ISSN 1673—9418 C0DEN JKYTA8 E—mail:fcst@vip.163.corn Journal of Frontiers of Computer Science and Technology http://www.ceaj.org Tel:+86..10..51616056 1673—94181201 1/05(06)一0501—12 DOI:10.3778/j.issn.1673—9418.2011.06.003 基于证据的可信软件过程评估方法 杜 晶 ,2+,杨 叶 ,王 青 ,李明树1,3 1.中国科学院软件研究所互联网软件技术实验室,北京100190 2.中国科学院研究生院,北京100049 3.中国科学院软件研究所计算机科学国家重点实验室,北京100190 Evidence.Based Trustworthy Software Process Assessment Method DU Jing , ,YANG Ye ,WANG Qing ,LI Mingshu ' 1.Laboratory for Internet Software Technologies,Institute of Software,Chinese Academy of Sciences,Beijing 100190.China 2.Graduate University,Chinese Academy of Sciences,Beijing 1 00049,China 3.State Key Laboratory of Computer Science,Institute of Software,Chinese Academy of Sciences,Beijing 100190,China +Corresponding author:E—mail:dujing@itechs.iscas.ac.cn DU Jing,YANG Ye,WANG Qing,et a1.Evidence—based trustworthy software process assessment method・ Journal of Frontiers of Computer Science and Technology,2011,5(6):501-512. Abstract:Among the existing assessment methods for trustworthy software process,the results are largely based on assessors’knowledge and experience,which will compromise the objectivity of those results.To address this prob- lem.all evidence—based trustworthy software process assessment method(EB—TSPAM)is proposed.Based on pre— vious research results of trustworthy software process management,by measuring the practical process data and converting them into evidences for assessment。EB—TSPAM assesses the trustworthiness of software process based on evidences.which fuliflls the goal of management enhancement.The method is based on practical process data during the software development and takes various factors influencing software trustworthiness into consideration・ In this way.EB.TSPAM can avoid individual biases on assessment results and eventually guarantee the objectivity *The Nationa1 Natura1 Science Foundation of China under Grant No.90718042(国家自然科学基金);the National Grand Basic Research 973 Program of China under Grant No.2007CB310802(国家重点基础研究发展规划(973));the National High—Tech Research and Devel0pment P1an of China urider Grant No.2007AA010303,2007AA01Z186(国家高技术研究发展计划(863))・ Received 2011-02,Accepted 2011-04. 502 Journal ofFrontiers ofComputer Science and Technology计算机科学与探索 and completeness of the assessment results. Key words:trustworthy software;software process trustworthiness;trustworthy process assessment;evidence—based 摘要:现有软件过程可信性评估方法中,评估结果往往基于评估人员的主观经验,其准确性和客观性无 法得到保证。