【精品】毕设论文翻译.doc

2011年第三次国际研讨会上的安全性测量和度量 PHP Web应用程序安全的演变的实证 詹姆斯沃尔登 Highland Heights肯塔基州41099 我们还调查复杂或（SRI度量是否可以被用来确定显示易受攻击的Web应用程序，平均，尤其是那些低SRI。 关键词：安全指标 软件的安全性 静态分析 代码的复杂性 一 引言 Web应用程序2010年IBM公司的X-Force趋势与风险报告报道占几乎一半安全漏洞 这可能是不完全统计，许多组织开发和部署Web应用程序不公开报告漏洞。迈特发现，自2005年以来最常见的两个漏洞类型跨站点脚本和SQL注入，主要是在Web应用程序中发现。 尽管利用网络或操作系统的蠕虫漏洞已经基本上消失了，Web应用程序定期针对性的大规模攻击，如2011年4月LizaMoon大规模SQL注入攻击。 此外，流行的开源Web应用程序，如WordPress注入恶意软件大规模攻击感染用户自己的网站。 虽然是复制的实验经验软件工程的各个领域中重要，它在软件安全性的研究尤为重要，由于该领域的迅速发展的性质，每年出现新类型。软件，大多数浏览器支持Javascript或在20世纪90年代左右有关跨站点脚本（XSS），直到2008年点击劫持。 像原来的研究，本文使用最广泛的14开源Web应用程序静态分析工具分析软件度量和测量， 包括WordPress和MediaWiki，维基百科上运行的软件。我们开采这些应用程序的源代码库来衡量漏洞的密度，并收集各种软件度量，包括我们的安全资源度量指标以及传统指标，如代码的大小和复杂性。在代码大小和应用程序的用户数量方面我们认为这是最大的Web应用安全的调查。 和我们以前本研究有两个重要的区别。 首先是，这项研究分析从2006-2010年四年的Web应用程序，而不是两个。 更长的时间跨度，让我们来我们发现的复杂性和产品的源代码的状态或是否持有更普遍。 第二是使用必威体育精装版版本的Fortify的来源代码分析器（SCA）的工具，它可以识别73种在PHP代码中的漏洞，而不是只有13种版本中的漏洞，使我们发现，在以往的研究中错过了潜在的漏洞。我们的研究复制了一个新的静态分析工具的时间间隔较长，使我们能够 评估是否观察开放的Web应用安全漏洞从2006年年中至2008年年中PHP的源码演变趋势，一直持续到2010年年中。 2确定曾在2008年的预测准确预测到2010年的漏洞演变。 确定如果静态分析工具找到Web应用程序中的漏洞，已大幅提前至200并确定这些改进的效果是否会改变在2008年的研究中观察到的趋势。 经过讨论我们的研究方法在第2，我们描述数据收集过程第3，汇总结果在第4节，第5漏洞类型分析，第复杂性度量第7涉及有效性的威胁，而第8节讨论相关工作第9完成，结论和描述未来的工作 二。研究方法在本节中，我们研究假设复杂性度量和安全资源指标。这些指标在某些领域的预测[3]，[11][18]，[22]，[23] 已被证明是有效的我们研究漏洞几个方面，包括漏洞总数，随时间变化，密度（每千行代码中的漏洞数量），随时间变化的密度，以及指标。 我们也研究在14个项目的总代码库的变化。减轻漏洞变更广为人知的漏洞和技术，那么我们可以期望，开源项目中的漏洞密度随着时间的推移应改善，尤其是在常见的漏洞，如跨站点脚本和SQL注入。这导致了三个假设： 开源Web应用程序中的漏洞密度应随时间而减少。2）在开源的web应用程序的跨站点脚本漏洞的密度应随时间而减少。3）在开源的web应用程序的SQL注入漏洞的密度应随时间而减少。 代码的复杂性安全专家称，这种复杂性是安全性[16]的敌人。复杂的代码是很难理解，维护和测试，使安全漏洞更容易引进和更难以发现和减轻。因此，复杂的代码应包括大量的安全漏洞比简单的代码。基于这个道理，我们有两个代码的复杂性假说： 具有较高代码复杂度的应用程序比一个较低代码复杂度应用程序的漏洞多 具有较高代码复杂度的应用会随着时间的推移降低代码复杂度McCabe的循环复杂度[15]和嵌套复杂度是流行的测量代码复杂度，这两个指标已经被用来识别软件[18]漏洞，[22]。嵌套的复杂度计算深度嵌套的条件和循环。我们研究这些复杂度度量三种形式：最大的复杂性，它具有的复杂性度量，总的复杂性，这是为整个应用程序，平均复杂，这是一笔复杂度量的最高值度量每个功能的平均值，平均每个文件的复杂性。 B.安全资源指标在我们以前的研究中，我们创建了一个标准来衡量一个项目安全的重要性，安全资源指标（SRI）的度量是基于四个目：配置和安装应用程序的安全问题的文件，一个专用的电子邮件别名报告安全问题，特定于应用程序的安全漏洞列表或数据库和文件安全发展的