بهبود امنيت با استفاده از معيار هاي استخراج شده از مخازن نرم افزاري-معيار فعاليت توسعه دهنده

ضعف امنيتي و آسيب پذيري در لايه هاي مختلف سيستم هاي نرم افزاري، منجر به بسياري حملات امنيتي برعليه سيستم هاي نرم افزاري مي شود. براي بهبود امنيت مولفه هاي مختلف سيستم ، بايد به شناسايي و رفع آسيب پذيري پرداخت. روش هايي كه براي شناسايي آسيب پذيري نرم افزار وجود دارند، به دودسته، روش هاي دستي و خودكار تقسيم مي شوند. روش هاي دستي، روش هايي هستند كه از پايش چشمي كد، براي شناسايي آسيب پذيري، استفاده مي كنند. با توجه به دشوار و زمان بر بودن اين روش ها و زمان و منابع محدود تيم هاي توسعه دهنده، پژوهشگران به دنبال روش هايي براي خودكارسازي شناسايي آسيب پذيري نرم افزار هستند. ازجمله اين روش ها، استفاده از معيارهاي نرم افزاري در مدل هاي شناسايي آسيب پذيري است كه از چرخه حيات توسعه ي نرم افزار و مخازن نرم افزاري استخراج مي شوند. معيار فعاليت توسعه دهنده، معياري است كه به دليل تيمي بودن توسعه ي نرم افزار و نقش برجسته فاكتورهاي انساني، در نوشتن كد، بازبيني، نگهداشت و فرآيند توسعه ي نرم افزار، نقش مهمي در مدل هاي شناسايي آسيب پذيري نرم افزار دارد. با توجه به اين مطلب، در اين مقاله، با طرح يازده فرضيه، به كاوش معيار توسعه دهنده از مخزن نرم افزاري و بررسي و تحليل تاثير اين معيار بر روش هاي خودكار شناسايي آسيب پذيري نرم افزار، بر يك نرم افزار متن باز (يازده نسخه مرورگر وب موزيلا فايرفاكس)، پرداخته شده است. طي بررسي هاي انجام شده جهت شناسايي آسيب پذيري، تاثير چشم گير معيار توسعه دهنده بر فايل هاي آسيب پذير، ازنظر آماري معنادار است و اين معيار مي تواند به خوبي فايل هاي آسيب پذير را شناسايي كند. بنابراين مي توان از اين معيار در مدل هاي شناسايي خودكار آسيب پذيري نرم افزار، جهت شناسايي قسمت هايي از كد نرم افزار كه داراي آسيب پذيري هستند، استفاده كرد.