Review of Techniques for Integrating Security in Software Development Lifecycle

1

作者 Hassan Saeed Imran Shafi +3 位作者 Jamil Ahmad Adnan Ahmed Khan Tahir Khurshaid Imran Ashraf 《Computers, Materials & Continua》 SCIE EI 2025年第1期139-172,共34页

Software-related security aspects are a growing and legitimate concern,especially with 5G data available just at our palms.To conduct research in this field,periodic comparative analysis is needed with the new techniq... Software-related security aspects are a growing and legitimate concern,especially with 5G data available just at our palms.To conduct research in this field,periodic comparative analysis is needed with the new techniques coming up rapidly.The purpose of this study is to review the recent developments in the field of security integration in the software development lifecycle(SDLC)by analyzing the articles published in the last two decades and to propose a way forward.This review follows Kitchenham’s review protocol.The review has been divided into three main stages including planning,execution,and analysis.From the selected 100 articles,it becomes evident that need of a collaborative approach is necessary for addressing critical software security risks(CSSRs)through effective risk management/estimation techniques.Quantifying risks using a numeric scale enables a comprehensive understanding of their severity,facilitating focused resource allocation and mitigation efforts.Through a comprehensive understanding of potential vulnerabilities and proactive mitigation efforts facilitated by protection poker,organizations can prioritize resources effectively to ensure the successful outcome of projects and initiatives in today’s dynamic threat landscape.The review reveals that threat analysis and security testing are needed to develop automated tools for the future.Accurate estimation of effort required to prioritize potential security risks is a big challenge in software security.The accuracy of effort estimation can be further improved by exploring new techniques,particularly those involving deep learning.It is also imperative to validate these effort estimation methods to ensure all potential security threats are addressed.Another challenge is selecting the right model for each specific security threat.To achieve a comprehensive evaluation,researchers should use well-known benchmark checklists. 展开更多

关键词 Software development lifecycle systematic literature review critical software security risks national institute of standards and technology devsecops open web application security project McGraw’s touch points

在线阅读 下载PDF 职称材料

Analysis of Software Development and Operation Measures from the Perspective of Security Technology

2

作者 Yan Gao 《Journal of Electronic Research and Application》 2024年第6期145-151,共7页

Security technology is crucial in software development and operation in the digital age. Secure software can protect user privacy and data security, prevent hacker attacks and data breaches, ensure legitimate business... Security technology is crucial in software development and operation in the digital age. Secure software can protect user privacy and data security, prevent hacker attacks and data breaches, ensure legitimate business operations, and protect core assets. However, the development process often faces threats such as injection attacks, Cross-Site Scripting (XSS), and Cross-Site Request Forgery (CSRF), mainly due to code vulnerabilities, configuration errors, and risks from third-party components. To meet these challenges, this paper discusses the application of security technology in development and operation, emphasizing security requirements analysis, design principles, coding practices, and testing during the development phase. Along with focusing on environmental configuration, continuous monitoring, emergency response, disaster recovery, and regular auditing and updating during the operation phase. These measures can significantly enhance the security of software systems and protect user and corporate data. 展开更多

关键词 security technology Software development Operation and maintenance

在线阅读 下载PDF 职称材料

Secure Development Methodology for Full Stack Web Applications:Proof of the Methodology Applied to Vue.js,Spring Boot and MySQL

3

作者 Kevin Santiago Rey Rodriguez Julián David Avellaneda Galindo +3 位作者 Josep Tárrega Juan Juan Ramón Bermejo Higuera Javier Bermejo Higuera Juan Antonio Sicilia Montalvo 《Computers, Materials & Continua》 2025年第10期1807-1858,共52页

