软件企业年审流程(精选7篇)
一、审核项目:软件企业年审
二、项目审核单位:四川省经济和信息化委员会
三、审核进度时间
1、每年3月份经信委发出软件企业年审通知。
2、要求提交的资料大概截止时间为4月底。
3、年审合格通知第一批时间大概为6月底,交了年审材料但没有在合格名单中的企业将在下一批评审,届时会通知。
四、年审范围:(四川汉科属于第一条年审范围)
1、2013年认定的软件企业(证书编号含“川R-2013”)按《软件企业认定管理办法》(工信部联软〔2013〕64号)(附件1)进行年审。2、2013年年审合格的软件企业。享受企业所得税优惠政策期满的按《软件企业认定管理办法》(工信部联软〔2013〕64号)进行年审,期未满的按《软件企业认定标准及管理办法(试行)》(信部联产〔2000〕968号)进行年审。
注:如上一年未参加年审的企业,须以书面形式说明情况,于4月10日前将情况说明送达到四川软件行业协会,经审核同意后方可参加本年审。
五、年审前需要提交的资料
1.《软件企业年审申请书》(试行)(适用工信部联软〔2013〕64号文)(附件2)。
2.《软件企业年审申报表》(适用信部联产〔2000〕968号文)(附件
3)。
六、年审提交资料要求:申报资料纸制文件一式一份及电子文档提交到四川省软件行业协会。
七、四川省软件协会地址:桂王桥西街66号
八、联系人及电话
省经信委 邱春梅 吴伟 夏阳 86269100
省国税局所得税处薛 萍 86734405
省国家税务局流转税处 勾能建 86734404
省国家税务局政策法规处 邵天喜 86734264
省地方税务局所得税处 候朝贵 85459958-81419
四川省软件行业协会 邓小华 祝 瑶 86620835、86623615
九、年审合格公告查询网址 http://:8080/gov/page/golw1_n.jsp?ID=288
十、年审合格后办理事宜
1、办理“软件企业年审盖章”。
2、领取“省经信委关于年审合格通知”
十一、盖章和领通知所需资料
1、介绍信。
2、软件企业认定证书,包括正副本。
十二、办理地点及联系人和电话
四川省经济和信息化委员会东楼216办理(天府广场毛主席像背后)
关键词:企业流程,软件开发,项目教学
1 引言
高校就业红牌专业分为二类, 一类如“法律事务”、“工商管理 ”等供大 于求的专 业 ; 另一类是 长年占据 红牌榜的“计算机应用技术 ”、“电子商务”等IT专业群 , 属于人才培养质量达不到企业要求的专业。
在软件领域, 只有少数人从事标准协议、编程语言等基础软件研发。这些人确实需要比较深厚的相关知识。但更多从事的是应用型技术工作, 对他们的能力要求是掌握一、二门编程语言, 运用各种工具, 在了解客户所在行业领域知识基础上针对客户需求提出解决方案, 并以程序呈现。
高校学生经过适当的培训之后, 完全能够从事一般软件开发工作, 并且在进入软件行业后, 能够随着项目经验的积累, 技术层级不断提升, 职业生涯发展前景广阔。
把软件企业工作流程内化到教学过程中, 把知识要求融合到软件开发项目教学中, 采用真实企业流程开发模式。这种模式根据企业项目开发流程, 把一个完整的教学过程分为:项目立项、项目计划、需求分析、系统设计、 编码测试、项目答辩、项目总结7个阶段, 教师就是项目经理, 学生就是程序员, 项目经理打破课程界线, 具备若干门课程的贯通能力, 分阶段指导学生 (程序员) 完成若干个从功能模块到小型、中型项目。学生从开始完成简单的功能模块中体验成就感-->建立自信心-->激发兴趣, 再到完成更大的项目, 体验更大的成就感-->更强的自信心-->更高的兴趣, 形成良好的学习体验。
