软件安全开发能力成熟度差距分析方法及系统与流程

本发明涉及软件安全开发能力评估技术领域，尤其涉及一种软件安全开发能力成熟度差距分析方法及系统。

背景技术：

信息技术的发展，使得软件规模越来越大，传统的“软件作坊”式生产往往依赖于人们急于创造财富的激动情绪，生产处于无序、混沌的一种状态，软件产品的质量不能保证，甚至中途撤消软件项目，这种生产方式已不能满足日益增长的软件需求。人们认识到，软件过程是否完善是软件风险大小的决定因素。目前，业内用软件安全开发能力成熟度（也叫软件保障成熟度）来描述一个企业的软件开发环境的优劣，并用企业的成熟度数据与行业的和标准的成熟度数据做比较，以得到某一企业的软件安全开发能力成熟度水平与行业和标准数据的差距。

在软件安全行业，一般用samm模型和bsimm模型作为标准差距分析模型，这两个模型提供了一个开放的框架，用以帮助软件公司制定并实施所面临来自软件安全的特定风险的策略。原始的samm和bsimm模型是以word文档的形式发布的，其文档内容主要是介绍samm和bsimm模型的作用。普通用户需要使用samm模型和bsimm模型进行能力评估时，需要对文档内容进行分析，提取需要完成的安全活动内容，并以一种可行的方式进行能力评估分析，也即samm模型和bsimm模型提供了一定的差距分析方法，但是这些差距分析方法缺乏自动化机制，基于这些模型做差距分析时，需要手工完成大量的数据录入工作，尤其涉及到行业的横向和纵向差距分析时，需要手工完成大量的数据处理工作，费时费力，而且容易出现录入错误的情况。

技术实现要素：

本发明其中一目是为解决上述技术问题的不足而提供一种自动化的软件安全开发能力成熟度差距分析方法，以提高软件安全开发能力成熟度差距分析的自动化程度，提高工作效率和准确性。

本发明另一目的是，提供一种自动化的软件安全开发能力成熟度差距分析系统，以提高软件安全开发能力成熟度差距分析的自动化程度，提高工作效率和准确性。

为了实现上述目的，本发明公开了一种软件安全开发能力成熟度差距分析方法，其包括如下步骤：

基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，所述调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准，所述安全实践调查问卷中包括若干待查安全实践项，每一所述安全实践项包括若干评价指标；

启动所述调查问卷模板，生成所述安全调查问卷，并将所述安全实践调查问卷推送给用户；

根据所述评判标准，对用户反馈的所述安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据；

获取并存储若干个行业的相关行业数据，所述行业数据反映其所属行业现阶段综合软件安全开发能力成熟度；

采取数据差异化比较方式显示所述调查数据和所述行业数据的差异化程度。

较佳地，所述标准差距分析模型包括samm模型和/或bsimm模型。

较佳地，将所述调查数据、所述行业数据和当前用户所选行业的标准数据显示在同一张蜘蛛图上。

较佳地，根据当前用户所属行业的标准数据将每一所述安全实践项的能力分为若干不同级别，根据所述调查数据对每一所述安全实践项进行评级，当任一所述安全实践项的能力低于最高级别时，根据该安全实践项所对应的下一级别的要求导出整改方案，所述整改方案的内容来源于所述标准差距分析模型。

本发明还公开一种软件安全开发能力成熟度差距分析系统，其包括调查问卷模板制作模块、推送模块、评判模块、基础数据输入模块和比对显示模块；

所述调查问卷模板制作模块，用于基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，所述调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准；

所述推送模块，用于将所述调查问卷模板生成的安全实践调查问卷推送给用户；

所述评判模块，用于根据所述评判标准对用户反馈的所述安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据；

所述基础数据输入模块，用于输入若干个行业的相关行业数据，所述行业数据反映其所属行业现阶段综合软件安全开发能力成熟度；

所述比对显示模块，用于以数据差异化比较方式显示所述调查数据和所述行业数据的差异化程度。

较佳地，所述标准差距分析模型包括samm模型和/或bsimm模型。

较佳地，通过蜘蛛图显示所述调查数据、所述行业数据和当前用户所选行业的标准数据的差异化程度。

较佳地，还包括分级模块、评级模块和整改方案导出模块；

所述分级模块，用于根据当前用户所属行业的标准数据将每一所述安全实践项的能力分为若干不同级别；

所述评级模块，用于对所述调查数据对每一所述安全实践项进行评级；

当所述评级模块输出的某一所述安全实践项的能力低于最高级别时，所述整改方案导出模块可根据该安全实践项所对应的下一级别的要求导出整改方案，所述整改方案的内容来源于所述标准差距分析模型。

