課件01-軟件可靠性與安全性-解決之道

軟件牢靠性與平安性

第一部分軟件牢靠性與平安性解決之道提要軟件失效機理與對策軟件牢靠性與平安性典型失效事務(wù)與教訓(xùn)32133軟件失效管理34對牢靠軟件的需求軟件應(yīng)用廣泛,在很多領(lǐng)域成為產(chǎn)品創(chuàng)新的源泉軟件使系統(tǒng)更加智能、敏捷,越來越多的系統(tǒng)實力由軟件實現(xiàn)系統(tǒng)對軟件的需求和依靠,使得軟件既要滿足用戶的功能要求,又必需穩(wěn)定牢靠地完成賜予的任務(wù)軟件牢靠性的重要程度依靠于軟件運行的風(fēng)險成本,假如軟件失效的代價很高,則軟件的牢靠性也就特別重要軟件的狀況硬件飛速發(fā)展,越來越牢靠,軟件成為系統(tǒng)崩潰的主要緣由軟件研發(fā)水平與應(yīng)用需求不相適應(yīng),雖然實行了很多方法,但常在帶有很多缺陷的狀況下發(fā)布和部署軟件自身規(guī)模、困難性的增加,給獲得平安牢靠軟件帶來挑戰(zhàn),大部分軟件不是特別牢靠軟件質(zhì)量的定量評估困難,往往成為項目要素中最簡潔被忽視的部分軟件牢靠性IEEE的定義在規(guī)定的條件下，規(guī)定的時間內(nèi)，軟件不引起系統(tǒng)失效的概率。該概率是系統(tǒng)輸入和系統(tǒng)運用的函數(shù)，也是軟件中存在的缺陷的函數(shù)；系統(tǒng)輸入將確定是否會遇到存在的缺陷(假如缺陷存在的話)。在規(guī)定的時間周期內(nèi)，在所述條件下程序完成所需功能的實力。軟件牢靠性的相關(guān)要素軟件無失效運行的概率(規(guī)定的任務(wù)和功能)規(guī)定的條件(系統(tǒng)輸入和系統(tǒng)運用)規(guī)定的時間(任務(wù)周期)軟件牢靠性構(gòu)成ISO/IEC25010:2011的定義牢靠性(Reliability)在指定條件下和規(guī)定的時間范圍內(nèi),系統(tǒng)、產(chǎn)品或組件完成規(guī)定功能的實力包括：成熟性,可用性,容錯性,復(fù)原性軟件牢靠性構(gòu)成成熟性(Maturity)在正常操作狀況下,滿足牢靠性要求的實力可用性(Availability)當(dāng)須要運用時,系統(tǒng)、產(chǎn)品或組件可操作和可訪問的實力軟件牢靠性構(gòu)成容錯性(Faulttolerance)在硬件或軟件出現(xiàn)故障的條件下,系統(tǒng)、產(chǎn)品或組件仍能按預(yù)期運行的實力復(fù)原性(Recoverability)在出現(xiàn)中斷事務(wù)或發(fā)生失效的狀況下,產(chǎn)品或系統(tǒng)能夠復(fù)原受到干脆影響的數(shù)據(jù)并重建系統(tǒng)期望狀態(tài)的實力平安關(guān)鍵軟件應(yīng)用場景航空器限制軟件醫(yī)療設(shè)備軟件核應(yīng)用軟件汽車發(fā)動機限制軟件軌道/列車限制系統(tǒng)軟件關(guān)鍵基礎(chǔ)設(shè)施監(jiān)控系統(tǒng)軟件金融管理系統(tǒng)軟件軍事裝備/系統(tǒng)軟件軟件平安危急性平安危急性(Safety)是使人員或者環(huán)境免受風(fēng)險影響的實力經(jīng)濟風(fēng)險健康和平安風(fēng)險環(huán)境風(fēng)險風(fēng)險常常是由功能性、牢靠性、平安保密性、易用性或維護性中的缺陷所致平安危急性與系統(tǒng)所處的環(huán)境相關(guān),是運用質(