Модель и метод обнаружения уязвимостей на начальных этапах промышленного проектирования программного продукта тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Торшенко, Юлия Александровна

Актуальность темы

В настоящее время для качественной организации бизнес-процессов и обеспечения конкурентоспособности фирм и предприятий требуется все больше функционального программного обеспечения. Создание таких I программных систем происходит с использованием инструментально-технологических средств промышленного производства приложений. С одной стороны, это приводит к сокращению сроков создания функционального ПО и повышению их качества, с другой - появляются новые проблемы, связанные с появлением избыточного кода, неточностями преобразования моделей разного уровня и, как следствие, с появлением в составе функционального ПО неисполняемого «мертвого кода», который является целью угроз безопасности и ростом уязвимости конечного программного продукта.

Цели и задачи диссертации

Целью работы является разработка метода, позволяющего обнаружить предпосылки к возникновению «мертвого кода» в программном продукте на начальных стадиях его проектирования. Для достижения данной цели были поставлены следующие задачи:

• обосновать возможность появления неисполняемых путей в логической структуре программы, на этапе ее формирования;

• разработать модель, позволяющую идентифицировать данную уязвимость на начальных этапах проектирования программного продукта

• предложить методы обнаружения предпосылок к возникновению «мертвого кода» на стадиях проектирования, предшествующих формированию программного кода.

Объект исследования

Объектом исследования является функциональное программное обеспечение, создаваемое при помощи инструментально-технологических средств промышленного проектирования программного обеспечения.

Предмет исследования

Предметом исследования является технология промышленного проектирования программного обеспечения, а в частности средства поддержки начальных этапов проектирования, такие как продукты компании IBM из линеек Rational и WebSphere, входящие в общую методологию средств создания программного продукта IBM Rational Unified Process.

Методы исследования

Для решения поставленных задач были использованы методы математической логики, моделирования и графо-аналитические методы.

Научная новизна

В данной работе исследована и проанализирована проблема уязвимости «мертвого кода» на начальных этапах промышленного проектирования программного продукта, на базе методологии Rational Unified Process компании IBM.

Практическая ценность

В результате данных исследований разработана методика, позволяющая эффективно выявлять «мертвый код» на любом этапе промышленного проектирования приложения, начиная с анализа функциональных требований и построения логической структуры будущего программного продукта.

Применение данной методики позволит сделать программное обеспечение, разрабатываемое промышленным способом более надежным и безопасным, а также уменьшить объем кода, а, следовательно, ускорить работу программы и уменьшить количество угроз информационной безопасности.

Структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

ЗАКЛЮЧЕНИЕ

Результатом данного исследования является метод, способствующий улучшению качества программного обеспечения, разрабатываемого промышленным способом: повышения таких качеств, как надежность и безопасность, а также уменьшения объем кода, что, в свою очередь, поможет ускорить работу программы и снизить риск возникновения уязвимостей.

В процессе исследования были достигнуты следующие результаты:

1. Обоснована возможность появления неисполняемых путей в логической структуре программы, на этапе ее формирования.

2. Построена модель, позволяющая идентифицировать уязвимость на начальных этапах проектирования программного продукта.

3. Разработана методика снижения количества уязвимостей в конечном программном продукте.

4. Предложен метод обнаружения предпосылок к возникновению «мертвого кода» на стадиях проектирования, предшествующих формированию программного кода.

Разработанный метод позволяет проводить исследования информационной безопасности на начальных стадиях проектирования программного продукта, что в значительной степени снижает затраты по устранению уязвимостей и угроз безопасности, так как их можно ликвидировать еще до формирования кода.

1. Адлер Ю. П., Хунузиди Е. И., Шпер В. JL. Методы постоянного совершенствования сквозь призму цикла Шухарта-Деминга // Методы менеджмента качества — №3 2005 г.

2. Анин Б. Ю. Защита компьютерной информации — СПб: БХВ-Петербург, 2000 г. 384 стр.

3. Биберштейн Н., Боуз С., Джонс К. и др. Компас в мире сервис-ориентированной архитектуры (SOA) М: Кудиц-Пресс, 2007 г. — 256 стр.

4. Боггс М., Боггс У. UML и Rational Rose 2002 М.: Лори, 2004 г. -528 стр.

5. Брукс Ф. Мифический человеко-месяц или как создаются программные системы СПб: Символ-Плюс, 2000 г. 304 стр.