In today’s rapidly evolving digital landscape,web application security has become paramount as organizations face increasingly sophisticated cyber threats.This work presents a comprehensive methodology for implementi... In today’s rapidly evolving digital landscape,web application security has become paramount as organizations face increasingly sophisticated cyber threats.This work presents a comprehensive methodology for implementing robust security measures in modern web applications and the proof of the Methodology applied to Vue.js,Spring Boot,and MySQL architecture.The proposed approach addresses critical security challenges through a multi-layered framework that encompasses essential security dimensions including multi-factor authentication,fine-grained authorization controls,sophisticated session management,data confidentiality and integrity protection,secure logging mechanisms,comprehensive error handling,high availability strategies,advanced input validation,and security headers implementation.Significant contributions are made to the field of web application security.First,a detailed catalogue of security requirements specifically tailored to protect web applications against contemporary threats,backed by rigorous analysis and industry best practices.Second,the methodology is validated through a carefully designed proof-of-concept implementation in a controlled environment,demonstrating the practical effectiveness of the security measures.The validation process employs cutting-edge static and dynamic analysis tools for comprehensive dependency validation and vulnerability detection,ensuring robust security coverage.The validation results confirm the prevention and avoidance of security vulnerabilities of the methodology.A key innovation of this work is the seamless integration of DevSecOps practices throughout the secure Software Development Life Cycle(SSDLC),creating a security-first mindset from initial design to deployment.By combining proactive secure coding practices with defensive security approaches,a framework is established that not only strengthens application security but also fosters a culture of security awareness within development teams.This hybrid approach ensures that security considerations are woven into every aspect of the development process,rather than being treated as an afterthought. 展开更多

关键词 Web security methodology secure software development lifecycle devsecops security requirements secure development Full Stack Web applications

在线阅读 下载PDF 职称材料

DevSecOps中软件安全性测试技术综述

4

作者 刘羿希 何俊 +2 位作者 吴波 刘丙童 李子玉 《计算机应用》 CSCD 北大核心 2024年第11期3470-3478,共9页

软件安全性测试技术是互联网时代软件开发商完善软件性能和抵御网络攻击的重要手段,而将安全性(Security)融入开发(Development)和运维(Operations)过程中的理念DevSecOps作为新一代软件开发模式,能够识别软件可能存在的威胁和有效评估... 软件安全性测试技术是互联网时代软件开发商完善软件性能和抵御网络攻击的重要手段,而将安全性(Security)融入开发(Development)和运维(Operations)过程中的理念DevSecOps作为新一代软件开发模式,能够识别软件可能存在的威胁和有效评估软件安全性,可将软件安全风险置于可控范围内。于是,以DevOps(Development and Operations)流程为研究起点,梳理DevOps软件开发模式各阶段涉及的软件安全性测试技术,包括源代码审计、模糊测试、漏洞扫描、渗透测试和安全众测技术;收集和分析SCI、EI、SCOPUS、CNKI、CSCD和万方等知名索引库中近三年的相关文献资料,归纳总结以上技术的研究现状,并给出相关测试工具的使用建议;同时针对各技术支撑手段的优缺点,对软件开发模式DevSecOps的未来发展方向进行了展望。 展开更多

关键词 devsecops 软件安全性测试 模糊测试 漏洞扫描 渗透测试

在线阅读 下载PDF 职称材料

城市轨道交通既有综合监控系统网络安全改造研究 被引量：3

5

作者 王海燕 《铁路通信信号工程技术》 2025年第2期78-83,共6页

综合监控系统作为确保城市轨道交通安全运营的核心设备系统,其网络安全问题直接关系到城市轨道交通的稳定运行。在对城市轨道交通综合监控系统的建设现状进行分析的基础上,针对既有运营线路综合监控系统面临的网络安全问题,提出相应的... 综合监控系统作为确保城市轨道交通安全运营的核心设备系统,其网络安全问题直接关系到城市轨道交通的稳定运行。在对城市轨道交通综合监控系统的建设现状进行分析的基础上,针对既有运营线路综合监控系统面临的网络安全问题,提出相应的改造方案,并展望未来的网络安全发展趋势。为城市轨道交通已运营线路综合监控系统网络安全改造提供技术支撑,具有很好的工程实用价值。 展开更多

