可信軟件及測(cè)試

可信軟件及測(cè)試內(nèi)容1.軟件面臨問(wèn)題2.問(wèn)題分析3.從軟件質(zhì)量到可信4.可信軟件主要特征5.可信軟件測(cè)試1.軟件面臨的問(wèn)題從與軟件相關(guān)的一些重大事故談起軟件事故典型案例2011年7月23日20時(shí)30分05秒，甬溫線(xiàn)發(fā)生動(dòng)車(chē)列車(chē)追尾事故，造成40人死亡、172人受傷，中斷行車(chē)32小時(shí)35分，直接經(jīng)濟(jì)損失19371.65萬(wàn)元。原因分析：經(jīng)國(guó)務(wù)院調(diào)查組調(diào)查后證實(shí)是因?yàn)長(zhǎng)KD2-T1型列控中心設(shè)備系統(tǒng)存在嚴(yán)重設(shè)計(jì)缺陷和重大安全隱，導(dǎo)致本應(yīng)顯示為紅燈的區(qū)間信號(hào)機(jī)錯(cuò)誤地顯示為綠燈。2007年10月30日，奧運(yùn)門(mén)票第二階段預(yù)售首日2006年3月2日14點(diǎn)10分，滬深大盤(pán)忽然發(fā)生罕見(jiàn)大跳水，7分鐘之內(nèi)上證指數(shù)跌去近20點(diǎn)。原因分析：當(dāng)日下午剛上市的招商銀行認(rèn)股權(quán)證成交量巨大，導(dǎo)致其行情顯示時(shí)總成交量字段溢出，使其價(jià)格在股票分析軟件上成為一條不再波動(dòng)的直線(xiàn)，讓市場(chǎng)產(chǎn)生了恐慌。原因：銀聯(lián)新近準(zhǔn)備上線(xiàn)的某外圍設(shè)備的隱性缺陷誘發(fā)了跨行交易系統(tǒng)主機(jī)的缺陷，使主機(jī)發(fā)生故障2005年4月20日上午10時(shí)56分，中國(guó)銀聯(lián)系統(tǒng)通信網(wǎng)絡(luò)和主機(jī)出現(xiàn)故障，造成轄內(nèi)跨行交易全部中斷。這是2002年中國(guó)銀聯(lián)成立以來(lái)，首次全國(guó)性因系統(tǒng)故障造成的跨行交易全面癱瘓。2003年8月14日下午4時(shí)10分，美國(guó)及加拿大部分地區(qū)發(fā)生歷史上最大的停電事故。15日晚逐步恢復(fù)。后果：經(jīng)濟(jì)損失250億到300億之間原因分析俄亥俄州的第一能源（FirstEnergy）公司x下屬的電力監(jiān)測(cè)與控制管理系統(tǒng)軟件XA/21出現(xiàn)錯(cuò)誤，系統(tǒng)中重要的預(yù)警部分出現(xiàn)嚴(yán)重故障，負(fù)責(zé)預(yù)警服務(wù)的主服務(wù)器與備份服務(wù)器連接失控，錯(cuò)誤沒(méi)有得到及時(shí)通報(bào)和處理，最終多個(gè)重要設(shè)備出現(xiàn)故障，導(dǎo)致大規(guī)模停電。原因分析：