zhì)量平安相關(guān)系統(tǒng)和軟件必需能夠?qū)崿F(xiàn)要求的平安功能,以達到或保持受控設(shè)備的平安狀態(tài);并且,自身或與其他平安相關(guān)系統(tǒng)或外部風(fēng)險降低設(shè)施一道,能夠達到要求的平安功能所需的平安完整性一般分為平安限制系統(tǒng)和平安防護系統(tǒng)平安相關(guān)軟件是在平安相關(guān)系統(tǒng)中用于實現(xiàn)平安功能的軟件軟件平安完整性及等級軟件平安完整性在全部規(guī)定條件下和規(guī)定時間內(nèi)表示軟件在系統(tǒng)中執(zhí)行其平安功能的可能性的量值軟件平安完整性等級(SiL)一種離散的等級，用于規(guī)定在平安相關(guān)系統(tǒng)中軟件的平安完整性4個等級應(yīng)用方式對質(zhì)量需求的影響網(wǎng)絡(luò)化需求虛擬化需求智能化需求通用化需求經(jīng)濟性需求便捷性需求軟件平安保密性ISO/IEC25010:2011的定義平安保密性(Security)產(chǎn)品或系統(tǒng)愛護信息和數(shù)據(jù)的實力,以使人員或其它產(chǎn)品或其它系統(tǒng)依據(jù)其相應(yīng)的類型和權(quán)限訪問信息和數(shù)據(jù)包括：機密性、完整性、不行抵賴性、可核查性、的確性軟件平安保密性機密性(Confidentiality)產(chǎn)品或系統(tǒng)確保數(shù)據(jù)僅被那些具有訪問權(quán)限的人或系統(tǒng)訪問的實力完整性(Integrity)系統(tǒng)、產(chǎn)品或組件防止未授權(quán)訪問或修改計算機程序或數(shù)據(jù)的實力軟件平安保密性不行抵賴性(Non-repudiation)證明活動或事務(wù)已發(fā)生的實力,以使已發(fā)生的活動或事務(wù)不行能在隨后被否認(rèn)可核查性(Accountability)保證明體的活動與實體實現(xiàn)唯一性追蹤的實力軟件平安保密性的確性(Authenticity)確認(rèn)和識別一個主體或資源就是其所聲稱的實力軟件質(zhì)量的系統(tǒng)化考慮可信性牢靠性+可用性+平安危急性+平安保密性+維護性沒有普遍接受的定義專用質(zhì)量特性與通用質(zhì)量特性質(zhì)量是多維度的,客戶對質(zhì)量的追求也是多樣的RAMS相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱IEEEStd982.1?-2005IEEEStandardDictionaryof

Measuresofthe

SoftwareAspectsof

DependabilityIEEEStd1633?-2008IEEERecommendedPracticeon

SoftwareReliabilityGB/T

20438-2006/IEC

61508-1998電器/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全ISO/IEC25010:2011Systemsandsoftwareengineering--SystemsandsoftwareQualityRequirementsandEvaluation(SQuaRE)--Systemandsoftwarequalitymodels提要軟件失效機理與對策軟件牢靠性與平安性典型失效事務(wù)與教訓(xùn)32133軟件失效管理34失效(Failure)IEEEStd1633?