6. Вендров А. М. CASE-технологии. Современные методы и средства проектирования информационных систем М.: Финансы и статистика, 1998г.- 146 стр.

7. Вендров А. М. Проектирование программного обеспечения экономических информационных систем. М.: «Финансы и статистика», 2005. - 544 стр.

8. Вендров A.M. Case-технологии Современные методы и средства проектирования информационных систем. — М.: «Финансы и статистика», 1998. — 176 стр.

9. Гиббс Р.Д. Управление проектами с помощью IBM Rational Unified Process: практические советы — М: Кудиц-Пресс, 2007 г. 304 стр.

10. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Термины и определения.

11. ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств.

12. Громов Г. Р. От гиперкниги к гипермозгу: информационные технологии эпохи Интернета. Эссе, диалоги, очерки — М.: «Радио и связь», 2004 г. 208 стр.

13. Ефимов Г. Жизненный цикл информационных систем // журнал СЕТЕВОЙ №2 2001г.

14. Зыков А.Г., Немолочнов О.Ф., Осовецкий Л.Г., Петров К.В., Поляков В.И. Методы тестирования вычислительных процессов — СПб: Научно-технический вестник СПбГУ ИТМО № 45 2007 г., сс. 121-125

15. Игнатьев М. Б., Фильчаков В. В., Осовецкий JI. Г. Активные методы обеспечения надежности алгоритмов и программ СПб: Политехника, 1992 г.-288 стр.

16. Инновационные решения IBM — М. IBM Восточная Европа/Азия, 2006 г. 368 стр.

17. Йордон Э. Путь камикадзе. Как разработчику программного обеспечения выжить в безнадежном проекте М.: Лори, 2001 г. — 264 стр.

18. Крачтен Ф. Введение в Rational Unified Process (2-е издание) М.: Вильяме, 2002 г. 240 стр.

19. Крачтен Ф., Кролл П. Rational Unified Process — это легко. Руководство по RUP для практиков М.: Кудиц-Образ, 2004 г. 432 стр.

20. Круз Р. Л. Структуры данных и проектирование программ М.: Бином. Лаборатория знаний, 2008 г. — 768 стр.

21. Ларман К. Применение UML 2.0 и шаблонов проектирования Киев: Вильяме, 2006 г. — 736 стр.

22. Леоненков А. Самоучитель UML 2 СПб: БХВ-Петербург, 2007 г. -576 стр.

23. Липаев В. В. Технико-экономическое обоснование проектов сложных программных средств М.: СИНТЕГ, 2004 г. — 284 стр.

24. Липаев В. В. Экономика производства сложных программных продуктов М.: СИНТЕГ, 2008 г. 432 стр.

25. Липаев В. В., Серебровский Л. А., Коганов П. Г. и др. Технология проектирования комплексов программ АСУ/В. под ред. Асафьева Ю. В., Липаева В. В. М.: Радио и связь, 1983 г. - 264 стр.

26. Липаев В.В. Качество программного обеспечения. М.: Финансы и статистика, 1983. - 263 с.

27. Липаев В.В. Системное проектирование сложных программных средств для информационных систем. Издание второе, переработанное и дополненное. М.: СИНТЕГ, 2002. - 268 стр.

28. Макконнелл С. Профессиональная разработка программного обеспечения СПб: Символ-Плюс, 2007 г. 240 стр.

29. Международный стандарт ISO/IEC 14102:1995 Информационные технологии. Руководство по оцениванию и выбору инструментальных CASE-средств.

30. Немолочнов О. Ф. Интеграционно-рекурсивная модель как средство анализа риска вирусоопасных машинных кодов// Труды 10-й международной конференции «Теория и технология программирования и защиты информации» СПб: СпбГУ ИТМО, 2006 г. стр. 7-8

31. Нив Г.Р. Пространство доктора Деминга. — М.: МГИЭТ (ТУ), 1996 г.

32. Новичков А. Эффективная разработка программного обеспечения с использованием технологий и инструментов компании RATIONAL — Interface Ltd., 2000 г. код доступа: www.interface.ru

33. Палистрант Дж., Кватрани Т. Визуальное моделирование с помощью IBM Rational Software Arhitect и UML M.: Кудиц-Образ, 2007 г. -192 стр.35.