本發(fā)明公開了一種軟件安全開發(fā)能力成熟度差距分析方法及系統(tǒng)，其中該方法包括如下步驟：基于軟件行業(yè)的標(biāo)準(zhǔn)差距分析模型中的基本內(nèi)容制作并保存調(diào)查問卷模板；啟動調(diào)查問卷模板，生成安全調(diào)查問卷，并將安全實(shí)踐調(diào)查問卷推送給用戶；根據(jù)評判標(biāo)準(zhǔn)對用戶反饋的安全實(shí)踐調(diào)查問卷中的各項內(nèi)容進(jìn)行評判，以得到反映用戶軟件安全開發(fā)能力成熟度的調(diào)查數(shù)據(jù)；獲取并存儲若干個行業(yè)的相關(guān)行業(yè)數(shù)據(jù)；采取數(shù)據(jù)差異化比較方式顯示調(diào)查數(shù)據(jù)和行業(yè)數(shù)據(jù)的差異化程度；采樣上述差距分析方法對每一個用戶的評估過程中，無須分析人員分項分類錄入相關(guān)數(shù)據(jù)，自動化程度高，省時省力，從而有效提高工作效率和準(zhǔn)確性。

技術(shù)領(lǐng)域

本發(fā)明涉及軟件安全開發(fā)能力評估技術(shù)領(lǐng)域，尤其涉及一種軟件安全開發(fā)能力成熟度差距分析方法及系統(tǒng)。

背景技術(shù)

信息技術(shù)的發(fā)展，使得軟件規(guī)模越來越大，傳統(tǒng)的“軟件作坊”式生產(chǎn)往往依賴于人們急于創(chuàng)造財富的激動情緒，生產(chǎn)處于無序、混沌的一種狀態(tài)，軟件產(chǎn)品的質(zhì)量不能保證，甚至中途撤消軟件項目，這種生產(chǎn)方式已不能滿足日益增長的軟件需求。人們認(rèn)識到，軟件過程是否完善是軟件風(fēng)險大小的決定因素。目前，業(yè)內(nèi)用軟件安全開發(fā)能力成熟度（也叫軟件保障成熟度）來描述一個企業(yè)的軟件開發(fā)環(huán)境的優(yōu)劣，并用企業(yè)的成熟度數(shù)據(jù)與行業(yè)的和標(biāo)準(zhǔn)的成熟度數(shù)據(jù)做比較，以得到某一企業(yè)的軟件安全開發(fā)能力成熟度水平與行業(yè)和標(biāo)準(zhǔn)數(shù)據(jù)的差距。

在軟件安全行業(yè)，一般用SAMM模型和BSIMM模型作為標(biāo)準(zhǔn)差距分析模型，這兩個模型提供了一個開放的框架，用以幫助軟件公司制定并實(shí)施所面臨來自軟件安全的特定風(fēng)險的策略。原始的SAMM和BSIMM模型是以word文檔的形式發(fā)布的，其文檔內(nèi)容主要是介紹SAMM和BSIMM模型的作用。普通用戶需要使用SAMM模型和BSIMM模型進(jìn)行能力評估時，需要對文檔內(nèi)容進(jìn)行分析，提取需要完成的安全活動內(nèi)容，并以一種可行的方式進(jìn)行能力評估分析，也即SAMM模型和BSIMM模型提供了一定的差距分析方法，但是這些差距分析方法缺乏自動化機(jī)制，基于這些模型做差距分析時，需要手工完成大量的數(shù)據(jù)錄入工作，尤其涉及到行業(yè)的橫向和縱向差距分析時，需要手工完成大量的數(shù)據(jù)處理工作，費(fèi)時費(fèi)力，而且容易出現(xiàn)錄入錯誤的情況。

發(fā)明內(nèi)容

本發(fā)明其中一目是為解決上述技術(shù)問題的不足而提供一種自動化的軟件安全開發(fā)能力成熟度差距分析方法，以提高軟件安全開發(fā)能力成熟度差距分析的自動化程度，提高工作效率和準(zhǔn)確性。

本發(fā)明另一目的是，提供一種自動化的軟件安全開發(fā)能力成熟度差距分析系統(tǒng)，以提高軟件安全開發(fā)能力成熟度差距分析的自動化程度，提高工作效率和準(zhǔn)確性。

為了實(shí)現(xiàn)上述目的，本發(fā)明公開了一種軟件安全開發(fā)能力成熟度差距分析方法，其包括如下步驟：

基于軟件行業(yè)的標(biāo)準(zhǔn)差距分析模型中的基本內(nèi)容制作并保存調(diào)查問卷模板，所述調(diào)查問卷模板可自動生成電子化的安全實(shí)踐調(diào)查問卷和評判標(biāo)準(zhǔn)，所述安全實(shí)踐調(diào)查問卷中包括若干待查安全實(shí)踐項，每一所述安全實(shí)踐項包括若干評價指標(biāo)；

啟動所述調(diào)查問卷模板，生成所述安全調(diào)查問卷，并將所述安全實(shí)踐調(diào)查問卷推送給用戶；

根據(jù)所述評判標(biāo)準(zhǔn)，對用戶反饋的所述安全實(shí)踐調(diào)查問卷中的各項內(nèi)容進(jìn)行評判，以得到反映用戶軟件安全開發(fā)能力成熟度的調(diào)查數(shù)據(jù)；

獲取并存儲若干個行業(yè)的相關(guān)行業(yè)數(shù)據(jù)，所述行業(yè)數(shù)據(jù)反映其所屬行業(yè)現(xiàn)階段綜合軟件安全開發(fā)能力成熟度；

采取數(shù)據(jù)差異化比較方式顯示所述調(diào)查數(shù)據(jù)和所述行業(yè)數(shù)據(jù)的差異化程度。

較佳地，所述標(biāo)準(zhǔn)差距分析模型包括SAMM模型和/或BSIMM模型。

較佳地，將所述調(diào)查數(shù)據(jù)、所述行業(yè)數(shù)據(jù)和當(dāng)前用戶所選行業(yè)的標(biāo)準(zhǔn)數(shù)據(jù)顯示在同一張蜘蛛圖上。