ADA語(yǔ)言編寫(xiě)的一段程序，將一個(gè)64位浮點(diǎn)整數(shù)轉(zhuǎn)換為16位有符號(hào)整數(shù)時(shí)，產(chǎn)生溢出，導(dǎo)致系統(tǒng)慣性參考系統(tǒng)完全崩潰1996年6月4日，歐洲空間局的阿麗亞娜火箭，發(fā)射后37秒爆炸。損失6億美元2.問(wèn)題分析1）.什么是軟件質(zhì)量？2）.為什么軟件質(zhì)量保障困難？從軟件質(zhì)量談起1）.什么是軟件質(zhì)量？GB/T11457-2006<<軟件工程術(shù)語(yǔ)>>中定義軟件質(zhì)量為：（1）軟件產(chǎn)品中能滿(mǎn)足給定需要的性質(zhì)和特性的總體。（2）軟件具有所期望的各種屬性的組合程度。（3）顧客和用戶(hù)覺(jué)得軟件滿(mǎn)足其綜合期望的程度。（4）確定軟件在使用中將滿(mǎn)足顧客預(yù)期要求的程度。2）.為什么軟件質(zhì)量保障困難（1）軟件產(chǎn)品與需求（2）軟件的本質(zhì)（3）軟件度量困難（1）軟件產(chǎn)品與需求需求與成本之間的矛盾 需求是永無(wú)止境的 成本是永遠(yuǎn)有限的（2）軟件的本質(zhì)規(guī)模、復(fù)雜性、演化性網(wǎng)絡(luò)環(huán)境軟件研發(fā)過(guò)程缺乏基礎(chǔ)理論支撐軟件產(chǎn)品的驗(yàn)證缺乏基礎(chǔ)理論支持（3）軟件度量困難軟件的度量，不像長(zhǎng)度、容積和重量那樣有統(tǒng)一的標(biāo)準(zhǔn)，采用不同的軟件度量標(biāo)準(zhǔn)，可以得到不同的結(jié)果，這使得軟件的度量增加了難度。3.從軟件質(zhì)量到可信軟件（1）什么是可信？（2）什么軟件的是可信軟件？（1）什么是可信？ISO/IEC

15408

標(biāo)準(zhǔn)將可信定義為:

一個(gè)可信(trusted)的組件、操作或過(guò)程的行為在任意操作條件下是可預(yù)測(cè)的,

并能很好地抵抗應(yīng)用軟件、病毒以及一定的物理干擾造成的破壞;

可信計(jì)算組織(trusted

computing

group)認(rèn)為:

如果一個(gè)實(shí)體總是按照其設(shè)定目標(biāo)所期望的方式行事,

則稱(chēng)這個(gè)實(shí)體為可信的;

從用戶(hù)體驗(yàn)的角度,

微軟公司的比爾?蓋茨認(rèn)為可信計(jì)算是一種可以隨時(shí)獲得的可靠安全的計(jì)算,

并包括人類(lèi)信任計(jì)算機(jī)的程度,

就像使用電力系統(tǒng)、電話(huà)那樣自由、安全;

從網(wǎng)絡(luò)行為的角度,

林闖等認(rèn)為可信的網(wǎng)絡(luò)應(yīng)該是網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可以預(yù)期的,

能夠做到行為狀態(tài)可監(jiān)測(cè),

行為結(jié)果可評(píng)估,

異常行為可控制.