为解决这个问题,提出了一种基于证据的可信软件过程评估方法(evidence—based trustworthy software process assessment method,EB.TSPAM)。该方法以可信软件过程管理研究成果为基础,度量过程数 据,生成软件过程可信性评估证据,并基于证据对软件过程进行可信性评估,达到加强有效过程管理的目 的。以软件开发过程中的实际数据作为评估基础,全面考虑软件过程中影响可信性的各种因素,避免了由 评估人员主观判断对评估结果产生的负面影响,保证了最终评估结果的准确性、客观性和全面性。 关键词:可信软件;软件过程可信性;可信过程评估;基于证据 文献标识码:A 中图分类号:TP311 1 引言 在过去的几十年中,软件系统被越来越广泛地 究报告IlIJ也指出,现有的系统评估应该基于软件系 统开发过程的评估,同时报告还强调了过程执行中 评估证据保存的重要性。然而现有的基于过程的可 应用到社会各行各业中。然而随着软件规模的不断 增大,复杂度不断增强,软件系统在使用过程中出 现了各种故障和失效,直接或间接地带来了巨大的 经济损失,甚至威胁到了人们的生命安全Il 】。因此 信软件评估方法,如TSM等,仅通过判断若干影响 软件可信性的过程实践的实现情况来完成对软件 过程可信性的评估。此类软件过程可信性的评估过 多地依赖于评估人员的主观认识和经验,评估过程 中介入了评估人员的主观因素,评估结果的准确性 和客观性将受到影响。 各种软件质量保障增强技术和方法陆续出现,以提 高软件质量,解决软件系统使用中的可信性问题。 然而随着“软件过程也是软件,,[3-41这一著名论断的 提出和发展,软件过程概念及其相关方法研究逐渐 在学术界和工业界得到广泛认可。从过程角度来保 基于前期研究工作,文献[12—13]提出了一个可 信软件过程管理框架。该过程管理框架为软件过程 可信性评估提供了过程支撑和保障。在此基础上本 文提出了一种基于证据的可信软件过程评估方法 (evidence—based tustworrthy software process asse— 证软件可信性逐渐成为可信软件研究的热点,研究 人员随之提出了多种保障和改进软件过程可信性 的模型、方法及标准。在这些模型、方法和标准中, 最具有代表性的有20世纪80年代末出现的“可信 软件方法学”(tustred software methodology,TSM) , ISO2700 国际标准,美国国家计算机安全中心提 ssment method,EB.TSPAM)。EB.TSPAM方法基于 对软件开发组织中实际项目的过程数据进行采集 和可信性度量得到的可信度量数据,以软件过程可 信证据模型为支撑获取可信证据数据,通过特定的 出的针对安全系统的标准可信计算机系统评估标准 (tusrted computer system evaluation criteria.TCSEC) 转换算法生成可直接用于可信性评估的评估证据, 并借鉴TSM的可信分级方式,基于评估证据对软 件过程进行可信性等级评估。由于采用实际的项目 开发数据作为评估基础,并全面考虑在软件执行过 以及针对系统安全工程的能力成熟度模g ̄(systems security engineering—capability maturity model,SSE— CMM)[91等。 在2006年的国际软件工程大会(ICSE)上, 程中影响软件可信性的各种因素,该方法实现了量 化评估软件的可信性,避免了现有评估方法中由评 估人员主观定性判断带来的评估方法不客观、片面 Boehm教授指出,软件的可靠性已经成为软件发展 的一个重要趋势『l 。2007年的美国可靠软件系统研 504 Journal ofFrontiers ofComputer Science and Technology计算机科学与探索 2011,5(6) 架(framing phase)和评估(assessment phase)。构建框 架阶段来自工业界、政界、学术界的成员就可靠软 所提出的评估方法便是基于之前提出的可信软件 过程管理框架[12-13,19]。在该框架的支持下,对过 件系统的多项话题进行了讨论。随后在为期两年的 评估阶段中,委员会通过开放式研讨、电话采访等 多种形式收集可靠软件系统领域内各类专家的意 见。通过整理和分析,委员会形成了对目前软件系 程数据进行采集度量,为软件过程可信性评估提供 依据。 3.1可信软件过程管理框架 可信软件过程管理框架(trustworthy process 统可靠性现状的认识,并对提高系统可靠性提供了 建议。在报告中,委员会提出一种3Es方法(the three Es):详尽陈述(explicit claims)、证据支持(evidence) 和专家意见(expertise)。该研究强调软件系统可靠性 评估和认证的证据必须由软件开发过程加以记录 和保证,因此针对软件过程可信性的评估也应当由 相应的可信软件过程予以支持和保障。 在可靠软件系统研究中,虽然研究人员提出了 可靠软件系统开发的概要方法,同时也强调了过程 对可靠性评估证据保存的重要性,但该研究就可靠 性评估并未给出具体的方法或是建议,对于软件系 统可靠性的不断改进和提高缺乏明确的指导方向。 2.4其他信息安全与可信度量相关研究 其他可信软件过程研究包括TCSEC[81标准、 SSE.CMM模型、通用标准(common criteria,cc) /J 等。这些标准模型大多只针对安全或保密性制定了 评估标准,忽视了其他如功能性、可靠性、可兼容 性、可移植性等影响软件可信性的重要属性。 