-2008的定義系統(tǒng)或系統(tǒng)部件不能在規(guī)定的限制內(nèi)完成所需功能功能單元完成所需功能的實力被終止程序的運行偏離了其需求規(guī)定的、要求的、期望的失效狀態(tài)考慮到相關(guān)的操作及環(huán)境條件,由一個或多個失效引起或作用的,對系統(tǒng)的干脆和后繼的影響軟件不會脫離環(huán)境運行,在某個環(huán)境中是平安的軟件,可能在另一個環(huán)境中就擔(dān)憂全了失效分類隨機硬件失效(RandomHardwareFailure)在硬件中由一種或幾種機能退化可能產(chǎn)生的、按隨機時間出現(xiàn)的失效系統(tǒng)性失效(SystematicFailure)緣由確定的失效,只有對設(shè)計或制造過程、操作規(guī)程、文檔或其他相關(guān)因素進行修改后，才有可能解除這些失效可重現(xiàn)失效分類危急失效(UnsafeFailure)使平安相關(guān)系統(tǒng)處于潛在危急狀態(tài)或丟失平安功能執(zhí)行實力的失效平安失效(SafeFailure)不行能使平安相關(guān)系統(tǒng)處于潛在危急狀態(tài)或丟失平安功能執(zhí)行實力的失效失效分類檢測到的失效被系統(tǒng)診斷功能檢測到的失效很多平安相關(guān)系統(tǒng)具有自診斷實力,診斷功能可降低事故和誤停車發(fā)生的可能性未檢測到的失效未被自診斷功能檢測到的失效系統(tǒng)的自診斷實力影響系統(tǒng)的平安性能軟件失效機理導(dǎo)致軟件失效的缺陷主要是設(shè)計問題老化/磨損不會導(dǎo)致軟件失效,軟件失效沒有預(yù)兆周期性的重啟可幫助防止/修復(fù)一些軟件失效軟件牢靠性不是運行時間的函數(shù)除非影響到軟件的輸入,否則環(huán)境因素不會對軟件牢靠性產(chǎn)生影響相同軟件的冗余不能改善軟件牢靠性軟件失效機理軟件的接口完全是概念上的、不行見的,但對軟件牢靠性有影響通常不能通過對單條語句的分析來預(yù)料軟件失效率標(biāo)準(zhǔn)件可用于改善牢靠性和可維護性,但軟件重用還沒有形成工程趨勢硬件修理使其復(fù)原到良好狀態(tài),而軟件修改使其到達未知狀態(tài)軟件失效根本緣由事務(wù)鏈1運用錯誤失效事務(wù)鏈2人為錯誤缺陷故障失效導(dǎo)致失效的事務(wù)鏈1導(dǎo)致運用錯誤的緣由缺少清晰的、良好結(jié)構(gòu)化的用戶文檔困難的用戶接口缺乏培訓(xùn)/技術(shù)支持產(chǎn)品規(guī)格說明和用戶運用環(huán)境不一樣不適當(dāng)?shù)挠布渲糜脩舻慕袒蛳到y(tǒng)背景學(xué)問不足用戶對操作環(huán)境或產(chǎn)品用途了解不足導(dǎo)致失效的事務(wù)鏈2錯誤(Error)在軟件開發(fā)過程中出現(xiàn)的不符合期望或不行接受的人為差錯典型的錯誤誤會或遺漏了用戶需求設(shè)計沒有完整的實現(xiàn)軟件需求程序設(shè)計錯誤導(dǎo)致失效的事務(wù)鏈2缺陷(Defect)軟件中存在的不期望或不行接受的偏差在特定的狀態(tài)下,導(dǎo)致軟件不能完成所需的任務(wù)假如缺陷可被利用來違反平安要求,這種與平安相關(guān)的缺陷一般被稱為漏洞典型的軟件缺陷數(shù)組越界運用算法實現(xiàn)不正確緩沖區(qū)溢出導(dǎo)致失效的事務(wù)鏈2故障(Fault)軟件中缺陷的體現(xiàn)。