[CAPESE标准浅谈] GJB 900A-2012《装备安全性工作通用要求》（五）

d) 软件设计安全性分析（工作项目603）

1) 利用可追溯性矩阵，保证在设计中编入了所有的安全性需求，标识了安全性关键部件、单元和数据；

2) 在软件设计评审时，应对软件设计的可测试性、改善软件可测试性的建议，以及安全性关键部件的独立性给予特别关注；

3) 在安全性关键任务中，应重点考虑中断、时序、事件队列、硬件失效、通讯等问题对安全关键功能的影响；

4) 在《软件设计说明》中以独立条款明确记录软件设计安全性分析结果，记录发现的问题，提交设计评审。

e) 软件代码安全性分析（工作项目604）

1) 可利用可追溯性矩阵，确认在代码中编入了所有安全关键软件需求和设计元素；

2) 验证实现安全性关键需求/设计的所有源代码文件，起始处有一个注释区，指出这些文件是安全性关键的；

3) 依照编码标准，可利用工具对代码进行标准符合性检查；

4) 对代码的逻辑、数据、接口、中断和潜在路径等进行分析，并标识出未使用的代码；

5) 将发现的问题和危险，提交危险跟踪闭环系统。

f) 软件安全性测试分析（工作项目605）

1) 验证彻底地测试了所有软件安全性需求；

2) 通过测试验证安全关键软件在载荷、应力、硬件失效和操作员错误等多种条件下，都能正常运行；

3) 通过测试验证其他非安全性关键的软件设计元素的失效不会危及安全性关健功能的执行；

4) 利用可追溯性矩阵，验证测试覆盖了所有软件安全性需求；

5) 利用测试覆盖工具，验证测试覆盖了所有软件安全性关键设计元素；

6) 不能通过测试验证的需求，可通过代码审查验证，并报相关管理部门批准；

7) 在《软件测试报告》中以独立章节明确安全性验证分析内容，统计验证的安全性关键需求、软件单元、相关的记录文档，以及与预期要求不一致的全部问题或质疑；

8)《软件测试报告》应提交评审；

9) 如果发现了新的危险，应协助系统人员进行危险分析，并确定必须采取的措施。

g) 运行阶段的软件安全性工作（工作项目606）

1) 组织有关专家对软件运行文档进行审查，保证在文档中清晰地标识了所有安全性相关的命令、数据、输入序列等系统安全运行所必需的全部信息，包括错误消息描述和纠正措施；

2) 制定运行阶段的软件安全性工作计划，策划软件维护(更改与升级)、培训等活动中软件安全性相关工作的要求、流程、完成形式、人员等，提出产生、实现、追溯和验证安全性关键需求的机制；

3) 任何安全性关健软件需求的更改，必须报相关管理部门批准；

4) 任何软件的维护(更改与升级)，必须进行软件更改影响分析，确定回归测试的范围与层次；

5) 在软件交付之前，完成回归测试、验证覆盖分析和相关评审。

轻松一刻

鲨鱼看着一个滑浪风帆运动员说：“招待真周到。既有早餐，又有盘子和餐巾。”