针对具体的可信度量研究,一些研究者提出了 基于可信树的软件可信度量评估方法Il引。该方法以 决策树为基础,引入信息安全等级,提出可信树这 一新的概念,并利用可信树对软件可信性进行评 估。然而该方法海量收集影响可信因素的方式使得 可信因子选取的准确性受到了挑战,此外对可信因 子的评分完全依靠专家判断,难以保证评估结果的客 观公正性。因此,需要一个全面完整客观的可信软件 过程评估方法来解决目前各研究成果中存在的不足。 3基于可信软件过程管理框架的可信证据 建模 根据可靠软件系统研究 ¨ ,软件过程可信性的 评估必须由可信软件过程提供评估证据。因此本文 management framework,TPMF)是基于传统软件过 程管理SoftPM ̄ 。Ⅲ2 的可信扩展。为实现可信的软 件过程管理,TPMF扩展了能力成熟度模型集成 (capability maturity model integration,CMMI) 的 过程域(process area,PA)概念,提出了可信过程域 (trustworthy process area,TPA),并将TSM方法学中 可信原则TP对应到不同的TPA上来。TSM可信等 级评估由TP支持(如图1),因此TPMF实现了从可 信过程实践到可信性等级的自动对应。TPMF结构 如图2所示 引。 Fig.2 Trustworthy process management framework 图2可信过程管理框架图 本文提出的基于证据的可信软件过程评估方法 即由TPMF中的度量模型及过程可信性模型提供评 估证据,而作为同期研究的其他模型将不在本文范 围内进行介绍。 3.2软件过程可信度量模型 如上文所述,可信软件过程评估由可信软件过 程支撑,对实际项目过程数据进行可信性度量。而 对过程数据的可信性度量则是以可信度量模型为 基础的。本文在之前的度量模型研究成果l2 上进 行可信性扩展,提出了包含若干个软件开发过程中 杜 晶等:基于证据的可信软件过程评估方法 505 影响软件可信性度量指标的软件过程可信度量模 型。这些度量指标根据现有学术界的研究成果和工 MetricsModel={Metricl,Metric2,...,Metric } 其中,n表示可信度量指标的数量。 实际项目开发过程中的每次可信度量是对可信 度量模型的一次实例化,能够得到对应于可信度量 业界的实践经验而制定。可信度量指标进一步映射 到过程实体、过程行为、过程产品三个维度上。而 在每个维度上,可信度量指标继续分为质量可信、 成本可信和进度可信三类。可信度量模型中的每一 指标的可信度量数据集合MetricsDataSet,表示为: MetricsDataSet={MetricsDatal,MetricsData2…. 可信度量指标数据结构可具体定义为以下一个五 元组: Metric=(Name,Description, Measurement-Instruction,Type,Unit) Name表示该度量指标的名称。 Description是针对该度量指标的详细描述信息。 Measurement.Instruction是针对该度量指标的 详细指南,包括该度量指标在哪个开发阶段采集, 由哪些相关角色参与,以及得到该度量指标对应的 相关算法等信息。 Type表示度量指标对应的数值类型,例如分级 类型、数值类型等。 Unit表示该度量指标对应的数值单位。 以过程产品维度上,质量可信类别中与需求产 品相关的度量指标为例,可信度量指标的具体形式 表示为: (1)UsrSofTrac表示用户需求与软件需求的可 跟踪程度。在需求管理阶段由需求开发人员与度量 分析人员分析需求相关文档得到。取值分为很低、 低、标称、高和很高五级。 (2)SofSysTrac表示软件需求与系统需求的可 跟踪程度,在需求管理阶段由需求开发人员与度量 分析人员分析需求相关文档得到。取值分为很低、 低、标称、高和很高五级。 (3)ReqReli表示需求依赖密度,在需求管理阶 段由需求人员与度量分析人员采集,由依赖关系的 需求数除以总需求数得到。数值单位是百分比。 (4)Ex ̄aReli表示项目以外相关需求比,在需 求管理阶段由需求人员与度量分析人员采集,由项 目外相关需求数除以总需求数得到。数值单位是百 分比。 进一步可信度量模型可以表示为以下形式: MetricsData ) 其中,可信度量数据MetricsData 与可信度量指标 Metric 相对应。因而,可信度量数据的数据结构可 以定义为以下形式: MetricsData=(Metric,Value) Metric是对应于该可信度量数据的度量指标的 数据结构。 Value则表示此次度量得到的数值。 3.3软件过程可信证据模型 如文献[11】所强调,软件过程评估应该是基于 事实证据的。而本文的可信软件过程证据则是以可 信度量模型为基础进行建模的。在建模过程中,借 鉴了TSM方法以可信原则TP作为评估证据的思想, 因此软件可信证据建模也围绕支持TSM分级准则 这个目标来进行。考虑将度量指标与TSM可信原 则建立多对多的映射关系,从而对软件过程可信证 据建模,实现实际过程数据对评估决策的支持。 建立可信度量指标与可信原则映射关系的具体 方法是,将可信度量模型MetricsModel中的可信度 量指标Metric1,Metric2….,Metric 与TSM的44个 可信原则TP建立多对多的映射关系。而建立映射 关系的原则是: (1)若可信原则表示为软件过程实践的形式, 某可信度量数据能够通过执行该过程实践度量获 得,或可由该实践的度量数据同其他度量数据组合 推导得出,或该度量数据的变化对该实践执行有影 响,则将该度量数据与该可信原则建立映射关系。 (2)若可信原则表示为影响软件可信性的工作 产品的形式,则与该工作产品有直接或间接联系的 度量数据与该可信原则建立映射关系。 (3)若可信原则表示为推荐方法的形式,则包 括该方法的输入数据、输出数据、方法内部产生的 杜 晶等:基于证据的可信软件过程评估方法 EB—TSPAM方法以TPMF为支撑和保障手段, 以通过软件过程可信度量模型度量得到的可信性 度量数据为输入,在可信证据模型的支持下,通过 特定的算法将证据数据转换为可直接用于软件过 程可信性评估的评估证据,并最终基于评估证据对 软件过程进行可信性评估。本文提出的EB—TSPAM 方法借鉴了TSM可信性等级评估准则。而TSM的 评估是以44个可信原则TP为基础的,可信性等级 的判断依据是该等级上要求的可信原则是否满足 以及满足的程度。然而是与否的主观定性判断给评 估结果的正确性和客观性都带来了较大影响。为克 服TSM评级中的主观因素影响,EB.TSPAM方法采 用由实际项目过程数据转换的评估证据支持评估 决策,定量地为可信软件过程提供全面客观的评估。 4.1生成评估证据 在经过一次实例化软件过程可信度量模型,进 而实例化可信证据模型后得到一组软件过程可信 证据数据: EvidenceData={EData 1,EData2,…,EData44} 然而这些证据数据作为具体的过程数据,其数 值仍然不能直接用于决策判断。因此需要通过一个 特定的转换算法将这些证据数据转换为可以直接 支持判断可信原则满足情况的评估证据。对于不同 的软件开发组织、不同的软件项目类型而言,即使 达到相同的可信性等级,软件项目开发的过程执行 情况也可能存在非常大的差异。因而对软件进行可 信性评级时考虑了软件组织和项目类型这两个属 性。另外对于一个可信的软件开发过程而言,首先 应当是一个成熟稳定的过程。因此基于以上因素,本 文提出了一种基于个体组织可信基线的转换算法。 在评估证据生成过程中,预先设定一个过程可 信基线集合BaselineSet,基线集合里包含对应于所 有可信度量指标Metric的可信基线数据BData。对 于一个较为成熟的软件开发组织来讲,可信基线可 由本组织根据该组织自身的历史项目数据和软件 项目开发状态而设定。对于没有或是历史项目稀少 的软件开发组织来讲,该方法会根据中国软件过程 基准用户组(Chinese Software Benchmark Standard 507 Group,CSBSG,http://www.csbsg.org/)数据及行业实 践经验提供一个缺省的可信基线供软件组织参考。 但无论对于哪种情况而言,可信基线并不是一成不 变的,随着组织实际经验的增加和历史项目的积累, 以及组织开发过程能力的不断稳定和增强,应对可 信基线数据做出适当的调整,以符合组织软件过程 可信性改进的实际情况。过程可信基线集合 BaselineSet具体表示为以下形式: B口 f f={ Data i,BData2….,BDatan} 其中每个可信基线数据BData的数据结构具体描述 为以下三元组: BData=(Metric,BValue,BScope) Metric表示对应于该可信基线数据的可信度量 指标。 BValue表示软件组织为Metric这一度量指标制 定的可信基线数据值。BValue反应了该组织在此类 软件过程上的可信性能力。 BScope表示软件组织为Metric这一度量指标 制定的可信区间。BScope反映了该组织在此类软件 过程上的可信性稳定性。 由软件过程可信证据模型EvidenceModel的结 构可知,BaselineSet中的各基线数据可进一步整理 为对应于TSM中44个可信原则的基线数据子集的 集合BDSet。具体形式表现为: BDSet={BD1,BD2….,BD44} 其中,BD 表示对应于EvidenceData中EData 的可 信基线数据子集。而针对某个具体的BD 则可表 示为以下形式: BDi={BDatail,BDatai2,…,BData0}, (1≤i≤44,1≤ ≤n) 其中,BData 是与EData 中的MetricsData 『丰目对应 的可信基线数据,本文提出的算法便是以BData , 与MetricsData 的对应关系作为基础的。此外,为 了将证据数据转换为评估证据,假设对应于证据数 据EData存在集合AssValue,AssValue表示为: AssValue={edl,ed2….,ea44} 而 进一步可以表示成一个二元组: edi=(EVi,Evidence Valuei) EVe为一个若干0/1数值的集合,具体表示为: 508 Journal ofFrontiers of Computer Science and Technology计算机科学与探索 EVi={evil,evi2….,evij},(1≤f≤44,1≤ ≤n) 级评估的评估证据,将该集合作为可信性等级评估 功能模块的输入,为本组织的软件开发过程进行基 EvidenceValuef为一个[0,1]区间的数值,依照下 列公式计算可得EvidenceValue 的具体取值: EvidenceValuei=于TSM可信等级的可信性评估。 撂 ] 4.2可信性等级评估 在可信性等级评估功能模块中,评估证据将被 用来定量地支持可信性评级的判断。该方法借鉴了 对evf,而言,具体取值算法如下所述:将EDam 中的数据MetricsData 与BDi中的BDataij进行比较, 如果MetricsData 中的Value落在BDam 中BValue 这一数值对应的BScope区间内,则evo=1,表示该 数据支持第i个可信原则被满足的判断,否则e1)ro=0, 表示该数据不支持第i个可信原则被满足的判断。 