如：軟件的計算或推斷與規(guī)定的不符合等一個故障假如發(fā)生,可能引起失效典型的軟件故障資源泄露執(zhí)行了多余的循環(huán)無限遞歸調(diào)用遭遇失效的緣由軟件中存在缺陷在運用周期內(nèi)的系統(tǒng)輸入/系統(tǒng)運用觸發(fā)了軟件缺陷對觸發(fā)的缺陷,軟件中沒有相應(yīng)的措施進行正確的處理缺陷的特性變異的預(yù)期常常產(chǎn)生缺陷在實際項目中完全消退缺陷是不行能的,基于軟件開發(fā)經(jīng)濟學(xué)的考慮,削減缺陷是現(xiàn)實的缺陷有可能特別簡潔,也有可能極其困難程序設(shè)計語言與缺陷的困難性和數(shù)量的關(guān)系是未知的不論人的實力和背景,都可能產(chǎn)生缺陷缺陷的影響缺陷可能導(dǎo)致失效同樣的缺陷在不同的場景下導(dǎo)致的失效狀態(tài)會有很大的差別,可能只是運用不便,也有可能帶來災(zāi)難缺陷的困難度與失效的嚴(yán)峻性之間的關(guān)系是未知的最大限度的削減缺陷,可以提高軟件的牢靠性缺陷解決策略缺陷消退策略避錯(DefectAvoidance)排錯(DefectRemoval)缺陷應(yīng)對策略容錯(FaultTolerance)復(fù)原(FaultRecovery)軟件避錯策略第一次就做正確(DoItRighttheFirstTime)建立先進的理念,避開錯誤及預(yù)防失誤實行適當(dāng)?shù)膶嵺`,形成缺陷預(yù)防的趨勢利用一切可用的方法及工具,確保不引入缺陷到軟件軟件避錯策略典型實踐舉例建立組織級別的規(guī)范和指南,全體人員共同遵守用戶的早期參與進行專業(yè)分工,運用有實力、閱歷及進取心的人員在生命周期各階段,運用現(xiàn)代的方法論和自動化工具,促進生產(chǎn)力提升的同時及達到預(yù)定質(zhì)量的目標(biāo)軟件排錯策略盡早發(fā)覺,一旦可行馬上改正(DetectItEarly;FixItasSoonasPracticable)測試及修復(fù)成為支配性和常常性活動,對缺陷進行早期檢測及消退,使得缺陷一旦產(chǎn)生就馬上解決修正系統(tǒng)缺陷時,應(yīng)考慮問題的嚴(yán)峻程度、發(fā)生頻率及完成測試及管理的可能性在操作和維護階段發(fā)覺的缺陷,不確定要馬上修正軟件排錯策略典型實踐舉例在生命周期各階段,對軟件進行原型化、仿真、審查和檢查,驗證正確性,改善牢靠性盡早開展多層次的測試工作,發(fā)覺并消退缺陷和隱患優(yōu)先解決最高風(fēng)險的問題,加強配置管理,防止變更失控建立并運行軟件故障報告、分析及訂正措施系統(tǒng),做好軟件故障管理軟件避錯/排錯改進親密監(jiān)督(MonitorIt)在整個軟件生命周期,進行原始數(shù)據(jù)的收集和評估有效整合測量、驗證和確認(rèn)等活動,測量必需協(xié)作適當(dāng)?shù)尿炞C和確認(rèn)方法才能供應(yīng)質(zhì)量良好的測量數(shù)據(jù)依據(jù)測量數(shù)據(jù),評估開發(fā)過程、驗證過程、軟件產(chǎn)品,持續(xù)改進軟件避錯/排錯改進典型實踐舉例在軟件生命周期各階段,持續(xù)開展軟件質(zhì)量保證工作通過開展測量與分析,收集軟件審查、測試數(shù)據(jù),對開發(fā)過程和驗證過程進行分析和評價對軟件缺陷、故障、失效進行跟蹤管理,分析根本緣由,建立模式庫,指導(dǎo)避錯和排錯運用方式對失效的影響軟件缺陷只有被遇到時才會產(chǎn)生故障,才有可能導(