Maturity Model for Secure Software Testing

Maturity Model for Secure Software Testing. Masters thesis, King Fahd University of Petroleum and Minerals.

[img] PDF
G201707510_Thesis-Final-Signed.pdf
Restricted to Repository staff only until 29 August 2021.

Download (4MB)

Arabic Abstract

يلعب أمان البرامج حاليً ً ا دور ً ا مهم ً ا في الحوسبة وتكنولوجيا المعلومات نظرا لتأثيره المباشر على جودة البرامج. يتم استخدام أمان البرامج لحماية نظام البرامج من الهجمات الضارة ونقاط الضعف أو الثغرات الأمنية للتأكد من تحقق الأهداف الرئيسية الثلاثة للأمان وهي النزاهة والتوافر والسرية. لحماية نظام البرامج، تميل المؤسسات إلى إنفاق مبلغ كبير من المال لشراء أنظمة كشف التسلل، برامج مكافحة الفيروسات، برامج مكافحة التجسس، وآليات التشفير. ومع ذلك، فإن هذه الحلول ليست كافية، ولا تزال المؤسسات تعاني من المخاطر الأمنية بسبب القائمة المتزايدة باستمرار من الثغرات الأمنية. هناك حاجة متزايدة باستمرار لدمج الأمان في دورة حياة تطوير البرامج (.)SDLC ومع ذلك، لا يزال دمج الممارسات والعمليات الأمنية في المراحل المختلفة لـ ً SDLCيمثل تحديا. اختبار البرمجيات هو المرحلة الهامة من SDLCمن خلال ضمان أمن نظام البرمجيات من خلال الاختبار في مراحل مختلفة أثناء الـ SDLCوقبل الإصدار. الهدف الرئيسي من هذا البحث هو تطوير نموذج النضج لاختبار البرمجيات الآمنة ( )MMSSTلدعم صناعات البرمجيات في اختبار الجوانب الأمنية للبرنامج بشكل جيد. أولاً، قمنا بتنفيذ مراجعة للدراسات السابقة بصورة موسعة ( ) ً MLRوتحتوي على كل ما يدعم تلك الدراسات وبالإضافة أيضا إلى الأوراق العلمية والتي تهدف في المجمل إلى تحديد التهديدات الأمنية المحتملة، تقنيات الاختبار الآمنة، والأدوات من المنظورين الأكاديمي والصناعي. بعد ذلك، استخدمنا طرق بناء نماذج الأمن في مرحلة النضج ( )BASIMونموذج نضج ضمان البرامج ( )SAMMوكذلك البناء المتستمر للنماذج وتصوراته لتطوير النموذج MMSSTالمقترح في هذا البحث.xviii كنتيجة لـ ،MLRحددنا التهديدات الأمنية والتقنيات والأدوات المحتملة القصوى ذات الصلة باختبار البرامج الآمنة. ُ بعد ذلك، الأدلة التي جمعت من MLRتم توليفها لتطوير .MMSSTيتكون MMSSTمن خمس مراحل تمثل 27 منطقة عملية و 178تطبيق. بعد ذلك، تم إجراء دراسات مفصلة لحالة تتبعها حالة لتقييم فائدة MMSSTفي البيئات والتطبيقات الصناعية والتي تمت في بيئة مماثلة للواقع. تشير نتائج الدراسات المفصلة إلى أن MMSSTلديه القدرة على تحديد مستوى نضج مؤسسة لاختبار وتقييم أمان البرمجيات أثناء تطويرها وقبل استخدامها

English Abstract

Currently, software security plays an important role in computing and information technology due to its direct effect on software quality. Software security is used to protect the software system from malicious attacks and vulnerabilities to make sure the three main goals of security namely integrity, availability, and confidentiality. For software system protection, organizations tend to spend an excessive amount of money procuring intrusion detection systems, antivirus software, antispyware software, and encryption mechanisms. However, these solutions are not enough, and organizations continue to suffer security risks due to the ever-growing list of security vulnerabilities. There is an ever-growing need to incorporate security into the Software Development Life Cycle (SDLC). However, incorporating security practices and processes into various stages of the SDLC remains a challenge. Software testing is the important phase of SDLC by ensuring the security of the software system through testing at various stages during SDLC before release. The main objective of this research is to develop a Maturity Model for Secure Software Testing (MMSST) to support software industries in well test security aspects of the software. First, we implemented a Multivocal Literature Review (MLR) to identify potential security threats, secure testing techniques, and tools from both academics andxvi industrial perspective. Next, we used Building Security in Maturity Model (BASIM) and Software Assurance Maturity Model (SAMM) continuous models’ structure and perceptions for the development of our proposed model MMSST. As a result of MLR, we identified the topmost potential security threats, techniques, and tools relevant to secure software testing. Next, the evidence collected from the MLR was synthesized to develop MMSST. MMSST consists of five phases which represent 27 process areas and 178 practices. Next, case studies were conducted to evaluate the usefulness of MMSST in industrial settings in a real-world environment. The case studies results indicate that the MMSST has the ability to identify the maturity level of an organization for secure software testing.

Item Type: Thesis (Masters)
Subjects: Computer
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Sajjad, Mahmood
Committee Members: MAHMOOD, KHAN NIAZI and MOHAMMAD, RABAH ALSHAYEB
Depositing User: GULZAR ALAM (g201707510)
Date Deposited: 31 Aug 2020 06:53
Last Modified: 31 Aug 2020 06:53
URI: http://eprints.kfupm.edu.sa/id/eprint/141710