关键词 网络安全 既有运营线路 综合监控系统 改造方案 发展趋势

在线阅读 下载PDF 职称材料

面向一体化数据市场的公共数据授权运营体系——国际经验与启示 被引量：3

6

作者 孙毅 张卓昕 胥莉 《延边大学学报(社会科学版)》 2025年第1期47-64,141,共19页

数据要素作为数字经济时代的关键生产要素,是培育新质生产力、推动高质量发展的新动能。公共数据作为数据要素的重要来源,是关键性、基础性战略资源。推进公共数据资源开发利用,规范公共数据资源授权运营,是释放数据要素价值、推进数据... 数据要素作为数字经济时代的关键生产要素,是培育新质生产力、推动高质量发展的新动能。公共数据作为数据要素的重要来源,是关键性、基础性战略资源。推进公共数据资源开发利用,规范公共数据资源授权运营,是释放数据要素价值、推进数据要素市场化配置改革的重要举措。针对公共数据授权运营过程中政府授权环节、市场运营环节和政府与市场协同环节等存在的挑战,文章在借鉴国内外公共数据开发利用实践的基础上,立足我国公共数据授权运营的基本原则,从政府授权环节、市场运营环节和政府与市场协同环节三个角度进行分析并提出政策建议,以推进公共数据资源的开发利用,规范公共数据资源授权运营,促进一体化数据市场培育,充分释放公共数据要素潜能,推动公益性和市场化相协调,实现高质量发展和高水平安全良性互动。 展开更多

关键词 公共数据 授权运营 政府与市场协同 发展与安全

在线阅读 下载PDF 职称材料

铁路企业经营开发管理与服务信息系统设计与实现

7

作者 徐晓磊 李聪旭 +2 位作者 李樊 王辉麟 陈栋 《铁路计算机应用》 2025年第2期31-35,共5页

为进一步提升铁路企业经营开发管理的信息化能力和水平,针对铁路企业经营开发业务场景,设计并实现了铁路企业经营开发管理与服务信息系统。基于SpringBoot的高可扩展性、高可维护性的微服务框架构,采用全流程数据安全防护技术,保障数据... 为进一步提升铁路企业经营开发管理的信息化能力和水平,针对铁路企业经营开发业务场景,设计并实现了铁路企业经营开发管理与服务信息系统。基于SpringBoot的高可扩展性、高可维护性的微服务框架构,采用全流程数据安全防护技术,保障数据录入、传输、存储及操作安全,实现了客户关系管理、经营资质管理、市场营销管理、对外合作管理等功能。上线应用情况表明,该系统可进一步规范企业经营开发行为,推动企业完善经营开发管理制度,提升企业经营开发能力与水平。 展开更多

关键词 企业治理 经营开发 信息化 微服务 数据安全

在线阅读 下载PDF 职称材料

安徽省企业资产证券化产品运行特征及优化发展建议

8

作者 杜立辉 张文玲 +1 位作者 平晓烁 孙英哲 《皖西学院学报》 2025年第3期85-92,共8页

在对比全国资产证券化产品市场发展概貌的基础上,本文揭示了安徽省资产证券化产品具有发行规模相对较低但盘活存量资产潜力较大、发行人和产品类型较为集中、主流产品加权平均利率较高等特点。由此预计未来1~2年,安徽省资产支持证券将... 在对比全国资产证券化产品市场发展概貌的基础上,本文揭示了安徽省资产证券化产品具有发行规模相对较低但盘活存量资产潜力较大、发行人和产品类型较为集中、主流产品加权平均利率较高等特点。由此预计未来1~2年,安徽省资产支持证券将在逐步化解瓶颈约束因素的基础上,总体发行规模将稳健增长,资产支持证券基础资产仍以应收账款和汽车贷款为主,同时无主体增信产品发行规模有望逐步提升。最终提出根据不同业务属性和现金流特点分门别类设计产品、各机构勤勉尽责严格遵守市场规则等优化发展建议。 展开更多

关键词 资产证券化 运行特征 优化发展

在线阅读 下载PDF 职称材料

军用作战软件敏捷研发模式与启示 被引量：3

9

作者 赵宇 周中元 陶智刚 《指挥信息系统与技术》 2024年第4期1-9,共9页

军事软件敏捷能力交付将成为未来体系对抗博弈的新战场。首先,归纳了军用作战软件研发特点,提出了军用作战软件敏捷研发的3种参考模型以及能力评估框架;然后,分析了美军军用作战软件敏捷研发模式的发展情况与趋势;最后,将软件工厂视为... 军事软件敏捷能力交付将成为未来体系对抗博弈的新战场。首先,归纳了军用作战软件研发特点,提出了军用作战软件敏捷研发的3种参考模型以及能力评估框架;然后,分析了美军军用作战软件敏捷研发模式的发展情况与趋势;最后,将软件工厂视为敏捷研发模式的落地实践,提出了相关参考架构、敏捷研发能力评估和启示,并对军用软件敏捷研发关键技术进行了总结。 展开更多