2 软件开发教学
依据真实企业流程开发模式把教学过程严格按照企业流程顺序实施, 摈弃传统教学模式, 避免学生学过却不知能做什么、知道能做什么但不知道怎么做、没有真正的企业开发经验等一系列企业诟病的缺点。本模式将一个完整的项目开发贯穿整个教学活动中, 每阶段学生目标明确。
2.1 项目立项
一门专业技术课程开始 前 , 教学过程 从项目立 项开始 ,让学生有一个明确的学习目标: 这门课程的学习我能干什么,企业是怎么开始一个真实完整项目的。
立项是软件开发项目管理流程中一个 非常重要 的环节。立项是去确定软件项目的目标, 立项决策是否正确直接决定整个项目的成败。立项也是软件项目正式启动之前对项目的功能、人员安排、时间控制、 风险规避等进行计划的 过程 ,目的就是为了确定项目的方向及可用资源, 保证项目的实施是可行的, 且有据可依。
编写文档也是软件开发中重要的环节, 高校专业教学环节中一般忽视文档编写, 为提高学生项目开发经验, 文档编写是本教学模式重要内容之一。
本阶段提交立项文档及资料包括: 程序员 (学生) 提供《项目立 项及开发 规划说明 书》、项 目原型 ; 项目经理 提交《项目立项评审报告》。
2.2 计划
通过项目立项学生知道了学习目标, 根据企业流程下一步实施项目计划, 该阶段是项目开发环节的一个里程碑, 标志着项目真正开始。相关专业技术虽然还没开始, 但学生开始体验企业真实开发流程。
项目计划是用于协调所有项目计划编制文件、指导项目执行和控制的文件, 是实现成功的系统的路线图。它提供了一种手段来通知每个人希望他们做什么及何时完成。它帮助项目经理使管理层了解项目状态和调整特殊的资源。逐项列记的 “一览表”协助对任何变动的影响进行迅速评估。项目计划为今后项目的任务划分和估算提供了有用的信息。
项目计划阶段文档及资料包括项目开发计划表、项目开发计划评审报告。
2.3 项目需求
本阶段是让学生对本门课程所能实现的项目所要实现功能有一个全面印象, 也进一步熟悉企业开发流程。
软件需求宽泛地讲, 需求来源于用户的一些" 需要", 这些" 需要" 被分析、确认后形成完整的文档, 该文档详细地说明了产品" 必须或应当" 做什么。是用户对目标软件系统在功能、行为、性能、 设计约束等方面的期望。
国内软件业的痼疾是人们并不清楚究竟该做什么, 但却一直忙碌不停地开发。
需求的重要性在于开发软件系统最困难的部分就是准确说明开发什么。最困难的概念性工作是编写出详 细的需求 ,包括所有面向用户、面向机器和其他软件系统的接口。此工作一旦做错, 将会给系统带来极大的损害, 并且以后对它修改也极为困难。需求是产品的根源, 需求工作的优劣对产品影响最大。
本阶段最后各项目小组需要提交下列文档:《需求规格说明书》、《XX班项目过程监《需求规格说明书评审报告》、控表》。
2.4 系统设计
系统设计是新系统的物理设计阶段, 根据系统分析阶段所确定的新系统的逻辑模型、功能要求, 该文档详细地说明了产品相关功能“怎么做”。通过本阶段学生对整体项目和即将学习的相关专业技术有一个全局观。
