Security Assessment Framework for Software Design

Security Assessment Framework for Software Design. Masters thesis, King Fahd University of Petroleum and Minerals.

[img] PDF
Thesis.pdf - Accepted Version
Restricted to Repository staff only until 29 February 2021.

Download (2MB)

Arabic Abstract

يعد أمن البرمجيات أحد أهم مواصفات الجودة، و هو عبارة عن تصميم وتطوير البرنامج بطريقة لا تسمح بخرق سلامة أو سرية شفرته أو بياناته أو التأثير على توفر خدمة البرنامج للمستخدمين. تميل المؤسسات إلى اعتبار أمن البرمجيات مسألة ثانوية وهي ما زالت تعاني من مخاطر أمنية، بينما يتطلب تطوير البرمجيات الآمنة مراعاة الأمن في جميع مراحل تطويرها. تم تطوير العديد من الأساليب لتحسين جودة البرمجيات مثل تكامل نموذج نضوج المقدرة، لكن لم تتم معالجة المشاكل المتعلقة بأمن البرامج بطريقة مناسبة، ويظل دمج ممارسات الأمن في دورة تطوير البرنامج تحديًا. الهدف من هذه الرسالة هو تطوير إطار عمل لتحسين عملية تصميم المنتجات الآمنة في مؤسسات تطوير البرمجيات. لتحقيق هذا الهدف تم إجراء مراجعة متعددة البؤر لتحديد الدراسات ذات الصلة في كل من الأدب الرسمي والرمادي. نتج عن هذه المراجعة استخراج 71 ممارسة أمنية من 47 دراسة أولية، وتم تصنيف هذه الممارسات إلى 8 مجالات معرفية لبناء إطار تقييم أمني لتصميم البرمجيات .تم تطوير الإطار استنادًا إلى هيكل تكامل نموذج نضوج المقدرة الإصدار 2.0 وتم تقييمه من خلال دراسة الحالة في بيئات حقيقية. سوف يساعد الإطار المقترح المؤسسات في تقييم وتحسين الممارسات الأمنية المتبعة في تصميم البرمجيات. كما أنه سيوفر الأساس للباحثين لتطوير أساليب جديدة لأمن البرمجيات.

English Abstract

Security is one of the most important software quality attributes. Software security is about designing and developing secure software that does not allow the integrity, confidentiality, and availability of its code, data, or service to be compromised. Organizations tend to consider security as an afterthought issue and they continue to suffer from security risks. Developing secure software requires taking security into consideration in all phases of the Software Development Life Cycle (SDLC). Several approaches have been developed to improve software quality, such as the Capability Maturity Model Integration (CMMI). However, software security issues have not been addressed in a proper manner, and incorporating security practices into the SDLC remains a challenge. The objective of this thesis is to develop a framework to improve the process of designing secure products in software development organizations. To achieve this objective, a Multivocal Literature Review (MLR) was conducted to identify the relevant studies in both formal and grey literature. A total of 47 primary studies were identified, and the extracted evidence was synthesized into 71 best practices under 8 knowledge areas to build a Security Assessment Framework for Software Design (SAFSD). The framework was developed based on the structure of the Capability Maturity Model Integration (CMMI) v2.0 and evaluated through case studies in real-world environments. SAFSD will assist organizations in evaluating and improving their software design security practices. It will also provide a foundation for researchers to develop new software security approaches.

Item Type: Thesis (Masters)
Subjects: Computer
Divisions: College Of Computer Sciences and Engineering > Information and Computer Science Dept
Committee Advisor: Mahmood, Sajjad
Committee Members: Mahmood, Sajjad and Alshayeb, Mohammad and Niazi, Mahmood
Depositing User: HASSAN AL-MATOUQ (g201401280)
Date Deposited: 17 Jun 2020 15:40
Last Modified: 17 Jun 2020 15:40
URI: http://eprints.kfupm.edu.sa/id/eprint/141470