最终对软件可信性进行等级评估决策支持的评 估证据表示为以下形式: AssEvidence={EvidenceValuea,EvidenceValuez…., Evidence Value44) 基于组织可信基线生成评估证据AssEvidence 的过程可以表示为算法1。 算法1基于组织可信基线的证据数据生成算法 function EvidenceDataFormationn(EvidenceData,BDSet) { lfoat[Ⅱ】EV; lfoat【】AssEvidence; for( 1; <=44; +) { ofr(『=l <=第i个可信原则映射的度量指标 个数 ++) { int sum=O; if(MetricsData 中的Value位:t:BData 中BValue对应的BScope区间内) EⅥ司【,】=1; EV[ 【,】=0; sum=+EV[妇[『]; } EvidenceData[i]=sum/(j-1); } return AssEvidence; } 由该算法得到的含有44个[0,1]区间数值的集 合AssEvidence即为可直接支持软件过程可信性等 TSM提出的可信性分级方式,将软件可信性分为从 到 逐步递增的六个可信等级。 为可信性初始 等级,表示软件开发过程未实施任何可信性增强措 施来保障软件的可信性。而 则是可信性最高等级, 表示组织采用了可信保障或增强方法及技术,生产 的软件最大信心程度地满足了软件既定的需求。 TSM方法中软件过程的可信性具体被评估为符合 到 的哪一可信等级必须通过对44个可信原则 的满足情况进行判断得到。本文介绍的EB.TSPAM 方法中,44个可信原则的满足情况不再由评估人员 主观判断得到,而由评估证据的具体数值客观定量 地反映,最大程度避免了TSM评估方法结果不客 观、不准确的缺点。 EB—TSPAM方法中对软件过程可信性等级评估 具体的步骤是: (1)依照TSM评估方法, 为最低可信等级, 不需要满足任何可信原则,因此设置0.5作为可信 原则满足的最低阈值。检查AssEvidence集合中的 每个元素EvidenceValuef,若EvidenceValue ≥0.5,则 表示第 、可信原则在 上被满足,若EvidenceValue,< 0.5,则表示第i个可信原则在丁1上没有被满足。统 计出所有在 上得到满足的可信原则编号i的集合 Ⅳ1。而根据TSM的评级准则,达到可信等级 应 该满足的可信原则编号集合为7-Ⅳ ,若 1 l,则 该软件过程至少达到可信性等级 ,否则该软件过 程被评估为可信等级 。 (2)当软件过程被评估为达到可信等级 时, 则在此基础上进一步判断该软件过程是否达到更 高的可信等级 。对于 的评估是基于丁1评估过 程的。将 评估中的Ⅳ1分为两个子集Ⅳ21、Ⅳ22,其 中 l表示0.5≤EvidenceValue <0.6所有i的集合, 杜 晶等:基于证据的可信软件过程评估方法 Ⅳ22表示EvidenceValue ≥0.6所有i的集合。 根据TSM评级准则,达到可信等级 需要满 足的可信原则分为三部分: ① 等级不需要满足而 需要满足的新增可 信原则; ② 与 都要求的满足程度相同的可信原则; ③达到 基础上要达到 新增了增强满足需 求的可信原则。 将前两者的可信原则编号组成编号集合TN2 , 后者形成编号组合 2。若(TN21_cN21)&&( 2 N22),则说明该软件过程至少达到可信等级 ,需要 进一步对该软件过程可信性是否达到 等级进行评 估,反之则判定该软件过程达到可信等级 。 (3)依次类推,可信性评级功能模块遵循以下 准则对软件过程进行更高级别的可信性等级评估: ①低一等级无需满足而该等级要求满足的可 信原则EvidenceValue值应当大于或等于0.5; ②每当新增了增强满足需求时,对应的可信 原则的评估证据数据的EvidenceValue值应当在低一 等级EvidenceValue值的基础上递增0.1; ③无新增增强需求的可信原则对应的Evidence— Value值维持低一等级的要求。 根据以上的可信软件过程评估方法步骤,对对 应于44个可信原则的EvidenceValue值进行分析, 最后判定出该软件过程的可信性等级。 5示例与讨论 该部分将以需求管理为例具体研究如何利用 EB.TSPAM方法对软件过程可信性进行评估,并就 EB—TSPAM与现有软件过程可信性评估方法的区别 加以讨论。 5.1 EB.TSPAM方法示例 需求管理过程是软件开发过程中的一个重要环 节,包括管理需求变更、维护需求双向可跟踪性及 识别工作产品与需求不一致等活动。与需求管理活 动相关的TSM可信原则包括丁P1审计、 5配置管 理、 12多人控制以及 22需求可跟踪性。本节将 以 22需求可跟踪性为例研究EB—TSPAM方法的 509 具体实现。 22:需求可跟踪性。对于明确的系统需求或 客户来源,所有的软件需求应保持可跟踪性,并且 分配给计算机软件配置项的系统需求对于软件需 求而言也应该是可跟踪的。 以TP22需求可跟踪性作为示例,分析可信度量 指标与可信原则TP的映射关系,可知与 2相关 的可信度量指标为上文具体介绍的UsrSofTrac、 SofSysTrac、ReqReli和Ex ̄aReli四个度量指标,从 而得到该可信原则对应的证据模型Evidence22。假 设对于一个开发信息系统(information system,is)的 成熟软件组织来讲,对应于以上四个可信度量指标 的可信基线数据及项目Projectl可信度量所得的实 际度量数据如表1所示。 