綜上所述：如果一個(gè)軟件系統(tǒng)的行為總是與預(yù)期相一致,稱(chēng)之為可信(trustworthy)。（2）什么是可信軟件？軟件是可信的,如果其服務(wù)總是與用戶(hù)的預(yù)期相符，即使在運(yùn)行過(guò)程中出現(xiàn)一些特殊情況。特殊情況包括：1、硬件環(huán)境（計(jì)算機(jī)、網(wǎng)絡(luò)）發(fā)生故障2、底層軟件（操作系統(tǒng)、數(shù)據(jù)庫(kù)）出現(xiàn)錯(cuò)誤3、其它軟件（病毒軟件、流氓軟件）對(duì)其產(chǎn)生影響4、出現(xiàn)有意（攻擊）、無(wú)意（誤操作）的錯(cuò)誤操作4.可信軟件主要特征根據(jù)可信軟件的定義，對(duì)可信軟件的研究主要從以下幾個(gè)方面進(jìn)行闡述（1）可靠性（2）可用性（3）安全性（4）可維護(hù)性（5）完整性（1）可靠性可信軟件的可靠性是指系統(tǒng)在規(guī)定的條件、環(huán)境及時(shí)間區(qū)間內(nèi)連續(xù)正確地運(yùn)行以提供所期望服務(wù)的能力，即計(jì)算機(jī)系統(tǒng)和軟件能正常運(yùn)行的概率。規(guī)定的條件包括環(huán)境、使用、維護(hù)、和維修等條件和操作技術(shù)。規(guī)定的時(shí)間是指軟件系統(tǒng)的可靠性是相對(duì)于一定的時(shí)間間隔而言的，即人們要求在規(guī)定的時(shí)間誒軟件系統(tǒng)有一定的可靠性。正確運(yùn)行是指系統(tǒng)具有規(guī)定的各項(xiàng)技術(shù)性能，運(yùn)行的程序不會(huì)被破壞或停止，能完成規(guī)定的任務(wù)，即程序按照規(guī)定的要求運(yùn)行，在規(guī)定的時(shí)間限度范圍之內(nèi)執(zhí)行并且運(yùn)行的結(jié)果正確。提高軟件可靠性的技術(shù)途徑有避錯(cuò)法和容錯(cuò)法。避錯(cuò)技術(shù)：采用正確的設(shè)計(jì)和質(zhì)量控制方法盡量避免把錯(cuò)誤引進(jìn)系統(tǒng)。容錯(cuò)技術(shù)：利用外加資源的冗余技術(shù)是系統(tǒng)中發(fā)生故障時(shí)仍能提供正常的服務(wù)。（2）可用性可信軟件的可用性是指在給定時(shí)間內(nèi)系統(tǒng)可運(yùn)行的概率?？捎眯?MTTF/(MTTF+MTTR)*100%其中MTTF(meantimetofailure，平均無(wú)故障時(shí)間)是指系統(tǒng)平均能夠正常運(yùn)行多長(zhǎng)時(shí)間，才發(fā)生一次故障。（系統(tǒng)的可靠性越高，平均無(wú)故障時(shí)間越長(zhǎng)。）MTTR（meantimetorestoration，平均維修時(shí)間）是指系統(tǒng)發(fā)生故障后維修和重新恢復(fù)正常運(yùn)行平均花費(fèi)時(shí)間。（系統(tǒng)的可維護(hù)性越好，平均維修時(shí)間越短。）（3）安全性安全性指系統(tǒng)防止敏感信息與數(shù)據(jù)被未授權(quán)用戶(hù)非法讀寫(xiě)的能力，包括防止授權(quán)用戶(hù)抵賴(lài)已進(jìn)行過(guò)的訪問(wèn)。安全性一般分為兩個(gè)層次：在應(yīng)用程序級(jí)別，包括對(duì)數(shù)據(jù)或業(yè)務(wù)功能的訪問(wèn)，可確保在預(yù)期的安全情況下，操作者只能訪問(wèn)特定的功能或用例，或者只能訪問(wèn)有限的數(shù)據(jù)；在系統(tǒng)級(jí)別，包括對(duì)系統(tǒng)的登錄或遠(yuǎn)程登錄，確保只有具備系統(tǒng)訪問(wèn)權(quán)限的用戶(hù)才能訪問(wèn)應(yīng)用程序，而且只能通過(guò)相應(yīng)的入口才能訪問(wèn)。