güvencesi, kalite mühendisliği, doğrulama ve doğrulama, uygunsuzluk raporlaması ve düzeltici disiplinlerini içerir. eylem, güvenlik güvencesi ve güvenlik güvencesi ve bunların bir yazılım yaşam döngüsü boyunca uygulanması." NASA Yazılım Güvence Standardı ayrıca şunları belirtir: "Bu disiplinlerin bir yazılım geliştirme yaşam döngüsü boyunca uygulanmasına yazılım güvencesi denir."

Nesne Yönetim Grubu (OMG)

OMG'ye göre , yazılım güvencesi "yerleşik iş ve güvenlik hedeflerini karşılamada haklı gösterilebilir güvenilirlik"tir.

OMG'nin SwA Özel İlgi Grubu (SIG), geliştirmeyi kolaylaştırarak yazılım güvenilirliği ile ilgili analiz ve bilgi alışverişi için ortak bir çerçevenin oluşturulmasını koordine etmek üzere Platform ve Etki Alanı Görev Güçleri ve OMG dışındaki diğer yazılım endüstrisi varlıkları ve grupları ile birlikte çalışır. Aşağıdakileri sağlayacak bir Yazılım Güvencesi Çerçevesi belirtimi:

  • Yazılım tedarikçilerinin ve satın alanların (sırasıyla) iddialarını ve argümanlarını (sırasıyla) otomatik araçlar kullanarak (ölçeğe göre) ilgili kanıtlarla birlikte sunabilmeleri için herhangi bir yazılım sınıfını temsil etmek için kullanılabilecek ortak bir yazılım özellikleri çerçevesi oluşturun.
  • Sistem mühendislerinin/entegratörlerinin bu ürünleri kendileriyle daha büyük garantili sistemler oluşturmak (oluşturmak) için kullanabilmeleri için ürün satın almadan önce ürünlerin bu özellikleri yeterince karşıladığını doğrulayın.
  • Yazılımın geliştirilmesi sırasında endüstrinin yazılım güvencesinin mevcut durumuna ilişkin görünürlüğü iyileştirmesini sağlayın
  • Sektörün ortak çerçeveyi destekleyen otomatik araçlar geliştirmesini sağlayın.

Kodda Mükemmellik için Yazılım Güvencesi Forumu (SAFECode)

SAFECode'a göre yazılım güvencesi “yazılım, donanım ve hizmetlerin kasıtlı ve kasıtsız güvenlik açıklarından arınmış olduğuna ve yazılımın amaçlandığı gibi çalıştığına dair güvendir”.

girişimler

DHS, DOD ve NIST tarafından ortaklaşa finanse edilen ve Build Security In (BSI) web sitesini çalıştıran ABD federal olarak finanse edilen bir girişime Yazılım Güvencesi adı verildi .

Yazılım güvencesi neden önemlidir?

Ulusal savunmadan bankacılığa, sağlık hizmetlerinden telekomünikasyona, havacılığa ve tehlikeli maddelerin kontrolüne kadar birçok ticari faaliyet ve kritik işlev, yazılımın doğru ve öngörülebilir çalışmasına bağlıdır. Bu faaliyetler, başarısız olmak için güvendikleri yazılım yoğun sistemler olsaydı ciddi şekilde kesintiye uğrayabilirdi.

Ayrıca bakınız

Referanslar

Dış bağlantılar