关键词 军用作战软件 敏捷研发 软件工厂 开发安全运维一体化模式

在线阅读 下载PDF 职称材料

公共安全治理视域下政府运行保障的形态演变与发展方向 被引量：4

10

作者 丁煌 宫紫星 《北京行政学院学报》 CSSCI 北大核心 2024年第3期31-43,共13页

推进公共安全治理现代化是风险社会下实现可持续发展的重要任务,政府运行保障能力的提升是促进公共安全治理效能实现的必然要求。公共安全治理视域下政府运行保障将保障系统优化视为研究焦点,强调复杂风险形势中机关事务部门在统筹管理... 推进公共安全治理现代化是风险社会下实现可持续发展的重要任务,政府运行保障能力的提升是促进公共安全治理效能实现的必然要求。公共安全治理视域下政府运行保障将保障系统优化视为研究焦点,强调复杂风险形势中机关事务部门在统筹管理、增效服务、保障资源方面与其他主体的交互过程。为了从整体上描摹公共安全治理视域下政府运行保障的全貌,文章构建了制度体系—运行机制—技术手段的分析框架,从过去—现在—未来的历史视角对其形态演变进行分析。这种形态的变化既体现出机关事务管理在历史发展中的自我适应与调节,也标志着公共安全治理模式的升级与转向。在公共安全治理视域下,未来的政府运行保障将在进一步夯实制度基础、明确职能定位、拓宽互动网络、深化驱动机制、推动技术落地以及加强技术赋能中形成更加成熟的制度体系、更加高效的运行机制以及更加有力的技术牵引。 展开更多

关键词 公共安全治理 政府运行保障 形态演变 发展方向 机关事务管理

在线阅读 下载PDF 职称材料

美军软件现代化发展分析与启示 被引量：3

11

作者 张庆海 彭程 尹瑞 《指挥信息系统与技术》 2024年第4期10-17,45,共9页

为提升现代化战争中我军软件的敏捷迭代能力,首先,分析了美军软件现代化战略,并对其软件采办模式的发展变革以及软件工厂的构建运行机制进行了解读;然后,对美军软件采办模式和软件工厂的实施进展、取得成效以及后续发展计划进行了阐述;... 为提升现代化战争中我军软件的敏捷迭代能力,首先,分析了美军软件现代化战略,并对其软件采办模式的发展变革以及软件工厂的构建运行机制进行了解读;然后,对美军软件采办模式和软件工厂的实施进展、取得成效以及后续发展计划进行了阐述;最后,结合我军软件研制过程现状给出了启示建议,可为我军实施软件现代化变革提供参考。 展开更多

关键词 软件工厂 开发安全运维一体化(devsecops) 凯赛尔航线

在线阅读 下载PDF 职称材料

科学测算运维经费,助力水利网信可持续发展 被引量：1

12

作者 殷悦 张潮 《水利信息化》 2024年第4期88-91,98,共5页

为支持水利网信可持续发展,推动新阶段水利高质量发展,研究水利信息系统运维经费的科学测算体系。回顾水利信息化运维经费管理的发展历程,介绍《水利信息系统运行维护定额标准》《水利信息系统运行维护规范》2个标准构成的运维经费测算... 为支持水利网信可持续发展,推动新阶段水利高质量发展,研究水利信息系统运维经费的科学测算体系。回顾水利信息化运维经费管理的发展历程,介绍《水利信息系统运行维护定额标准》《水利信息系统运行维护规范》2个标准构成的运维经费测算体系,经过实际运维经费测算应用,发现原有的运行维护定额标准在新形势下存在不适应性,因此,对运行维护定额标准进行修订,修订后的定额标准更为全面,能反映不同运行维护服务等级的要求,并强化资源整合共享和网络安全。科学测算体系的建立和推广可有效解决经费不足的问题,保障运行维护工作的有序开展,助力水利网信可持续发展,未来运维经费测算需要考虑通货膨胀、资源成本上涨和设备服务寿命延长等相关内容。 展开更多