dǎo)致失效不同運用方式下,對軟件牢靠性的感受是不一樣的確定軟件運用方式的因素很多內(nèi)部參數(shù)、歷史數(shù)據(jù)、當(dāng)前輸入、……缺陷在軟件中的位置未知軟件執(zhí)行條件一般不行預(yù)知軟件運用方式運用模型是對軟件運用的刻畫運用者運用方式運用者人、硬件、外部軟件等運用方式運用的操作、頻度等軟件運用方式的刻畫操作剖面操作及其發(fā)生概率組成的集合操作模型運用Markov鏈描述的軟件運用模型軟件操作剖面圖示(操作i

,0.056)發(fā)生概率操作……軟件操作模型圖示未激活終止準(zhǔn)備狀態(tài)1狀態(tài)2狀態(tài)3狀態(tài)4S,1.00G,0.50B,0.30R,0.20G,1.00A,0.50B,0.40R,0.10R,0.30C,0.25D,0.50E,0.25F,0.70失效的時辰表述失效的時間點失效間的間隔時間到達給定時間經(jīng)驗的失效數(shù)量在給定時間間隔內(nèi)發(fā)生的失效數(shù)可選的時間類型執(zhí)行時間日歷時間時鐘時間可選的時間類型程序A程序B程序CT1T2T3T4T5T6程序A(執(zhí)行時間)=T1+T3+T6程序A(時鐘時間)=T1+T2+T3+T4+T5+T6獲得無失效(fail-silent)軟件削減軟件中缺陷數(shù)量避錯排錯削減用戶遭遇潛在缺陷的可能性在正式發(fā)布前,基于運用模型進行測試,降低將來用戶觸發(fā)潛在缺陷的概率對已發(fā)生的故障進行正確處理容錯復(fù)原提要軟件失效機理與對策軟件牢靠性與平安性典型失效事務(wù)與教訓(xùn)32133軟件失效管理34典型失效事務(wù)與教訓(xùn)Therac-25失效事務(wù)Therac-25是AtomicenergyofCanadaLtd開發(fā)的一款放射治療儀1985.6~1987.1,6人治療過量,其中3人死亡典型失效事務(wù)與教訓(xùn)Therac-25失效緣由主循環(huán)中存在競爭條件寄存器溢出典型失效事務(wù)與教訓(xùn)Therac-25失效帶來的教訓(xùn)系統(tǒng)平安性分析、風(fēng)險分析未包含軟件Therac-25重用了T-20的軟件,假設(shè)和前提發(fā)生了變更,但未受到關(guān)注典型失效事務(wù)與教訓(xùn)Ariane5失效事務(wù)1996年6月4日,Ariane5放射40秒后爆炸典型失效事務(wù)與教訓(xùn)Ariane5失效的干脆緣由將一個64位浮點值轉(zhuǎn)換為16位有符號整數(shù)值時,超出了16位整數(shù)的表示范圍,而這個異樣未得到正確處理典型失效事務(wù)與教訓(xùn)Ariane5失效帶來的閱歷教訓(xùn)作了Ariane5和Ariane4具有相同環(huán)境的假設(shè),重用軟件在新的環(huán)境下完全沒有進行測試異樣處理模塊的處理機制不正確典型失效事務(wù)與教訓(xùn)火星探測器失效事務(wù)1999年,火星氣象衛(wèi)星(MarsClimateOrbiter)到達火星之后不久就消逝1999年,火星極地登陸者(MarsPolarLander)在火星上著陸時墜毀典型失效事務(wù)與教訓(xùn)火星探測器失效緣由地面系統(tǒng)軟件和飛行器上軟件分別運用公制和英制兩種單位典型失效事務(wù)與教訓(xùn)火星探測器失效帶來的教訓(xùn)沒有進行充分的測試發(fā)覺異樣時,沒有被恰當(dāng)?shù)恼f明典型失效事務(wù)與教訓(xùn)1982