A Model For Incorporating Security Practices into Requirement Phase

A Model For Incorporating Security Practices into Requirement Phase. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]
Preview
PDF
Master_Thesis_-_RESMM-_Ashraf_Saeed.pdf

Download (4MB) | Preview

Arabic Abstract

تعتبر الحماية من اهم المفاهيم في العديد من البرمجيات، حيث ان العديد من البرمجيات تمتلك بعض المشاكل والثغرات بالنسبة للحماية وذلك نتيجة لارتباط معظم البرمجيات بالأنترنت. هذه الثغرات ممكن ان تتواجد في مختلف مراحل تطوير البرمجيات على سبيل المثال في مرحلة جمع المتطلبات او في مرحلة تصميم البرمجيات او في مرحلة تطبيق البرمجيات عن طريق الكود و ..الخ. فبالتالي التطرق لمشاكل الحماية في مرحلة جمع البيانات سوف يساعد على تجنب إعادة بناء البرمجيات من جديد. فالممارسات الأمنية في مرحلة جمع البيانات تتطلب معرفة ما هي هذه الممارسات التي يجب اتباعها من اجل بناء نظام أمن. فالغرض من هذه الدراسة هي بناء نموذج نضوج لأمنية هندسة المتطلبات يدعى RESMM من اجل مساعدة منظمات تطوير البرمجيات في تحديد المتطلبات لبناء نظام آمن بطريقة جيدة. بالإضافة الى ان العائد من هذا البحث هو مساعدة منظمات تطوير البرمجيات من القدرة على قياس مقدار نضوج تحديد المتطلبات من اجل بناء نظام آمن. وفي الأخير فإن هذا العمل سوف يجعل من منظمات تطوير البرمجيات بأن تكون في محل ثقة من أحل إيصال البرمجيات بأكثر أمنية. فقد تم اعداد دراسة بطريقة منتظمة (SLR) من اجل معرفة ما هي الممارسات المتوفرة في الأبحاث السابقة. فبعد ان تم تحديد ما عي هذه الممارسات المتوفرة في الدراسات السابقة فإنه تم تصنيف هذه الممارسات الى سبع مجموعات. كل مجموعه تحتوي على العديد من الممارسات التي تم الحصول عليها سواء عن طريق الدراسات السابقة او عن طريق الاستبيان الذي تم عمله مع مجموعة من الشركات من اجل معرفة ما هي الممارسات الأمنية المستخدمة في تلك الشركات. فقد تم بناء الاستبيان بناءً على معظم ممارسات الموجودة في كتاب Sommerville، ولقد تم توزيع قائمة الاستبيان على 10 شركات من اجل معرفة ما هي الممارسات الأمنية التي يتم استخدامها في تلك الشركات. فلقد تم استخدام نتائج الاستبيان في بناء نموذج النضوج. فبعد ان تم بناء النموذج (RESMM) فقد تم تطبيق النموذج الذي تم بناءة مع بعض الشركات من اجل عمل تقييم لهذا النموذج في بيئة العمل. فقد ظهرت النتائج عن قابلية استعمال هذا النموذج من اجل معرفة مستوى النضوج للممارسات الأمنية في منظمات البرمجيات.

English Abstract

Security is considered a critical aspect of software development. Many software programs have different processes or issues with respect to security due to the growth of internet-enabled products [1]. These flaws might exist in different phases of software development lifecycle, such as the requirement phase, design phase, coding phase, etc. [2]. Thus, tackling security at the requirement phase will help to avert the need for rework [3]. Security practices in the requirement engineering stage of software development require knowledge of these practices in order to create secure software. The aim of this research is to develop a Requirement Engineering Security Maturity Model (RESMM) to assist software development organizations in better specifying the requirements for secure software. In addition, the outcomes of this research are expected to provide software development organizations with the ability to measure their maturity of requirement specification for secure software. Eventually, this work will put software development organizations in a better position to deliver software that is more secure. Systematic Literature Review (SLR) has been conducted to identify security practices existing in literature. The identified security requirement practices have been classified into seven categories. Each category contains different security practices that are gathered by the conducted SLR. These practices have been used in addition to the Sommerville [4] practices to develop the questionnaire tool, which was later distributed to ten organizations to highlight the most common security practices they use. These practices have been used in the development of RESMM. Two case studies were conducted with two software development organizations for the sake of RESMM-based assessment. Furthermore, two post-case studies have been done with two software development organizations to evaluate the applicability of RESMM in identifying the capability maturity levels of security practices in software organizations.

Item Type: Thesis (Masters)
Subjects: Computer
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Niazi, Mahmood
Committee Members: Alshayeb, Mohammad and Mahmood, Sajjad
Depositing User: ASHRAF SAEED (g201403260)
Date Deposited: 27 Dec 2018 12:39
Last Modified: 31 Dec 2020 09:06
URI: http://eprints.kfupm.edu.sa/id/eprint/140862