Table 1 Metrical data and baseline data for Z1尸22 表1 TP22对应的度量与基线数据 基线数据名 可信度量数据可信基线数值可信区间值 因此由表1中的四个可信度量数据,可实现可 信证据模型的一个实例化,得到关于 22的证据数 据EDam22。然后根据本文介绍的算法1,将证据数据 EDam22转换为支持 22的评估证据EvidenceValue22, 为EvidenceValue22=O.75。依照该过程对44个评估 证据进行计算,最后按照上文所述的评估判断步骤 对Projectl的过程可信性进行评级。具体示例过程 如图5所示。 5.2 EB.TSPAM方法讨论 通过对EB。TSPAM方法的详细介绍与上述示 例,可以看出EB—TSPAM方法与包括TSM评估方 法在内的其他可信评估方法相比优势在于: (1)利用可信基线数据判断软件过程的可信性, 以实际过程数据作为证据,而不是由专家或评估人 员主观地对过程执行情况进行是否可信的判断,保 证了检测过程的客观性和可信性; 510 Journal ofFrontiers fComputoer Science and Technology计算机科学与探索 Fig.5 Assessment of 22 图5 TP22的评估过程 (2)由多个度量数据对应一个证据数据集,进 而支持一个可信原则的判断,通过求和平均的方法 推导出某个可信原则是否被满足,而不是仅由是非 判断来决定,保证了可信性影响因素都能被考虑进 来,保障了评估结果的全面性; (3)对于递增的可信等级,不再是定性地考虑 可信原则中增强需求是否满足,而是定量地用证据 数据的数值递增对应新增需求要求,避免了人为判 断的模糊性和主观性 应用EB—TSPAM方法对软件过程可信性进行 等级评估,可以为软件组织可信开发过程进行全面 客观准确地评估,指导可信软件过程的不断改进, 以期成功开发出满足客户需求的可信软件系统。 6结束语 随着软件系统朝着大规模复杂性分布式系统的 不断发展,软件系统的可信性成为开发和使用软件 的关键点。对开发过程进行管理控制以提高软件质 量的思想已被学术界和T业界广泛接受。基于以上 考虑,本文提出了一种基于证据的可信软件过程评 估方法EB—TSPAM。该方法以可信软件过程提供的 支持和保障为基础,根据实际的项目过程数据,借 鉴TSM的可信性分级及评估方式,能够对软件过 程可信性进行客观全面公正的等级评估。避免了现 有评估方法中主观认识和判断引起结果偏差现象 的出现,又解决了单一判断影响评估结果全面性的 问题,对可信软件过程评估提供了理论基础和实践 依据。 作为进一步的研究工作,计划在实践中对软件 过程可信性评估中使用的可信度量指标集合进行 不断的更新,使之能够更客观、更全面地反映软件 过程数据对于可信性的影响,更好地支持可信性评 级。作为EB.-TSPAM方法理论的辅助,计划开发相 应的可信评估工具,以实现评估过程的自动化,减 少人员成本。同时将研究其他的证据数据转换算法, 或是将现有的算法如层次分析法(analytic hierarchy process,AHP)或其他算法的组合引入到证据数据的 转换过程中,进一步改进本文方法中的数据转换过 程,提高评估结果的精确度。 R,eferences: 【1】Pittsburgh.CERT/CC statistics 1988—2005[R/OL].(2006-02) http://www.cert.org/stats/certstats.htm1. _【2】Finkelstein A,Fuks H.Mulitparty specification[C]//Pro— ceedings of the 5th International Workshop on Software Specification and Design,Pennsylvania,USA.New York. N Y.USA:ACM,1989:185—195. 【3】Osterweil L J.Software processes are software too[C]// Proceedings of the 9th International Conference on Soft— ware Engineering(ICSE’87).Los Alamitos,CA,USA: IEEE Computer Society Press,1987:2-13. 【4】Osterweil L J.Software processes are software too,revis— lfed:an invited talk on the most influential paper of ICSE 9[C]//Proceedings of the 19th International Conference on Software Engineering(ICSE’97).New York,N USA:Aq0M.1997:540-一-548. 【5】Amoroso E,Nguyen T,Weiss J,et a1.Toward an approach to measuring software tmst[C]//Proceedings of the IEEE Symposium on Research in Security and Privacy.,1991: 198-2l8. 【6】Amoroso E,Taylor C,Watson J,et a1.A process—oriented methodology for assessing and improving software trustworthiness[C]//Proceedings of the 2nd ACM Con— ference on Computer and Communications Security, Fairfax,Virginia,USA.New York,N Y'USA:ACM,1994 杜 晶等:基于证据的可信软件过程评估方法 39-50. 