本发明还公开一种软件安全开发能力成熟度差距分析系统，其特征在于，包括：

一个或多个处理器；

存储器；

以及一个或多个程序，其中一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述程序包括用于执行如上所述的软件安全开发能力成熟度差距分析方法的指令。

本发明还公开一种计算机可读存储介质，其包括测试用计算机程序，所述计算机程序可被处理器执行以完成如上所述的软件安全开发能力成熟度差距分析方法。

与现有技术相比，本发明软件安全开发能力成熟度差距分析方法，将软件行业的标准差距分析模型中的基本内容制作成调查问卷模板并保存在系统中，而且在系统中预先录入各行业的相关行业数据，当用用户需要进行软件安全开发能力成熟度差距分析时，只需启动调查问卷模板，生成安全实践调查问卷，并推送给用户，让被评估的用户完成相关问卷调查，然后根据用户反馈的数据和评判标准即可快速生成反映用户软件安全开发能力成熟度的调查数据，最后，将调查数据与预先录入的行业数据比较即可得到被评估用户当前的软件安全开发能力成熟度水平与行业水平的差距；由此可知，在对每一个用户的评估过程中，无须分析人员分项分类录入相关数据，从安全实践调查问卷的生成和发送到最后差异数据的分析，都是自动化进行，省时省力，从而有效提高软件安全开发能力成熟度差距分析的自动化程度，提高工作效率和准确性。

附图说明

图1为本发明其中一实施例中差距分析方法的流程示意图。

图2为本发明另一实施例中差距分析方法的流程示意图。

图3为本发明实施例中调查问卷的部分展示示意图。

图4为本发明实施例中蜘蛛图的显示效果示意图。

图5为本发明实施例中差距分析流程的原理结构示意图。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

对于每一软件开发用户（企业）来说，需要不断地对其软件安全开发能力成熟度水平与行业水平之间的差距（以下简称成熟度差距）进行分析，以便及时采取措施提高软件安全开发能力。对此，本实施例公开了一种软件安全开发能力成熟度差距分析方法，如图1，其包括如下步骤：

基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准，安全实践调查问卷中包括若干待查安全实践项，每一安全实践项包括若干评价指标；

启动调查问卷模板，生成安全调查问卷，并将安全实践调查问卷推送给用户；

根据评判标准，对用户反馈的安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据；

获取并存储若干个行业的相关行业数据，行业数据反映其所属行业现阶段综合软件安全开发能力成熟度；

采取数据差异化比较方式显示调查数据和行业数据的差异化程度。

在上述实施例中的差距分析方法中，设置有可自动生成电子化的安全实践调查问卷的调查问卷模板，该调查问卷模板中所涉及到的具体内容（包括安全实践项和评价指标）来源于标准差距分析模型，该标准差距分析模型为本领域技术人员熟知的软件保障成熟度模型，如samm模型和bsimm模型，制作调查问卷模板的过程，也即是对所选用的标准差距分析模型中的框架内容进行提炼总结的过程，调查问卷模板中的安全实践项和评价指标等这些评价内容来源于标准差距分析模型，例如，当选用bsimm模型制作调查问卷模板时，生成的调查问卷中所包括的安全实践项包括以下十二项：1、战略和指标；2、合规性与政策；3、培训；4、攻击模型；5、安全性功能和设计；6、标准和要求；7、架构分析；8、代码审查；9、安全性测试；10、渗透测试；11、软件环境；12、配置管理和安全漏洞管理。其中每一实践项又包括若干评价指标，如识别组织的风险偏好、定义基本的安全度量、定义安全策略、设定战略关键绩效指标(kpi)、将安全性和业务策略结合起来、通过指标推动安全计划、定义策略和标准、确定合规要求、开发测试程序、规范政策和合规性要求、衡量政策和标准的合规性、评估对外部需求的合规性、培训所有利益相关者以提高意识、确定安全负责人、定制安全培训、实施卓越中心……等若干个。如图3所示，本实施所公开的差距分析方法通过调查问卷的形式将标准差距分析模型中的所有安全实践项和所对应的评价指标展示出来，以便于收集用户数据。较佳地，可预先制作并保存于多个标准差距分析模型相对应的调查问卷模板，如，分别制作与samm模型和bsimm模型对应的不同形式的两种调查问卷模板，用户可选择使用其中任一种调查问卷模板生成安全实践调查问卷。

