可信赖的软体开发ppt课件.pptVIP

保全規格制定階段 資產識別與預估 識別資產(資料和程式)與它們需保護的程度。所需保護的程度依據資產的價值而定，所以一個密碼檔案通常比一堆公開網頁更有價值。 威脅分析與風險評估 識別對保全上可能的威脅，並且預估這些威脅相關的風險。 威脅指定 識別出與資產有關的威脅，並且為每項識別出的資產列出一連串相關的威脅。 保全規格制定階段 技術分析 評估可用的保全技術以及對已識別威脅的適用性。 保全需求規格 指定保全需求規格。在適當的時機明確地辨認出可能用來保護系統免於不同威脅的一些保全技術。 軟體的可信賴度(dependability) 一般來說，軟體客戶期望所有的軟體都是可信賴的。但是，對於非關鍵應用程式而言，它們可能願意接受某種小的系統故障。 然而，某些應用程式確有極高的可信賴度需求，必須使用特殊的程式技術來達到這個需求。 可信賴度的達成 避免錯誤(Fault avoidance) 軟體的開發應該避免人為的錯誤而將系統錯誤減到最少 開發程序應該被建構成可以偵查軟體中的錯誤，並且在錯誤傳送給客戶之前予以修復 容錯(Fault tolerance) 軟體應該被設計成軟體的錯誤不會造成系統的故障 錯誤最小化 必威体育精装版的軟體工程方法可以開發出無錯誤(fault-free)的軟體。 無錯誤軟體是指符合規格的軟體，但並不代表軟體會永遠正確的運作，因為規格也可能會發生錯誤。 生產無錯誤軟體的費用非常高，只有在特殊的情況下才會符合成本效益。如果接受軟體錯誤則會比較便宜。 錯誤移除成本 無錯誤的軟體開發 需要一個精確的(最好是正規的)規格。 需要一個重視品質的公司文化。 以資訊隱藏和封裝為主的軟體設計。 應該使用強式型別和執行時期檢查功能的程式語言。 應該避免容易出錯的程式設計結構。 可信賴和可重複的開發程序。 結構化程式設計 最早於1970年代被提出討論 不使用goto敘述的程式設計 程式中的控制結構只能使用迴圈和 If 敘述 由上而下的設計 重要的概念，因為它推動了程式設計的概念和相關的討論 可產生易讀且易了解的程式 容易錯誤的結構 浮點數 原本就不是很精確，所以不精確的浮點數會導致無效的比較。 指標 參考到錯誤記憶體區域的指標會損毀資料，「別名」(Aliasing)技術會讓程式很難理解及變更。 動態記憶體配置 在執行時期配置記憶體可能會造成記憶體溢位(用完)。 平行處理 因為很難預知平行程序之間在時序上的互動情形，平行處理會造成難以捉摸的時序錯誤。 容易錯誤的結構 遞廻(Recursion) 遞廻中的錯誤會造成記憶體溢位。 中斷 中斷會引起某個關鍵操作被終止，且使程式很難被了解。 它們可比得上goto敘述。 繼承 相關的程式碼不會全部放在同一個地方，在進行程式變更時會引起非預期的行為，使得行為更難以理解。 這些結構不須避免但必須謹慎使用。 資訊隱藏 資訊只能洩漏給那些需要存取資訊的部份程式。此動作包含物件或抽象資料型別的建立，它們是用來保存狀態和對狀態的操作。 基於下列三個理由，資訊隱藏可以避免錯誤的發生： 資訊被意外損壞的可能性。 資訊是以「防火牆」被保護住，所以問題較不可能蔓延到程式的其他部分。 因為所有資訊不會全部放在同一個地方，所以程式設計師較不可能出錯，而審核者則較可能發現錯誤。 可靠的軟體程序 為了確保最少的軟體錯誤，擁有良好定義且可重複執行的軟體程序是很重要的。 一個有良好定義的可重複執行程序是完全不依賴個人的技巧，也不會由不同的人來詮釋。 為了達到錯誤最小化，很明顯的程序活動必須包含重要的確認和驗證動作。 容錯(Fault tolerance) 在重要的情況下，軟體系統必須能夠容錯。在高可用率需求或系統故障成本極高的情形下，都需要有容錯的機制。 容錯是指不管軟體是否故障，系統都能夠繼續運作。 即使系統為不會發生錯誤的系統，它也必須有容錯機制，因為也許會有規格的錯誤或是確認有誤的情形發生。 故障機率 如果系統只有這兩個元件，而且系統的操作也依賴這兩個元件，那麼系統的故障機率為: P(S) = P(A) + P(B) 元件數量越多，系統整體故障機率也會越高。 如果是一群相同的複製元件，整體故障率為: P(S) = P(A)n (所有元件都發生故障) 功能性的可靠度需求 系統必須預先定義操作員可能輸入的所有輸入值範圍，系統也應該檢查操作員的所有輸入是否符合預先定義的範圍。 做為初始化程序的一部分，系統應該檢查所有磁碟是否有壞掉的區塊。 系統應該使用N版的程式設計來實作煞車控制系統。 系統必須以Ada的安全子集來實作，並且使用靜態分析方式做檢查。 系統可靠度需求的程度應該量化表示。 可靠度是一個動態的系統屬性，所以若以原始碼來定義可靠度規格是沒有意義的。 軟體的錯誤應該在每1000行中不超過N個錯誤。 非功能性的可靠度規