在用户提供的环境条件下, 设计出一个能在计算机网络环境上实施的方案, 即建立新系统的物理模型。一个好的软件设计至少会提高软件的质量、节约开发成本。设计是需求的根源, 设计工作的优劣对产品影响最大。
本阶段最后各项目小组需要提交下列文档:《系统设计说明书》、《XX班项目过程监《系统设计说明书评审报告》、控表》。
2.5 项目编码与测试
本阶段工作贯穿整个专业技术授课过程中, 学生不再盲目地学习, 通过前期项目开发流程的熟悉, 学生现在对如何实现项目中的功能模块充满了期待。本阶段也是提升学生技术关系阶段。
编码是按照“项目开发计划”阶段制订的编码计划, 由各小组成员用所掌握的技术实现分配的功能模块; 项目经理和项目组长通过“敏捷开发”监控编码的进度和开发过程。
编码过程贯穿至专业课程授课过程中, 确保学生每天有固定的编码时间, 其次在技术复习环节中穿插安排一次项目编码课, 方便教师对项目进行管理。项目经理可以利用此次项目编码课, 集中讲解项目中的共性问题, 以此保障项目的正常开发进度, 从而确保项目的最终完成。
测试阶段是按照“项目开发计划”阶段制订的计划按照小组成员交叉测试的原则检测项目的功能完成情况, 并由测试人员填写“项目测试报告”。
2.6 项目答辩
课程结束后项目也基本结束, 根据企业开发流程学生开始准备项目答辩。刻意培养学生表达能力也是项目答辩的目的之一。
项目答辩是一种有组织、有准备、有计划、有鉴定的比较正规的审查项目的重要形式。
本阶段最后各项目小组提交下列文档:《XX小组XX项目验收报告》、《XX项目答辩评分统计表》。
2.7 项目总结
《项目总结报告》是对项目期间工作加以总结 , 分析和研究、肯定成绩、找出问题、得出经验教训、 摸索软件开发规律, 用于指导下一个项目的开发, 少犯错误, 提高工作效益同时也促进项目组成员提升团队合作意识、团队技 术能力成员成本意识以及团队成员间的相互了解。 本阶段最终也是为了提高学生技术学习的成就感。
《项目总结报告》包含的内容 : 项目基本情况、项目的完成情况、任务及其工作量总结、 项目进度、项目总结、收获和不足、团队合影 (形式活泼一点, 印象深刻一点)、研发过程花絮 (视频) 等。
本阶段程序员提交《项目总结报告》, 同时程序员将项目运行效果截图, 再使用录屏软件将运行效果录制成视频文件打包上交。
至此, 一门专业课程结束。整个教学模式中学生不仅掌握了相关开发技术, 也通过依据真实企业流程实施的项目教学过程充分体验了企业开发流程, 积累了项目经验。
3 结语
北京市
1 北京雍和嘉诚拍卖有限公司 2 太平洋国际拍卖有限公司 3 北京市古天一国际拍卖有限公司 4 北京长凤拍卖有限公司 5 北京匡时国际拍卖有限公司 6 北京中博国际拍卖有限公司 7 北京诚轩拍卖有限公司 8北京紫禁万象国际拍卖有限公司 9 中鸿信国际拍卖有限公司 10 北京盛佳国际拍卖有限公司 11 北京保利国际拍卖有限公司 12 金懋国际拍卖有限公司 13 北京东正拍卖有限公司 14 中都国际拍卖有限公司 15 北京盘古拍卖有限公司 16 中安太平(北京)国际拍卖有限公司 17 北京三希堂国际拍卖有限公司 18 北京东西方国际拍卖有限责任公司 19 北京中鼎国际拍卖有限公司 20 中贸圣佳国际拍卖有限公司 21 北京翰海拍卖有限公司 22 北京太和天辰国际拍卖有限公司 25 北京海王村拍卖有限责任公司 24 北京中嘉国际拍卖有限公司 25 舍得拍卖(北京)有限公司 26北京海士德国际拍卖有限公司 27 更乐(北京)国际拍卖有限公司 