بهبود امنیت با استفاده از معیارهای استخراج شده از مخازن نرم افزاری- معیار فعالیت توسعه دهنده

ضعف امنیتی و آسیب پذیری در لایه های مختلف سیستم های نرم افزاری، منجر به بسیاری حملات امنیتی برعلیه سیستم های نرم افزاریمی شود. برای بهبود امنیت مولفه های مختلف سیستم، باید به شناسایی و رفع آسیب پذیری پرداخت. روش هایی که برای شناسایی آسیب پذیرینرم افزار وجود دارند، به دودسته، روشهای دستی و خودکار تقسیم می شوند. روشهای دستی، روش هایی هستند که از پایش چشمی کد، برایشناسایی آسیب پذیری، استفاده می کنند. با توجه به دشوار و زمان بر بودن این روشها و زمان و منابع محدود تیم های توسعه دهنده، پژوهشگران بهدنبال روش هایی برای خودکارسازی شناسایی آسیب پذیری نرم افزار هستند. ازجمله این روش ها، استفاده از معیارهای نرم افزاری در مدل هایشناسایی آسیب پذیری است که از چرخه حیات توسعه ی نرم افزار و مخازن نرم افزاری استخراج می شوند. معیار فعالیت توسعه دهنده، معیاری استکه به دلیل تیمی بودن توسعه ی نرم افزار و نقش برجسته فاکتورهای انسانی، در نوشتن کد، بازبینی، نگهداشت و فرآیند توسعه ی نرم افزار، نقشمهمی در مدل های شناسایی آسیب پذیری نرم افزار دارد. با توجه به این مطلب، در این مقاله، با طرح یازده فرضیه، به کاوش معیار توسعه دهنده ازمخزن نرم افزاری و بررسی و تحلیل تاثیر این معیار بر روش های خودکار شناسایی آسیب پذیری نرم افزار، بر یک نرم افزار متن باز (یازده نسخهمرورگر وب موزیلا فایرفاکس)، پرداخته شده است. طی بررسی های انجام شده جهت شناسایی آسیب پذیری، تاثیر چشمگیر معیار توسعه دهنده برفایل های آسیب پذیر، ازنظر آماری معنادار است و این معیار می تواند به خوبی فایل های آسیب پذیر را شناسایی کند. بنابراین می توان از این معیار درمدل های شناسایی خودکار آسیب پذیری نرم افزار، جهت شناسایی قسمت هایی از کد نرم افزار که دارای آسیب پذیری هستند، استفاده کرد.