【7】International Standards Organization.ISO 27000 lnfor— mation technology--security techniques・・code of practice for information security management[S].2005. [8]Department of Defense.National Computer Security Center.DoD 5200.28~STD Trusted computer system evaluation criteria[S].1985. 【9]CMU.Systems security engineering capability maturity model SSE—CMM:model description document version 3.0【R】.2003. 【10】Boehm B.A view of 20th and 21st century software en— gineering[C]//Osterweil L J,Rombach H D,Sofia M L. Proceedings of the 28th International Conference on Software Engineering,Shanghai,China.New York,NY’ USA:ACM,2006:1 2-29. 【1 1】Nationa】Research Council of the National Academies. Software for dependable systems sufifcient evidence?[M】. Washington,DC,USA:the National Academies Press, 2007. 【12]Yang Wang Q,Li M.Process trustworthiness as a capability indicator for measuring and improving soft— ware trustworthiness[C]//Wang Q,Garousi V’Madachy R, et a1.Lecture Notes in Computer Science 5543:Proceed— ings of the International Conference on Software Process: Trustworthy Software Development Processes,Vancouver, Canada.Berlin,Heidelberg:Springer-Verlag,2009: 389-401. [13】Tan T'He M,Wang Q,et a1.An analysis to understand software trustworthiness[C]//Proceedings of the 2008 Inter- national Symposium on Trusted Computing,Zhangjiajie, China,2008. 【14】RTCA SC一167,EUROCAE WG一12 Software considera— tions in airborne systems and equipment cenification[S]. 1992. 【15]United States Federal Aviation Administration.Safety and security extension for integrated capability maturity 511 model[R].2004. [1 6]Joint Software System Safety Committee.Software sys— tem safety handbook--a technical&managerial team approach[R].1999. 【17】Common criteria portal[S/OL].http://www.commoncritefia— porta1.org/. [1 8】Zhou J.Design on evaluation system of software credible[J] Software Guide,2008,7(2):1 1-12. 【19】Du J,Tan He M,et a1.Technical report:a process— centric approach to assure software trustworthiness, ISCAS/iTechs Technical Report#106[R].2008. [20】Wang Q,Xiao J,Li M,et a1.A process—agent construction method for software process modeling in SoftPM[C]// Wang Q,Pfahl D,Raffo D M,et a1.Lecture Notes in Computer Science 3966:Proceedings of the International Software Process Workshop and International Workshop on