28 北京宝鼎拍卖有限责任公司 29 北京都市联盟国际拍卖有限公司 30 北京卓德国际拍卖有限公司 31 北京景星麟凤国际拍卖有限公司 32 北京鼎时国际拍卖有限公司 33 北京维塔维登国际拍卖有限公司 34 北京诚灏国际拍卖有限公司 35 北京华夏传承国际拍卖有限公司 36 北京玄和国际拍卖有限公司 37 北京江洋富通国际拍卖有限公司 38 北京印千山国际拍卖有限公司 39 北京华铭国际拍卖有限公司 40 北京宝瑞盈国际拍卖有限公司 41北京亚洲容海国际拍卖有限公司 42北京盈时国际拍卖有限公司 43 北京开元天兴拍卖有限公司 44 北京中拍国际拍卖有限公司 45 北京中汉拍卖有限公司 46 北京永乐国际拍卖有限公司 47 北京亚洲宏大国际拍卖有限公司 48 大唐国际拍卖(北京)有限责任仑司 49 北京中投嘉艺国际拍卖有限公司 50 北京建亚世纪拍卖有限公司 51 北京中招国际拍卖有限公司 52 中恒一品(北京)国际拍卖有限公司 53 北京文津阁国际拍卖有限责任公司 54 北京海华宏业拍卖有限责任公司 55 北京际华春秋拍卖有限公司 56 朔方国际拍卖(北京)有限公司 57 宝腾国际拍卖有限公司 58 鼎周(北京)国际拍卖有限公司 59 北京文博苑国际拍卖有限公司 60 北京世纪盛唐国际拍卖有限公司 61 北京嘉禾国际拍卖有限公司 62 北京歌德拍卖有限公司 63 汉秦(北京)国际拍卖有限公司 64 北京琴岛荣德国际拍卖有限公司 65 东方国际拍卖有限责任公司 66 北京华夏藏珍国际拍卖有限公司 67 北京华辰拍卖有限公司 68 北京荣海嘉国际拍卖有限公司 69东方求实国际拍卖(北京)有限公司 70 北京万隆拍卖有限公司 71 北京明珠双龙国际拍卖有限公司 72 北京荣宝拍卖有限公司 73 北京百衲国际艺术品拍卖有限公司 74 中国嘉德国际拍卖有限公司 75 北京九歌国际拍卖股份有限公司 76 北京中贸拍卖行有限责任公司 77 北京今典联合国际拍卖有限公司 78 北京宣石国际拍卖有限公司 79 北京日隆天一拍卖有限公司 80 北京东拍国际拍卖有限公司 81 中联国际拍卖中心有限公司
天津市
82 天津国际拍卖有限责任公司 85 海天国际拍卖(天津)有限公司 84 天津鼎天国际拍卖有限公司 85 天津瀚雅拍卖有限公司 86 天津蓝天国际拍卖行有限责任公司 87 天津市同方国际拍卖行有限公司
河北省
88 大马河北拍卖有限公司
山西省
89 山西百业拍卖有限公司 90 山西晋宝拍卖有限公司 91 山西晋通拍卖有限公司 92 山西晋德拍卖有限责任公司 93 山西融易达拍卖有限公司 94 山西兴晋拍卖股份有限公司
辽宁省
3、在打印的年检报告书(包含资产负债表和利润表)上代理人证明书贴上代理人身份证复印件(减小的正反面),并在其下方写上“此复印件与原件一致,签上经办人名字及日期"。并根据实际情况在需要盖章签字的地方签名盖章
4、将报告书打印之后带上报告书、营业执照副本到工商局相应窗口递交,并盖上年检戳记(营业执照年审完毕)。
5、营业执照年检完毕后代上已年检的营业执照副本及复印件、组织机构代码证正副本、经办人身份证原件(区上和市上可要可不要最好带上)及复印件(省上工商局需要法人身份证原件及复印件)到相应窗口递交资料及贴上年检标志(组织机构代码证年审完毕)
汽车年审有助于排除汽车故障,那汽车年审需要带什么材料呢?下面一起来看看相关内容。
汽车年审需要带上哪些材料?