（4）可維護(hù)性可信軟件的可維護(hù)性是指系統(tǒng)具有易于修改和可進(jìn)化的能力，包括理解、改正、改動(dòng)和改進(jìn)軟件的難易程度。運(yùn)行時(shí)期的主要任務(wù)是使軟件持久地滿(mǎn)足用戶(hù)的需求。具體地說(shuō)，當(dāng)軟件在使用過(guò)程中發(fā)現(xiàn)錯(cuò)誤時(shí)，應(yīng)該加以改正；當(dāng)環(huán)境改變時(shí)，應(yīng)該修改軟件以適應(yīng)新的環(huán)境；當(dāng)用有新要求時(shí)，應(yīng)該及時(shí)的改進(jìn)軟件滿(mǎn)足用的新需求。（5）完整性可信計(jì)算組織(TrustedComputingGroup，TCG)將完整性定義為一個(gè)實(shí)體為了實(shí)現(xiàn)特定的目標(biāo)而按照特定的方式進(jìn)行工作的一種期望。軟件的的完整性是指軟件不發(fā)生不適當(dāng)?shù)男薷男畔⒌默F(xiàn)象，也就是軟件在運(yùn)行的過(guò)程中按照軟件設(shè)計(jì)者的本意進(jìn)行，不受其他應(yīng)用的任何影響。5.可信軟件測(cè)試可信軟件測(cè)試是指在保證軟件可信性的前提下運(yùn)行軟件來(lái)發(fā)現(xiàn)軟件中的錯(cuò)誤而執(zhí)行程序的過(guò)程?？尚跑浖y(cè)試的原因：隨著人們對(duì)軟件測(cè)試重要性認(rèn)識(shí)的提高，在整個(gè)軟件生命周期中軟件測(cè)試階段所占的比重越來(lái)越大，同時(shí)對(duì)軟件質(zhì)量要求越來(lái)越高，故提出可信軟件的測(cè)試。目前對(duì)可信軟件的測(cè)試主要集中在對(duì)其進(jìn)行可靠性、可用性、安全性、容錯(cuò)性、動(dòng)態(tài)測(cè)試方法及錯(cuò)誤注入測(cè)試方法。1.可靠性測(cè)試可信軟件的可靠性測(cè)試是評(píng)估軟件的可靠性水平，驗(yàn)證軟件產(chǎn)品是否達(dá)到軟件可靠性要求的重要且有效的途徑。目前的測(cè)試方法主要有白盒測(cè)試、黑盒測(cè)試和灰盒測(cè)試。白盒測(cè)試也稱(chēng)結(jié)構(gòu)測(cè)試，它是按照程序內(nèi)部的結(jié)構(gòu)測(cè)試程序，通過(guò)檢測(cè)來(lái)測(cè)試產(chǎn)品內(nèi)部動(dòng)作是否按照設(shè)計(jì)規(guī)格說(shuō)明書(shū)的規(guī)定正常進(jìn)行，檢驗(yàn)程序中的每條通路是否能夠按預(yù)定要求正確工作。黑盒測(cè)試又稱(chēng)功能測(cè)試，是把測(cè)試對(duì)象看做一個(gè)黑盒子來(lái)測(cè)試軟件產(chǎn)品的功能，不測(cè)試其內(nèi)部結(jié)構(gòu)和處理過(guò)程?；液袦y(cè)試：是介于白盒測(cè)試與黑盒測(cè)試之間的，可以這樣理解，灰盒測(cè)試關(guān)注輸出對(duì)于輸入的正確性，同時(shí)也關(guān)注內(nèi)部表現(xiàn)，但這種關(guān)注不象白盒那樣詳細(xì)、完整，只是通過(guò)一些表征性的現(xiàn)象、事件、標(biāo)志來(lái)判斷內(nèi)部的運(yùn)行狀態(tài)，有時(shí)候輸出是正確的，但內(nèi)部其實(shí)已經(jīng)錯(cuò)誤了，這種情況非常多，如果每次都通過(guò)白盒測(cè)試來(lái)操作，效率會(huì)很低，因此需要采取這樣的一種灰盒的方法。