a)软件安全性工作是其所属系统安全性工作的重要组成部分,由系统提出要求,依据系统要求进行检查和验证,具体要求见GJB 900。 b)软件安全性工作贯穿于软件生存周期全过程,应与软件工程过程活动紧密结合地进行。安全关键软件的开发应按照GJB 2786A-2009的要求进行,同时进行软件安全性策划,开展软件安全性工程活动。软件开发人员应参与软件安全性需求的拟定,并负责实施软件项目策划规定的有关活动,确保所开发的软件产品满足系统的安全性需求。 c)确定计算机软件配置项(CSCI)的安全性等级。在系统分析和设计阶段,系统人员根据系统危险分析结果,确定软件的安全性等级,软件开发人员应参与并提出建议。确定软件安全性等级的方法参见附录A。软件开发人员应依据软件安全性等级确定软件安全性工作的具体范围。 a)决定重用某软件来完成安全关键功能之前,应确定其适用性,并充分分析其安全性影响。在软件开发过程中,应对重用软件产品进行安全性分析和评价工作,并对其进行验证,确保其不存在不可接受的安全性风险。 b)外购(协)软件应按照GJB 5000A-2008中供方协议管理过程域的要求进行管理,并进行安全性分析和评价。 在软件生存周期过程中,通常要使用很多工具,诸如编辑程序、编译程序、调试程序和集成开发环境之类的工具,以及项目管理和配置管理等方面的工具。 为避免工具对安全关键软件的影响,GJB/Z 102A对安全关键软件开发过程中使用的影响可执行代码的软件工具提出了基本要求: b)依据软件工具使用说明,验证开发过程中所使用软件工具功能和性能的正确性、一致性和完整性。 未完待续......
|
|
来自: 郑公书馆298 > 《光电成像探测与夜视》