小型、微型非营运载客汽车6年以内每2年检验1次;超过6年的,每年检验1次;超过15年的,每年检测2次,尾气检测随年检日期(即领取一年有效期的“黄/绿标”)。
其他车型年检规定:
1、营运载客汽车5年以内每年年检1次;超过5年的,每6个月年检1次。
2、载货汽车和大型、中型非营运载客汽车10年以内每年年审1次;超过10年的,每6个月年审1次。摩托车4年以内每2年年审1次;超过4年的,每年年检1次。
分享一点我们自己的经验:行驶证副本上面印有检验有效期,年审一般下午比上午的速度快,检测站排队车辆也相对较少,根据目前情况可预算半天时间前往,车管所上班审核资料时间为:星期一至五,09:00-17:00,而深圳各处检测站会在8点钟,提前一小时上班。
汽车年审需要带什么材料
年检时都要带齐什么
1、车。
2、行驶证。
3、正副本齐全。
4、有效期内的道路交通强制保险单(即交强险的副本),如果副本页已丢失,就带上交强险的正本,并且A4纸复印一下。
5、车船税缴纳单,一般情况下这个税费与交强险同在一张单上。深圳自09年始,购买交强险的同时必须车船税一起缴纳。
6、身份证和身份证复印件;公司单位的车需要公司代码证及代办人的身份证明。
年审前做什么准备
1、检查车辆是否存在违章记录,如有到交警队缴清违章(违章查询)。
2、车辆年检应尽量提前前往,因为众多车主在年检过线时,才发现车辆违章被卡,无法正常年审。灭火器(大型汽车必须)、停车标志(三角架)。
3、年检一定要赶前别赶后,每月初验车会很快。
年审的具体流程
这里以梅林车管所对面的恒顺通机动车检测站作为年审流程例子来个现场讲解。
第一步:先把三角架取出置于副驾座位,将车驶上预检车位,免熄火离开车辆,工作人员会接应。
第二步:到2号窗口递上行驶证,进行“汽车资料录入”并在1号窗进行交费共150元(见附图一)(检测收费一览表)。得到一张“手写式的发票”内容是检测费、拓印费、照相,以及“领回行驶证”与“初验凭证”的小单。此时工作人员会告诉你,请前往最里面的3号窗等待。
领取到的资料:初验凭证、交费发票、拓印车架码专用的纸条、领回行驶证
第三步:此时车辆检测进行中ing„„外观检验;尾废气检测、即汽油车排气污染物排放双怠速检测或柴油车自由加速烟度排放标准检测;前轮侧滑量检测;制动性能(刹车)检测;前照灯检测;喇叭噪声检测、等等。
第四步:车辆已经通过检测流水线工作台,检测一切顺利,凭1号窗口所取的资料在3号窗领取“检测结果报告单”,此时站长会在报告单上面盖上几个章—>合格:P。同时取得免费停车放行条,检测站地方小要先把车开出站外停放。
一般新车都很容易过关,如果不合格的车辆,需要到旁边的汽修厂调试后重新上线,当然要再交一次基本检测费。
领到资料:检测结果报告单(这是车辆机械方面的检验报告)、机动车查验记录表(这是车辆外观的检验报告;车架号拓印码就贴在上面)未上检测线之前先拓印车架码,或者过完检测流水线后再补回拓印车架码。
第五步:《办证室》核发检验合格标志,填写《机动车牌证申请表》
上交资料:检测结果报告单、机动车查验记录表、行驶证、交强险保单-副本页、机动车牌证申请表、车主身份证或居住证;如果是代办,同时提供代办人的证件。
车辆已通过检测线,也拿到各项检测数据后,还必须通过电脑把这些资料传送给车管所审核,得等审核通过以后,才能在行驶证上面盖章,最快也得等半个小时以上。
得到的资料:行驶证年审取证凭证(可坐着一旁,等待工作人员叫车牌号)
第六步:车管所审核通过后,会在行驶证副本上面盖章,并且核发“机动车检验合格标志”(贴于前挡风玻璃左上角)。另外“机动车检验合格标志”,此标后面和行驶证副证上均打印有效期。
第七步:到窗口4 报上车牌号码,领取 黄绿标志(贴于前挡风玻璃左上角)。到此年审完毕。
年检费用多少——目前合计:150元(2010-7月信息)
可以委托别人年审吗?——可以,需要委托人提供本人的身份证明,备齐车主的相关手续。
在外地年检可以吗?需要什么手续?