Software Process Simulation and Modeling(SPW/ProSim 2006),Shanghm,China.Berlin,Heidelberg:Springer— Verlag,2006:204-213. [21]Zhang L,Wang Q,Xiao J,et a1.A tool to create process— agents for OEC—SPM from historical project data[C]// Wang Q,Pfahl D,Raffo D M.Lecture Notes in Computer Science 4470:Proceedings of the 2007 International Conference on Software Process(ICSP 2007).Berlin, Heidelberg:Springer-Verlag,2007:84—95. 【22】CMMI Product Team.CMMI for development,version 1.2--improves processes for better products,CMU/SEI一 2006一TR一008[R].SEI,CMU,2006. [23]Wang Q,Li M.Measuring and improving software proc— eSS in China[C]//Proceedings of the 2005 International Symposium on Empirical Software Engineering,Noosa Heads,Australia,2005. 附中文参考文献: [18]周建敏.软件可信度量评估系统的设计与实现【JJ.软 件导刊,2008,7(2):1 1-12. 512 Journal ofFrontiers fComputoer Science and Technology计算机科学与探索 2011,5(6) DU Jing was born in 1983.She is a Ph.D.candidate at Institute of Software,Chinese Academy of Sciences. Her research interests include empirical software engineering methods,trustworthy software process and technologies,etc. 杜晶(1983一),女,湖北宜昌人,中国科学院软件研究所博士研究生,主要研究领域为经验软件工程 方法,可信软件过程与技术等。 YANG Ye was born in 1 977.She received her Ph.D.degree in Computer Science from the University of Southern California in 2006.Now she is an associate professor and master supervisor at Institute of Soft— ware,Chinese Academy of Sciences.Her research interests include software process,software measure— ment and metrics,software cost estimation and empirical software engineering methods,etc. 杨叶(1977一),女,河南南阳人,2006年于美国南加州大学获得计算机科学专业博士学位,现为中国 科学院软件研究所副研究员、硕士生导师,主要研究领域为软件过程,软件度量,软件估算,经验软 件工程方法等。 WANG Qing was born in 1964.She is a professor and doctoral supervisor at Institute of Software,Chinese Academy of Sciences,the senior member of CCF,and the lead appraiser of SEI certification.Her research interests include software process technologies and quality assurance,software estimation and requirement engineering,etc. 王青(1964一),女,重庆人,中国科学院软件研究所研究员、博士生导师,CCF高级会员,SEI认证的 主任评估师,主要研究领域为软件过程技术与质量保证,软件成本估算,需求工程等。 LI Mingshu was born in 1 966.He is a professor and doctoral supervisor at Institute of Software,Chinese Academy of Sciences,and the senior member of CCE His research interests include software process technologies,requirement engineering and software engineering economics,etc. 李明树(1966一),男,吉林德惠人,中国科学院软件研究所研究员、博士生导师,CCF高级会员,主要 研究领域为软件过程技术,需求工程,软件工程经济学等。