对于相关行业数据，主要来自于市场调研，或标准差距分析模型文档中公布的数据。

当用用户需要进行软件安全开发能力成熟度差距分析时，只需启动调查问卷模板，生成安全实践调查问卷，并推送给用户，让被评估的用户完成相关问卷调查，然后根据用户反馈的数据和评判标准即可快速生成反映用户软件安全开发能力成熟度的调查数据，最后，将调查数据与预先录入的行业数据比较即可得到被评估用户当前的成熟度差距。因此，采用上述差距分析方法对每一个用户的评估过程中，无须分析人员分项分类录入相关数据，从安全实践调查问卷的生成和发送到最后差异数据的分析，都是自动化进行，省时省力，从而有效提高软件安全开发能力成熟度差距分析的自动化程度，提高工作效率和准确性。

具体地，为便于向用户直观展示出评估结果，如图4所示，将调查数据、行业数据和当前用户所属行业的标准数据显示在同一张蜘蛛图上，标准数据即为蜘蛛图网格的顶点。该标准数据同样来源于标准差距分析模型，在此不再赘述。在图4中，用户可根据需要选择所要显示的行业的标准数据，如可选择显示移动行业的标准数据，或选择显示消费零售行业的标准数据。

进一步地，上述差距分析方法还包括整改方案的自动生成方法：如图2，根据当前用户所属行业的标准数据将每一安全实践项的能力分为若干不同级别，根据调查数据对每一安全实践项进行评级，当任一安全实践项的能力低于最高级别时，根据该安全实践项所对应的下一级别的要求导出整改方案，整改方案的内容来源于标准差距分析模型。本实施例中，首先安装标准数据对每一安全实践项进行分级，如分为高级、中级和低级。当根据评判标准对调查数据进行评判时（如通过打分进行评判），根据比对结果对每一安全实践项进行评级，当一安全实践项的能力低于最高级别时，如“战略和指标”被评为低级，那么根据安全实践项“战略和指标”所对应的中级要求导出整改方案，以便用户有针对性的改进。

综上，根据本发明公开的差距分析方法进行成熟度差距的过程为：打开操作终端，选择使用与某一标准差距分析模型所对应的调查问卷模板生成安全实践调查问卷和评判标准，并将该安全实践调查问卷推送（可通过网络推送）给用户，用户完成问卷调查后将填写完成的安全实践调查问卷反馈给操作终端，然后操作终端将根据评判标准自动逐个分析安全实践调查问卷中每一安全实践项，以得到用户的调查数据，同时为每一安全实践项生成对应的等级，所有的安全实践项的等级加在一起构成该用户当前软件安全开发能力的等级。然后，在蜘蛛图上显示出与每一项事情实践项对应的调查数据、行业数据和标准数据。

如图5所示，本发明还公开一种软件安全开发能力成熟度差距分析系统，其包括操作终端和通过数据接口与操作终端通信连接的调查问卷模板制作模块、推送模块、评判模块、基础数据输入模块和比对显示模块。

调查问卷模板制作模块，用于基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板，调查问卷模板可自动生成电子化的安全实践调查问卷和评判标准。

推送模块，用于将调查问卷模板生成的安全实践调查问卷推送给用户。

评判模块，用于根据评判标准对用户反馈的安全实践调查问卷中的各项内容进行评判，以得到反映用户软件安全开发能力成熟度的调查数据。

基础数据输入模块，用于输入若干个行业的相关行业数据，行业数据反映其所属行业现阶段综合软件安全开发能力成熟度。

比对显示模块，用于以数据差异化比较方式显示调查数据和行业数据的差异化程度。

进一步地，上述差距分析系统还包括分级模块、评级模块和整改方案导出模块。分级模块，用于根据当前用户所属行业的标准数据将每一安全实践项的能力分为若干不同级别。评级模块，用于对调查数据对每一安全实践项进行评级。当评级模块输出的某一安全实践项的能力低于最高级别时，整改方案导出模块可根据该安全实践项所对应的下一级别的要求导出整改方案，整改方案的内容来源于标准差距分析模型。

上述差距分析系统的具体工作原理和工作过程详见上述差距分析方法，在此不再赘述。

其次，本发明还公开一种软件安全开发能力成熟度差距分析系统，其包括：

一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序被存储在存储器中，并且被配置成由一个或多个处理器执行，程序包括用于执行如上所述的软件安全开发能力成熟度差距分析方法的指令。

另外，本发明还公开一种计算机可读存储介质，其包括测试用计算机程序，计算机程序可被处理器执行以完成如上所述的软件安全开发能力成熟度差距分析方法。

以上所揭露的仅为本发明的优选实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明申请专利范围所作的等同变化，仍属本发明所涵盖的范围。