年6月:邏輯炸彈導(dǎo)致蘇聯(lián)西伯利亞自然氣管道毀滅性爆炸(CIA)迄今為止最巨大的非核爆炸,甚至從太空可以看到火光由計算機限制系統(tǒng)中惡意功能導(dǎo)致,是最早的證明邏輯炸彈威力的案例在系統(tǒng)運行了確定的時間間隔后,重新設(shè)置泵的速度和閥門參數(shù),產(chǎn)生遠遠超過管道連接和焊接處可承受的壓力典型失效事務(wù)與教訓(xùn)StuxNet事務(wù)2009~2010年,StuxNet蠕蟲攻擊伊朗的核支配,成功破壞了伊朗的鈾濃縮系統(tǒng)定向攻擊SCADA系統(tǒng),目標(biāo)針對Seimens限制器和特定配置的設(shè)備Stuxnet運用了兩個數(shù)字證書、多個未知漏洞、多種傳播途徑典型失效事務(wù)與教訓(xùn)GE醫(yī)療軟件因失效主動召回銀聯(lián)出租車計價器酒店客房智能管理空調(diào)/機頂盒電子秤/加油機/保險柜(保密柜)……提要軟件失效機理與對策軟件牢靠性與平安性典型失效事務(wù)與教訓(xùn)32133軟件失效管理34牢靠性問題的答案在哪里?你的軟件牢靠嗎?你的測試過程須要改進嗎?你的開發(fā)過程須要改進嗎?不行靠的緣由是什么?軟件失效管理利用“信息反饋,閉環(huán)限制”的原理,通過一套規(guī)范化的程序,使發(fā)生的產(chǎn)品失效能得到剛好的報告和訂正,從而實現(xiàn)產(chǎn)品牢靠性的增長,達到對產(chǎn)品牢靠性和修理性的預(yù)期要求,防止失效再現(xiàn)基于風(fēng)險水平管理失效建立企業(yè)的牢靠性閱歷FRACAS“失效報告、分析及訂正措施系統(tǒng)”,是“FailureReportAnalysisandCorrectiveActionSystem”的縮寫也稱為“失效信息閉環(huán)管理系統(tǒng)”一組過程、規(guī)則和軟件工具,在產(chǎn)品生存期后端起先運用,是跟蹤系統(tǒng)牢靠性的方法建立企業(yè)失效信息數(shù)據(jù)庫,供應(yīng)數(shù)據(jù)支持軟件牢靠性設(shè)計和分析修理策略、保障策略和備件策略的制定FRACAS過程記錄事務(wù)分析失效模式開展訂正活動檢驗訂正活動識別失效趨勢確定單個部件對失效產(chǎn)生的作用FRACAS學(xué)問積累知識庫失效事件失效報告根源分析糾正措施閉環(huán)驗證可靠性分析產(chǎn)品改進①②③④⑤⑥⑦FRACAS信息流失效記錄失效報告失效分析訂正措施閉環(huán)管理售后服務(wù)數(shù)據(jù)庫FRACAS數(shù)據(jù)庫外場失效廠內(nèi)失效通用質(zhì)量學(xué)問庫學(xué)問管理FRACAS文檔記錄失效記錄表失效報告表失效分析表訂正措施表閉環(huán)管理表FRACAS工作系統(tǒng)組織機構(gòu)(各方代表)人員職責(zé)分工工作的流程資源保障FRACAS信息系統(tǒng)與牢靠性信息系統(tǒng)的關(guān)系信息精確與完整性剛好性、正確性可追蹤性利用FRACASFRACAS數(shù)據(jù)庫FMEA設(shè)計準(zhǔn)則牢靠性評估牢靠性增長支配失效模式手冊關(guān)鍵件判定和失效歷史運用、失效、修理信息失效統(tǒng)計分析失效分級管理失效狀態(tài)可劃分為不同的等級不同的失效狀態(tài)對牢靠性的影響具有差異軟件失效的分級可以依據(jù)不同的前提所帶來的平安風(fēng)險所造成的經(jīng)濟損失對系統(tǒng)任務(wù)的影響失