□ 孫 偉

隨著計(jì)算機(jī)應(yīng)用的不斷發(fā)展，軟件已成為各行各業(yè)智能化、網(wǎng)絡(luò)化的關(guān)鍵，由于軟件的漏洞和缺陷造成系統(tǒng)運(yùn)行失常的后果也愈加嚴(yán)重，特別是在航空航天、金融保險(xiǎn)、交通通信、工業(yè)控制等關(guān)系國(guó)計(jì)民生的重要領(lǐng)域，軟件一旦失效將造成重大損失。同時(shí)，隨著軟件規(guī)模越來(lái)越大、結(jié)構(gòu)日趨復(fù)雜，軟件在構(gòu)建和編程過(guò)程中會(huì)造成一些缺陷，缺陷可能導(dǎo)致失效，失效引發(fā)事故，導(dǎo)致軟件的開(kāi)發(fā)、集成和維護(hù)工作越來(lái)越復(fù)雜。隨著網(wǎng)絡(luò)上每年爆出大量的安全事件，如軟件漏洞、蠕蟲(chóng)病毒、木馬、黑客攻擊、用戶(hù)信息泄露等，對(duì)軟件可靠性、安全性提出了更高的要求，人們開(kāi)始越來(lái)越重視軟件的安全性。在《GB/T 16260.1—2006 軟件工程 產(chǎn)品質(zhì)量 第1部分：質(zhì)量模型》中，軟件的安全保密性是屬于軟件六性(功能性、可靠性、易用性、效率、維護(hù)性、可移植性)中功能性的子特性，而在《GB/T 25000.10—2016 系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第10部分：系統(tǒng)與軟件質(zhì)量模型》中，軟件的產(chǎn)品質(zhì)量特性被劃分成8個(gè)特性：功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性和可移植性；信息安全性已被單獨(dú)提出成為軟件質(zhì)量特性之一，軟件的安全性、可靠性日益成為業(yè)內(nèi)廣泛關(guān)注的焦點(diǎn)，軟件可靠性和安全性的分析、設(shè)計(jì)、驗(yàn)證等關(guān)鍵基礎(chǔ)技術(shù)更加凸顯其重要性。

軟件可靠性 (software reliability )是軟件產(chǎn)品在規(guī)定的條件下和規(guī)定的時(shí)間區(qū)間完成規(guī)定功能的能力。規(guī)定的條件是指直接與軟件運(yùn)行相關(guān)的使用該軟件的計(jì)算機(jī)系統(tǒng)的狀態(tài)和軟件的輸入條件，或統(tǒng)稱(chēng)為軟件運(yùn)行時(shí)的外部輸入條件;規(guī)定的時(shí)間區(qū)間是指軟件的實(shí)際運(yùn)行時(shí)間區(qū)間；規(guī)定功能是指為提供給定的服務(wù)，軟件產(chǎn)品所必須具備的功能。軟件可靠性不但與軟件存在的缺陷和(或)差錯(cuò)有關(guān)，而且與系統(tǒng)輸入和系統(tǒng)使用有關(guān)。

軟件安全性(software safety)指的是確保在系統(tǒng)范圍內(nèi)軟件所完成的功能不會(huì)引起不可接受的風(fēng)險(xiǎn)，即軟件能夠使其所控制的系統(tǒng)始終處于不危及人的生命、財(cái)產(chǎn)和自然環(huán)境的安全狀態(tài)性質(zhì)。因此，軟件本身可能不會(huì)對(duì)生命、財(cái)產(chǎn)和環(huán)境等造成安全威脅，但是，一旦軟件嵌入到一些安全關(guān)鍵系統(tǒng)中，軟件失效可能導(dǎo)致控制系統(tǒng)出現(xiàn)問(wèn)題，從而造成災(zāi)難性后果。同時(shí)，與目前的硬件安全性快速提升相比，安全關(guān)鍵軟件的安全性已經(jīng)成為制約系統(tǒng)安全性的關(guān)鍵因素，因此，安全關(guān)鍵軟件的質(zhì)量更顯得尤為重要。另外，軟件安全性也指軟件信息安全(software security)，此時(shí)指軟件在受到惡意攻擊的情形下依然能夠繼續(xù)正確運(yùn)行及確保軟件被在授權(quán)范圍內(nèi)合法使用的思想。

本專(zhuān)題針對(duì)軟件可靠性、安全性一些研究問(wèn)題，力圖緊扣學(xué)術(shù)研究熱點(diǎn)和技術(shù)應(yīng)用難點(diǎn)，探索軟件的可靠、安全問(wèn)題的解決之道。專(zhuān)題涉及代碼安全性審查、智能可穿戴產(chǎn)品、智能網(wǎng)聯(lián)汽車(chē)、區(qū)塊鏈等若干方面，其中：

1)《代碼安全性審查方法研究》從常用的軟件測(cè)試方法入手，對(duì)代碼審查中質(zhì)量審查和安全性審查的不同點(diǎn)進(jìn)行了比較，并從代碼安全性人工走查和代碼安全性工具靜態(tài)分析兩個(gè)方面對(duì)代碼安全性審查的方法進(jìn)行了研究。將云計(jì)算、大數(shù)據(jù)、人工智能等技術(shù)應(yīng)用到對(duì)軟件源代碼的安全分析方面，代碼安全性審查的效率將大大提高，時(shí)間和成本也會(huì)大幅度降低，成本的降低將帶來(lái)技術(shù)的普及，這將為更多、更廣范圍的軟件帶來(lái)安全性的保障。