关键词 运维经费测算 水利网信 网络安全 资源整合共享 可持续发展

在线阅读 下载PDF 职称材料

国家安全视域下我国社会保障运行体系风险防控与可持续发展

13

作者 张梦遥 《行政与法》 2024年第12期57-68,共12页

党的二十大报告强调,要把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。社会保障发挥着民生保障安全网、收入分配调节器、经济运行减震器的作用,是保障和改善民生、维护社会公平、增进人民福祉的基本制度保障,被... 党的二十大报告强调,要把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。社会保障发挥着民生保障安全网、收入分配调节器、经济运行减震器的作用,是保障和改善民生、维护社会公平、增进人民福祉的基本制度保障,被视为“治国安邦的大问题”。从社会保障体系建设与人民安全、政治安全、经济安全和社会安全四个层面,对社会保障运行体系与国家安全之间的逻辑关联进行深入剖析,厘清现阶段我国社会保障运行体系存在的三大潜在风险,分别是人口老龄化与社保基金收支不均衡的财务风险、城镇化与社会保障水平城乡差异的社会风险以及就业方式多样化与社会保障覆盖范围不足的制度风险。基于国家安全视域下提出社会保障运行体系相应风险防控策略,进一步探索能够推动社会保障运行体系高质量可持续发展的实践路径,以加强社会保障运行体系风险防控、完善覆盖全民的社会保障体系和推动社会保障制度的现代化建设,充分发挥中国特色社会保障体系在维护国家安全和社会稳定发展方面的重要作用。 展开更多

关键词 社会保障运行体系 国家安全 风险防控 可持续发展

在线阅读 下载PDF 职称材料

安全操作系统研究的发展(下) 被引量：24

14

作者 石文昌 孙玉芳 《计算机科学》 CSCD 北大核心 2002年第7期9-12,共4页

6 动态政策时期[0] 从单一政策支持到多种政策支持,安全操作系统迈出了向实际应用环境接近的可喜一步.然而,R.Spencer等指出[17],从支持多种安全政策到支持政策灵活性,还有相当一段距离.政策灵活性是动态政策时期的重要特征,1999年,Flas... 6 动态政策时期[0] 从单一政策支持到多种政策支持,安全操作系统迈出了向实际应用环境接近的可喜一步.然而,R.Spencer等指出[17],从支持多种安全政策到支持政策灵活性,还有相当一段距离.政策灵活性是动态政策时期的重要特征,1999年,Flask系统的诞生是动态政策时期的帷幕徐徐打开的标志. 展开更多

关键词 安全操作系统 微内核 客体管理器 系统组件

在线阅读 下载PDF 职称材料

通过CC标准的思想确定RS-Linux的安全可信度 被引量：5

15

作者 石文昌 孙玉芳 《广西科学》 CAS 2001年第1期15-18,共4页

以一个称为 RS- L inux的安全操作系统的研制工作为实验手段 ,对按照 CC标准的思想开发安全产品的方法进行研究 ,并以该项研究为基础 ,探讨从

关键词 安全可信度 安全工程 共同标准 安全操作系统 安全系统开发 RS-Linux CC标准

在线阅读 下载PDF 职称材料

安全操作系统研究的发展(上) 被引量：11

16

作者 石文昌 孙玉芳 《计算机科学》 CSCD 北大核心 2002年第6期5-12,共8页

1引言 对安全操作系统的技术发展历史进行全面的概括总结,是一项比较艰巨的工作,在本文的工作之前,这方面的已有信息是零碎的、不全面的[1].本文通过对安全操作系统研究与开发方面三十几年来比较有代表性的工作的深入考察,根据这些研究... 1引言 对安全操作系统的技术发展历史进行全面的概括总结,是一项比较艰巨的工作,在本文的工作之前,这方面的已有信息是零碎的、不全面的[1].本文通过对安全操作系统研究与开发方面三十几年来比较有代表性的工作的深入考察,根据这些研究与开发工作及其相应的技术成果的特点,提出了四阶段划分的思想,给出了奠基时期、食谱时期、多政策时期和动态政策时期的定义,并以此为基础,以史实的形式,归纳和描绘了安全操作系统的发展演化历程,力求为确定正确的安全操作系统开发方法建立良好的基础. 展开更多