可以,车主凭行驶证和机动车第三者责任强制保险凭证到住地车管分所申请办理《委托核发机动车检验合格标志通知书》,车管分所审核合格的,填写《机动车委托检验通知书》,在《机动车行驶证》副证上加盖“委托检验”章,交机动车所有人。在外地检验合格后,外省市车管所应当将委托通知书的回执单和《机动车定期检验登记表》寄回本市车管所,由本市车管所在计算机登记系统内记载定期检验记录。
注意:大型客车、涉及道路交通安全违法行为和交通事故未处理完毕的机动车,不予办理委托检验。深圳市交警局从2007年10月8日起在深圳市全部机动车安全技术检验机构派驻民警,并开设核发机动车检验合格标志业务和非现场执法交通违法处理业务。车辆年检可在机动车安全技术检验机构享受一站式服务。
二、未确定环保分类标志种类车辆的黄绿标领取点、标志补领及标志的复核更改点:市环保局机动车尾气复检点。电话:83127392、83799134。地址:福田区上梅林中康北路往北直行至二线铁丝网右转(或凯丰路向北至汇龙花园左转,环境监测大楼后面)。
最后分享一下关于车辆开出外地以后,在外地办理年检的,即异地年审的办理,以及年检委托书的写法 实际上办理异地年检,跟本地办理基本上是一样的,只是车主需要提供一个“年检委托书,这个委托书需要到车管所部门开去加盖印章,下面是年审委托书的一份样式,有需要的可以根据这个,填入相关资料即可。
办理机动车业务委托授权书
××市公安局公安交通管理局车辆管理所:
兹授权被委托人(代办人)代表(车辆所有人)办理(委托代办范围)业务。
机动车所有人确认:经办人在申请上述业务时签署的文件、提供的资料有效,代表机动车所有人的意愿。
委托办理车号牌或识别代号。
本委托有效期:XXXX年XX月XX日至XXXX年XX月XX日。
本授权为经办业务授权,再次委托无效。
机动车所有人(盖章):
授权经办日期:XXXX年XX月XX日
一、贷款卡申请办理流程介绍
1、申请办卡企业需下载:中小企业信息电子模板、贷款卡发放及年审基本信息电子模板、贷款卡发放年审财务报表电子模板、贷款卡申请书暨年审报告书(A4纸双面打印)进行填写。
2、打印:贷款卡申请书暨年审报告书(A4纸双面打印)进行签字盖章。
3、使用光盘刻录:中小企业信息电子模板、贷款卡发放及年审基本信息电子模板、贷款卡发放年审财务报表电子模板。
4、准备贷款卡申请书暨年审报告书(A4纸双面打印)材料中第16页要求提供的材料。
5、将上述打印材料、光盘及相关材料提交开户行进行审批后,由开户行向当地人民银行提交进行贷款卡的申请办理手续。
二、贷款卡年审办理流程介绍
1、企业年审需下载:中小企业信息电子模板、贷款卡发放及年审基本信息电子模板、贷款卡发放年审财务报表电子模板、贷款卡申请书暨年审报告书(A4纸双面打印)进行填写。
2、打印:贷款卡申请书暨年审报告书(A4纸双面打印)进行签字盖章。
3、使用光盘刻录:中小企业信息电子模板、贷款卡发放及年审基本信息电子模板、贷款卡发放年审财务报表电子模板。
4、准备贷款卡申请书暨年审报告书(A4纸双面打印)材料中第16页要求提供的材料。
5、将上述打印材料、光盘及相关材料向当地人民银行提交进行贷款卡年审的申请办理手续。
三、注意事项
1、贷款卡年审不需要提交开户行进行审核。年审直接到当地人民银行办理,个旧市地区的贷款卡年审到中国人民银行红河州中心支行办理。
2、新申办贷款卡通过基本帐户开户行委托办理。
在办理贷款卡申办及年审过程中如果有疑问可直接向开户行或当地人行相关人员进行咨询。
中国人民银行红河州中心支行
软件工程的出现是为了应对因为软件的需求量大量增加而出现软件开发的“软件危机”而产生的。所谓的软件工程就是借鉴传统工程的方法进行软件开发, 软件工程中经典的软件开发流程包含几个阶段, 分别是需求分析、概 要设计、详细设计、 编码、测试、运行和维护。
软件工程的出现, 使得研发出质量过关、成本合算的软件产品成为常态,“软件危机”的问题得到了解决, 但是随着软件使用的进一步广泛, 软件产品在人们生产和生活中所占的地位越来越重要, 出现了新的问题, 就是软件安全。而原有的软件开发的工程流程无法很好地解决软件安全问题[1]。
