精彩导读

2021-12-08 01:22
软件工程 2021年12期
关键词:嵌入式软件源代码漏洞

《软件工程》期刊始终以反映软件工程理论、方法和技术创新成果,传播软件知识,推广软件应用为己任,期望可以为促进中国软件工程学科和软件产业发展略尽绵薄之力。

★本期重点推荐论文

随着军用软件在武器装备中作用的不断提高,其在装备系统研制中也逐渐占据主导地位。本期发表的论文《工程类过程域在弹载嵌入式软件研发中的应用》,提出为提高装备软件的质量和可靠性,其研制过程需遵循GJB 5000A(军用软件研制能力成熟度模型)开展。它针对GJB 5000A中的五个工程类过程域在弹载嵌入式软件研发中的实施过程进行研究,并分析了弹载嵌入式软件的自身特点以及该过程域的实施情况。根据研制经验,提出了在工程研制中需注意的实际问题,为提高相关软件的研发质量和效率提供了经验和参考。

★优秀期刊及其论文推荐

IEEE Transactions on Software Engineering,简称TSE,中文译为《IEEE软件工程学报》,网址为https://www.computer.org/csdl/journal/ts,1975 年创刊(月刊),由IEEE COMPUTER SOCIETY出版,其2020 年的影响因子为6.226,排在计算机科学软件工程领域前列,并被收入《科学引文索引扩展版》(SCIE)。

《IEEE软件工程学报》关注定义明确的理论结果和经验研究,以及这些结果和研究对软件构建、分析或管理的潜在影响,其研究范围从制定原则的机制到将这些原则应用于特定的环境,对软件工程研究或实践者都是很有价值的。

《IEEE软件工程学报》重点主题包括开发和维护方法及模型、评估方法、软件项目管理、工具和环境、系统问题等。它涵盖了软件系统的规范、设计和实现的技术与原则,包括符号和过程模型,软件测试和验证、可靠性模型,生产率因素、成本模型,特定工具、集成工具环境,硬件和软件权衡,等等。

2021 年11 月发表的“Improving Vulnerability Inspection Efficiency Using Active Learning”提出,软件工程师关注可能包含更多漏洞的代码,就可以更轻松地找到漏洞。HARMLESS是一种增量支持向量机工具,它根据迄今为止已检查过的源代码构建漏洞预测模型,然后建议接下来应该检查哪些源代码文件。通过这种方式,HARMLESS可以减少查找漏洞所需的时间和精力,以达到某种期望的召回水平。它还提供何时停止(在所需的召回级别)的反馈,同时通过仔细检查可疑文件来纠正人为错误。该文研究的是对Mozilla Firefox漏洞数据进行HARMLESS评估,HARMLESS通过检查10%、16%、20%、34%的源代码文件发现了80%、90%、95%、99%的漏洞。当以90%、95%、99%的召回率为目标时,HARMLESS可以在檢查了23%、30%、47%的源代码文件后停止,甚至在人工审核未能识别出一半的漏洞(50%的误报率)时,HARMLESS可以通过双重检查一半的待检文件检测出96%错失的漏洞。从研究结果看出,HARMLESS检测可以大幅度降低为避免软件漏洞而产生的高成本,并通过统计数据对比进一步证明了这一结论。文中提到现阶段人工审核可能有利于某些关键任务项目,在这些项目中,人工审核可用于检查数千个源代码文件,但未来工作的研究挑战是如何进一步降低成本。该文在最后部分还讨论了多种实现降低检测工作成本的方法。

《软件工程》期刊会持续为广大读者提供软件工程领域方面的最新学术讯息,欢迎大家继续支持我刊,我们共同关注软件工程领域的发展动向,努力做好学术研究和交流工作。

猜你喜欢
嵌入式软件源代码漏洞
人工智能下复杂软件源代码缺陷精准校正
漏洞
基于TXL的源代码插桩技术研究
软件源代码非公知性司法鉴定方法探析
实时嵌入式软件的测试技术
全景相机遥控器嵌入式软件V1.0 相关操作分析
三明:“两票制”堵住加价漏洞
揭秘龙湖产品“源代码”
高铁急救应补齐三漏洞
基于Eclipse的航天嵌入式软件集成开发环境设计与实现