2.可用性測(cè)試軟件的可用性測(cè)試包括以用戶(hù)為主的測(cè)試和以專(zhuān)家為主的測(cè)試方式。以用戶(hù)為主的測(cè)試叫用戶(hù)測(cè)試(usertesting)；以專(zhuān)家為主的測(cè)試有認(rèn)知預(yù)演(cognitivewalkthrough)和探索式評(píng)估(heuristicevaluation）。用戶(hù)測(cè)試法：就是讓用戶(hù)真正地使用軟件系統(tǒng)，由實(shí)驗(yàn)人員對(duì)實(shí)驗(yàn)過(guò)程進(jìn)行觀察、記錄和測(cè)量。這種方法可以準(zhǔn)確地反饋用戶(hù)的使用表現(xiàn)、反映用戶(hù)的需求，是一種非常有效的方法。用戶(hù)測(cè)試可分為實(shí)驗(yàn)室測(cè)試和現(xiàn)場(chǎng)測(cè)試。實(shí)驗(yàn)室測(cè)試是在可用性測(cè)試實(shí)驗(yàn)室里進(jìn)行的，而現(xiàn)場(chǎng)測(cè)試是由可用性測(cè)試人員到用戶(hù)的實(shí)際使用現(xiàn)場(chǎng)進(jìn)行觀察和測(cè)試。認(rèn)知預(yù)演：首先要定義目標(biāo)用戶(hù)、代表性的測(cè)試任務(wù)、每個(gè)任務(wù)正確的行動(dòng)順序、用戶(hù)界面，然后進(jìn)行行動(dòng)預(yù)演并不斷地提出問(wèn)題，包括用戶(hù)能否建立達(dá)到任務(wù)目的，用戶(hù)能否獲得有效的行動(dòng)計(jì)劃，用戶(hù)能否采用適當(dāng)?shù)牟僮鞑襟E，用戶(hù)能否根據(jù)系統(tǒng)的反饋信息評(píng)價(jià)是否完成任務(wù)，最后進(jìn)行評(píng)論，諸如要達(dá)到什么效果，某個(gè)行動(dòng)是否有效，某個(gè)行動(dòng)是否恰當(dāng)，某個(gè)狀況是否良好。優(yōu)點(diǎn)在于：能夠使用任何低保真原型，包括紙?jiān)?。缺點(diǎn)在于：評(píng)價(jià)人不是真實(shí)的用戶(hù)，不能很好地代表用戶(hù)。探索式評(píng)估由多位評(píng)價(jià)人（通常4至6人）根據(jù)可用性原則反復(fù)瀏覽系統(tǒng)各個(gè)界面，獨(dú)立評(píng)估系統(tǒng)，允許各位評(píng)價(jià)人在獨(dú)立完成評(píng)估之后討論各自的發(fā)現(xiàn)，共同找出可用性問(wèn)題。優(yōu)點(diǎn)是：在于專(zhuān)家決斷比較快、使用資源少，能夠提供綜合評(píng)價(jià)，評(píng)價(jià)機(jī)動(dòng)性好，缺點(diǎn)是：一是會(huì)受到專(zhuān)家的主觀影響，二是沒(méi)有規(guī)定任務(wù)，會(huì)造成專(zhuān)家評(píng)估的不一致，三是評(píng)價(jià)后期階段由于評(píng)價(jià)人的原因造成信度降低，四是專(zhuān)家評(píng)估與用戶(hù)的期待存在差距，所發(fā)現(xiàn)的問(wèn)題僅能代表專(zhuān)家的意思。3.安全性測(cè)試可信軟件的安全性測(cè)試是確定軟件的安全性實(shí)現(xiàn)是否與預(yù)期設(shè)計(jì)一致的過(guò)程。軟件主要的安全功能需求包括數(shù)據(jù)機(jī)密性、完整性、可用性、不可否認(rèn)性、身份認(rèn)證、授權(quán)、訪問(wèn)控制、委托、隱私保護(hù)、安全管理等。