关键词 安全操作系统 计算机系统 微内核 用户程序

在线阅读 下载PDF 职称材料

科技发展决策支持平台的运行与保障机制研究——以山东省为例 被引量：3

17

作者 丁华 李钊 陈娜 《科技管理研究》 CSSCI 北大核心 2012年第23期31-34,共4页

以山东省为例,面向科技发展决策支持平台,从基本要素、结构体系、工作功能等方面提出科技平台的运行机制。为保障平台的建设与运行,确定完善的政策法规保障机制,并从基础设施、科研创新、工作管理、人才保障、交流互动等方面阐述其综合... 以山东省为例,面向科技发展决策支持平台,从基本要素、结构体系、工作功能等方面提出科技平台的运行机制。为保障平台的建设与运行,确定完善的政策法规保障机制,并从基础设施、科研创新、工作管理、人才保障、交流互动等方面阐述其综合保障机制。运行与保障机制研究对于推动各省科技发展支持平台建设,提高科技发展决策科学化水平有着重要的参考价值。 展开更多

关键词 科技发展 决策支持平台 运行机制 保障机制

在线阅读 下载PDF 职称材料

安全操作系统非传统开发模式研究 被引量：1

18

作者 石文昌 孙玉芳 《计算机科学》 CSCD 北大核心 2003年第2期125-129,共5页

The TCSEC-based traditional development model of secure operating systems is exhibiting more and more obviously inability in the rapidly changing world of computer applications. With an experiment of building a secure... The TCSEC-based traditional development model of secure operating systems is exhibiting more and more obviously inability in the rapidly changing world of computer applications. With an experiment of building a secure operating system in accordance with the philosophy of the international standard for computer security evaluation,i. e.the Common Criteria,research on nontraditional development model of secure operating systems is conducted in this paper. 展开更多

关键词 安全操作系统 非传统开发模式 RS-Linux 计算机安全评价标准

在线阅读 下载PDF 职称材料

数据库系统的安全问题 被引量：6

19

作者 赵军 《重庆邮电学院学报（自然科学版）》 2002年第2期75-77,83,共4页

对数据库系统的安全机制进行了深入分析 ,指出了数据库系统如果单纯依靠数据库管理系统来实现对数据的安全保障 ,则必然存在着安全隐患 ,并提出了一种可行的消除方案 ,最后给出了这种方案在 De-veloper/ 2 0 0 0中的具体实现方法 ,并进... 对数据库系统的安全机制进行了深入分析 ,指出了数据库系统如果单纯依靠数据库管理系统来实现对数据的安全保障 ,则必然存在着安全隐患 ,并提出了一种可行的消除方案 ,最后给出了这种方案在 De-veloper/ 2 0 0 0中的具体实现方法 ,并进行了讨论。 展开更多

关键词 数据库系统 安全问题 安全机制 程序设计

在线阅读 下载PDF 职称材料

当前种田农户的阶段性特征及发展路径选择——以全国31省(区、市)4795户农户为调查对象 被引量：1

20

作者 胡雅琼 徐勇 《江西财经大学学报》 CSSCI 北大核心 2015年第5期71-79,共9页

以全国31省(区、市)4795户农户2011—2013年的调查数据为样本,分析种田农户的现状、特点、变化及发展趋势。研究发现,农户的年龄、性别、受教育程度、家庭经济能力等方面直接影响农户的种田行为。现有小农及其粗放的经营方式难以有效确... 以全国31省(区、市)4795户农户2011—2013年的调查数据为样本,分析种田农户的现状、特点、变化及发展趋势。研究发现,农户的年龄、性别、受教育程度、家庭经济能力等方面直接影响农户的种田行为。现有小农及其粗放的经营方式难以有效确保粮食安全。从种田主体考虑,当前具有中等适度规模土地、有一定经济能力的中壮年农户适合发展成为粮食生产的经营主体。 展开更多

关键词 种田农户 经营规模 发展路径 粮食安全

原文传递