软件开发 安全管理-软件安全开发生命周期 pdf

软件安全问题产生的根源有两个：一是软件本身存在安全问题，二是软件在应用程序中存在安全威胁（即软件面临严重的外部威胁）。 虽然现代软件功能强大且复杂，但没有没有漏洞的软件。 有漏洞才有可能被钻。 与此同时，计算机网络硬件发展迅速，软件应用环境日趋复杂，软件应用面临越来越多的内外部威胁。

随着网络和计算机技术应用的发展，信息安全漏洞越来越严重。 据中国国家信息安全漏洞库（CNNVD）显示，2019年7月29日至2019年8月4日，共收集安全漏洞567个软件开发 安全管理，较前一周（265个）增加113.96%。

软件安全意识薄弱。 传统的软件开发更多地是关于软件功能而不是管理安全风险。 软件开发公司的时间紧迫，工作量大。 他们争相发布软件，争夺客户资源，抢占市场份额。 软件开发人员将软件功能视为重中之重。 他们对软件安全架构和安全保护措施的了解不足。 他们只关注是否需要实现所需的功能。 他们很少从“攻击者”的角度来考虑软件安全。

如果采用严格的软件开发质量管理机制和多重测试技术，软件企业开发的产品的缺陷率将大大降低。 软件安全分析可用于通过使用缺陷密度（每千行代码中存在的软件缺陷数）来衡量软件安全性。

普通软件开发公司的软件缺陷密度为4~40个缺陷/KLOC（千行）

先进软件开发公司的软件缺陷密度为2~4个缺陷/KLOC（千行）

NASA 软件的缺陷密度为 0.1 个缺陷/KLOC（千行）

国内大量软件开发商对软件开发过程的管理不够重视。 大量软件使用开源代码和通用模块软件开发 安全管理，缺陷率往往很高，很多已知和未知的缺陷可以被利用。