安全性測(cè)試用例安全性測(cè)試的主要方法形式化安全測(cè)試：形式化方的基本思想是建立軟件的數(shù)據(jù)學(xué)模型，并在形式規(guī)格說(shuō)明書(shū)的支持下，提供軟件的形式規(guī)格說(shuō)明書(shū)。形式化安全測(cè)試方法可分為兩類(lèi)，即定理證明和模型檢測(cè)。定理證明方法將程序轉(zhuǎn)換為邏輯公式，然后使用公理和規(guī)則證明程序是一個(gè)合法的定理。模型檢測(cè)用狀態(tài)遷移系統(tǒng)S描述軟件的行為用時(shí)序邏輯、計(jì)算樹(shù)邏輯或演算公式F表示軟件執(zhí)行必須滿(mǎn)足的性質(zhì)，通過(guò)自動(dòng)搜索S中不滿(mǎn)足公式F的狀態(tài)來(lái)發(fā)現(xiàn)軟件中的漏洞。語(yǔ)法測(cè)試：是根據(jù)被測(cè)試軟件的功能接口的語(yǔ)法生成測(cè)試輸入，檢測(cè)被檢測(cè)軟件對(duì)各類(lèi)輸入的響應(yīng)。模糊測(cè)試：是一種發(fā)現(xiàn)安全漏洞的有效的測(cè)試方法，將隨機(jī)的壞數(shù)據(jù)插入程序，觀察程序是否能夠容忍雜亂輸入。基于模型的安全功能測(cè)試：是對(duì)軟件的行為和結(jié)構(gòu)進(jìn)行建模。生成測(cè)試模型，由測(cè)試模型生成測(cè)試用例，驅(qū)動(dòng)軟件測(cè)試。4.容錯(cuò)性測(cè)試可信軟件的容錯(cuò)性測(cè)試是一種對(duì)抗性的測(cè)試過(guò)程測(cè)試軟件出現(xiàn)故障時(shí)，如何進(jìn)行故障的轉(zhuǎn)移與恢復(fù)有用的數(shù)據(jù)。容錯(cuò)性測(cè)試包括兩個(gè)方面：A）輸入異常數(shù)據(jù)或進(jìn)行異常操作，以檢驗(yàn)系統(tǒng)的保護(hù)性。如果系統(tǒng)容錯(cuò)性好，系統(tǒng)只給出提示或內(nèi)部消化，而不會(huì)導(dǎo)致系統(tǒng)出錯(cuò)甚至崩潰。B)災(zāi)難恢復(fù)性測(cè)試。通過(guò)各種手段，讓軟件強(qiáng)制性地發(fā)生故障，然后驗(yàn)證系統(tǒng)以保存的用戶(hù)數(shù)據(jù)是否丟失，系統(tǒng)和數(shù)據(jù)是否能很快恢復(fù)。容錯(cuò)性測(cè)試5.可信軟件動(dòng)態(tài)測(cè)試軟件動(dòng)態(tài)測(cè)試就是通過(guò)運(yùn)行軟件來(lái)檢驗(yàn)軟件的動(dòng)態(tài)行為和運(yùn)行結(jié)果的正確性。它可以分為隨機(jī)測(cè)試和選擇性測(cè)試兩大類(lèi)。隨機(jī)測(cè)試方法以數(shù)理統(tǒng)計(jì)理論為基礎(chǔ)，根據(jù)軟件在使用中輸入數(shù)據(jù)空間的概率分布，隨機(jī)選擇測(cè)試數(shù)據(jù)。但這種測(cè)試的不足之處是測(cè)試具有盲目性并且工作量比較大。選擇性測(cè)試則是根據(jù)程序的內(nèi)部結(jié)構(gòu)和軟件功能規(guī)約，有目的地選擇測(cè)試數(shù)據(jù)。根據(jù)動(dòng)態(tài)測(cè)試在軟件開(kāi)發(fā)過(guò)程中所處的階段和作用，動(dòng)態(tài)測(cè)試可分為如下幾個(gè)步驟：A）單元測(cè)試：是對(duì)軟件中的基本組成單位進(jìn)行測(cè)試，其目的是檢驗(yàn)軟件基本組成單位的正確性。B）集成測(cè)試：在軟件系統(tǒng)集成過(guò)程中所進(jìn)行的測(cè)試，其主要目的是檢查軟件單位之間的接口是否正確。