2)《等保2.0時(shí)代云計(jì)算安全要求及測(cè)評(píng)實(shí)踐》對(duì)云計(jì)算安全要求中的技術(shù)安全要求進(jìn)行解析，從等級(jí)保護(hù)的角度對(duì)云計(jì)算系統(tǒng)中的安全保護(hù)對(duì)象、安全責(zé)任主體、安全保護(hù)要求進(jìn)行分析，并以某地區(qū)電子政務(wù)云平臺(tái)為例，分享云等保測(cè)評(píng)經(jīng)驗(yàn)，提出在對(duì)云計(jì)算系統(tǒng)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作中存在的問(wèn)題及下一階段的建議。

3)《基于Sigmoid函數(shù)的軟件漏洞風(fēng)險(xiǎn)評(píng)價(jià)算法》著眼于國(guó)家網(wǎng)絡(luò)安全與基礎(chǔ)軟硬件自主可控戰(zhàn)略的大背景和現(xiàn)有軟件漏洞風(fēng)險(xiǎn)評(píng)價(jià)的不足之處，提出基于Sigmoid函數(shù)的軟件漏洞風(fēng)險(xiǎn)評(píng)價(jià)算法，對(duì)軟件的安全漏洞風(fēng)險(xiǎn)情況進(jìn)行評(píng)價(jià)，幫助開(kāi)發(fā)人員快速定位安全性最差的代碼模塊，修補(bǔ)或選取更加安全、優(yōu)秀的代碼，提高軟件整體安全水平。

4)《區(qū)塊鏈技術(shù)的安全問(wèn)題研究綜述》對(duì)典型區(qū)塊鏈技術(shù)架構(gòu)進(jìn)行了詳細(xì)闡述，并從區(qū)塊數(shù)據(jù)結(jié)構(gòu)、哈希算法、數(shù)字簽名、智能合約等方面對(duì)區(qū)塊鏈技術(shù)的安全性進(jìn)行了詳細(xì)分析，最后總結(jié)了區(qū)塊鏈技術(shù)仍面臨的安全性問(wèn)題。

5)《軟件可靠性工程綜合應(yīng)用建模技術(shù)研究》通過(guò)對(duì)軟件可靠性工程活動(dòng)與開(kāi)發(fā)過(guò)程，以及可靠性工程活動(dòng)之間的數(shù)據(jù)交互關(guān)系的分析，提出了數(shù)據(jù)驅(qū)動(dòng)的軟件可靠性工程過(guò)程模型，該模型以工作流的形式實(shí)現(xiàn)了軟件可靠性工程活動(dòng)之間的信息交互，實(shí)現(xiàn)了軟件可靠性工程對(duì)軟件開(kāi)發(fā)的全過(guò)程可靠性技術(shù)支持，有利于軟件可靠性工程綜合集成環(huán)境的實(shí)現(xiàn)。

6)《軟件可靠性模型中的知識(shí)度量》從缺陷密度的Weibull分布出發(fā)，分析測(cè)試者的知識(shí)水平與故障分布的定量關(guān)系，可以依據(jù)知識(shí)量與缺陷發(fā)現(xiàn)的分布曲線(xiàn)預(yù)測(cè)測(cè)試發(fā)現(xiàn)問(wèn)題的趨勢(shì)及軟件的可靠性，從而確定測(cè)試結(jié)束時(shí)機(jī)。通過(guò)開(kāi)展軟件測(cè)試工程實(shí)驗(yàn)驗(yàn)證了尺度參數(shù)c與知識(shí)量成反比關(guān)系：測(cè)試者的知識(shí)增多，Weibull分布的比例因子c減小。此外，根據(jù)軟件知識(shí)的程度，將在測(cè)試中發(fā)現(xiàn)的問(wèn)題的趨勢(shì)估計(jì)用來(lái)預(yù)測(cè)軟件的可靠性。

7)《智能可穿戴產(chǎn)品信息安全能力要求及評(píng)價(jià)方法》通過(guò)安全能力要求來(lái)表征智能可穿戴產(chǎn)品應(yīng)該具備的可防范安全威脅的技術(shù)手段，從穿戴式設(shè)備安全能力、數(shù)據(jù)處理終端應(yīng)用軟件安全能力、后端計(jì)算與服務(wù)系統(tǒng)安全能力、無(wú)線(xiàn)通信能力以及用戶(hù)數(shù)據(jù)保護(hù)安全能力5個(gè)方面定義了一種智能可穿戴產(chǎn)品分級(jí)評(píng)價(jià)方法；指導(dǎo)廠商提升智能可穿戴產(chǎn)品的安全防護(hù)能力，并為消費(fèi)者購(gòu)買(mǎi)產(chǎn)品提供參考。

8)《智能網(wǎng)聯(lián)汽車(chē)軟件安全測(cè)試關(guān)鍵技術(shù)研究》在簡(jiǎn)要分析智能網(wǎng)聯(lián)汽車(chē)信息安全風(fēng)險(xiǎn)的基礎(chǔ)上，圍繞智能網(wǎng)聯(lián)汽車(chē)軟件質(zhì)量問(wèn)題，闡述開(kāi)展安全性測(cè)評(píng)的關(guān)鍵技術(shù)與方法，并提出相應(yīng)的解決方案。給出“軟件是智能網(wǎng)聯(lián)汽車(chē)技術(shù)發(fā)展的核心與關(guān)鍵，汽車(chē)軟件的質(zhì)量是保障智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)健康發(fā)展的保證”等結(jié)論。