Readiness Model for Secure Software Acquisition (RMSSA)

Readiness Model for Secure Software Acquisition (RMSSA). Masters thesis, King Fahd University of Petroleum and Minerals.

[img] PDF
Faisal-Alnaseef-MasterThesis.pdf - Accepted Version
Restricted to Repository staff only until 19 March 2023.

Download (1MB)

Arabic Abstract

يعد امان البرمجيات من اهم سمات جوده البرمجيات، ومع ذلك، في كثير من الاحيان يتم تعريف امان البرمجيات على انه ميزه اضافيه، والعديد من شركات البرمجيات يقومون باضافه خصائص امان المعلومات كتحديث بعد اكتمال تطوير البرمجيات. من جهه اخرى تقوم الشركات بانفاق الاموال على برامج مكافحه الفيروسات و الجدار الناريه املاً ان يكون هذا كافياً للحمايتهم، ولاكن حقيقه الامر ان هذه الشركات تضل معرضه لاخطار القرصنه التي تستغل الثغرات الامنيه. هناك العديد من العوامل التي تجعل امان البرمجيات تحدياً كبيراً مثل الزياده الكبيره للبرمجيات المتصله بالانترنت وخطر استغلال المخترقين للمستخدم الغير خبير. للذلك اذا لم يتم تطوير البرامج بالطريقه الامنه، سيجعلها تحتوي على ثغرات امنيه والتي من الممكن استغلالها من المخترقين. مع هذه العوامل والمخاطر تسعى بعض الشركات للشراء برمجيات من المطورين. ولاكن هذه الشركات غير ملمين بتحديات شراء البرمجيات ويصعب عليها معرفة جاهزية الشركات المطوره للبرامج للتطوير برمجيات أمنه. اضافة الى ذلك، لايوجد لدى هذه الشركات طريق للتقييم الشركات من الناحية التقنيه. الهدف من هذا البحث هو تطوير أليه للمساعدة الشركات الراغبة في شراء البرمجيات للاختيار المطور الذي لديه القدره للتطوير برمجيات أمنه. تم استخدام طرق البحث العلميه الحديثه لجمع الممارسات الافضل للتطوير البرمجيات الآمنه التي تعتمد على أركان الامان السته: السريه، التكامل، التوافر،التفويض، المصادقه، المسوليه. تم بعد ذلك تم تقييم فاعليه الممارسات التي تم جمعها، ثم تم عمل دراسه على شركتين في سوق العمل، وتم بالفعل اثبات فاعلية هذه الممارسات

English Abstract

Security is a critical attribute for software quality. Security is often defined as an add-on feature and many organizations incorporate security as a patch after the completion of software development. Additionally, organizations spend a lot of money on the purchase of good firewalls and antivirus programs, thinking that these applications will be enough to make software secure. Nonetheless, such software warehouse remains prone to security risks and cyber-attacks taking advantage of security flaws. There are many factors, which make software security challenging such as the exponential increase in internet-enabled applications, and the threat from hackers and the susceptibility of inexperienced internet users. Thus, if the software applications are not developed securely then they will contain many software vulnerabilities, which can be targeted by hackers. With the increase in software security risks and challenges, organizations tend to procure off-the-shelf products from suppliers. Organizations are not entirely familiar with the challenges of software acquisition. It is imperative to have a complete understanding of how to assess suppliers’ readiness for secure software provision before selecting them. Also, organizations should have a process to evaluate contractual and technical controls before acquiring software. The objective of this research is to develop a Readiness Model for Secure Software Acquisition (RMSSA) to assist organizations in selecting the suppliers who can provide secure software. We have employed state-of-the-art systematic literature review technique to identify the best practices undertaken by organizations when acquiring secure software, which depends on the six core security attributes, namely confidentiality, integrity, availability, authorization, authentication, and accountability. We also developed a readiness model (RMSSA) that can be used to evaluate the process of acquiring secure software. Then, we evaluated the effectiveness of the readiness model for acquisition of secure software in the real-world environment by conducting three case studies.

Item Type: Thesis (Masters)
Subjects: Computer
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Niazi, Mahmood
Committee Members: Alshayeb, Mohammad and Mahmood, Sajjad
Depositing User: FAISAL AL NASEEF (g200742170)
Date Deposited: 22 Mar 2022 08:02
Last Modified: 22 Mar 2022 08:02
URI: http://eprints.kfupm.edu.sa/id/eprint/142078