以原有的软件工程中的软件开发流程为基础, 并参考已有的软件安全开发流程SDL, 进行适当的改造, 提出一种新的软件安全开发流程。
2 现有的软件安全开发流程
2.1 SDL 介绍
随着软件使用的普及, 已经有一些有识之士对软件安全问题有所研究, 并有一些可以使用的成果, 在这之中, 软件安全开发流程也应运而生。迄今, 最为普及的软件安全开发流程是微软提出的软件安全开发周期—-SDL, 这个流程的典型之处在于它把安全工作贯穿于整个软件开发的生命周期中,而且, 即使仅仅是对其中的一个过程进行安全工作, 也能大大提高软件的安全性。下面对SDL进行简单的说明。
在一个完整的软件SDL实施过程中, 一共可以分为13个阶段。
(1) 安全教育和提高安全意识
(2) 项目启动
(3) 定义并遵从设计最佳实践
(4) 产品风险评估
(5) 产品风险分析
(6) 为客户创建安全文档 , 工具
(7) 安全编码策略
(8) 安全测试策略
(9) 安全推动活动
(10) 产品最终安全评审
(11) 安全响应计划
(12) 产品发布
(13) 执行安全响应
SDL可以有效 地提高软 件安全性 , 降低软件 安全问题 。据微软提供的相关数据显示, 使用SDL进行开发的WindowsVista所发现的安全漏 洞比没有 使用SDL的Windows Xp减少45%; 使用SDL开发流程的s QLServer2005发现的安全漏 洞比没有使用SDL的SQL Server2000减少91%[2]。
SDL具有一些 明显的优势 , 它既可整 体使用也可以 在某一个阶段使用, 灵活性高, 而且它与一般的开发流程比较匹配, 所以实用性很高。另外 , SDL不仅仅适 合微软的 平台 ,还适用于多种平台; SDL有比较充分的工具支持, 例如威胁建模和静态源代码分析工具; SDL属于微软开发, 所应有的文档非常详细。
2.2 SDL 应用现状
通过2010年在美国旧金山的RSA会议上对软件开发流程与安全结合的调查数据发现, 目前的软件公司已经开始关注软件的安 全问题 , 而且其中 超过50%的调查参 与者表示 对SDL进行关注 。但是进 一步的调 查数据显 示 , 在开发过程中真正应用了SDL的参与者仅仅13%。
没有使用软件安全开发流程的调查参与者也给出了自己的理由, 主要是其时间成本、资源成本以及暂时的安全意识。由此看来, 即使对软件安全开发流程的关注度越来越高, 但是其实际使用情况仍不够理想。通过调查发现, 企业规模是影响是否使用安全开发流程的重要因素之一。大企业可以承担更大的资源投入, 保证安全工具和安全活动的费用, 而一些中小企业对投入有一定的担忧[3]。
3 对 SDL 的改进
有大量的数据证明, 软件安全测试介入的时间越晚, 所需要的付出越多。在软件发布后对安全漏洞的修复所需的成本至少是在软件设计和编码阶段就进行修复的30倍。成本与开发周期关系如图1所示。
SDL的出现正是为了解决上 述问题 , 但是现有的SDL具有一定的限制性, 为了提高SDL的适用对象, 降低其经济要求, 将SDL进行了适当的改造。经过改造的软件安全开发流程的核心是安全知识库, 安全知识库在软件生命周期中一直有效, 并起到不同的作用。为了将软件开发流程变得更加灵活, 将软件开发周期简化为需求、设计、测试、维护4个阶段。在这4个阶段中, 采取不同的活动来提高软件安全性[4]。
3.1 安全知识库
在所改造的软件开发流程中, 安全知识库是最核心的存在, 它可以包含很多内容, 包括产品风险库, 软件安全漏洞库, 软件安全开发设计规则, 安全工具, 甚至包括一些相应的安全知识培训, 如图2所示。
产品风险库: 包括在项目开展之初的需求风险和已经评估的风险。
安全工具: 包括网络安全测试工具以及白盒安全测试工具。例如App Scan, Sninffer; 白盒安全 测试工具 包括Fortify或者Check Marx。
安全知识文档: 项目累积的安全经验文档或者培训文档。
安全漏洞库: 能够收集到的相关的产品安全漏洞, 包括网络和代码级。
安全设计规则: 安全开发基础知识, 例如编码规则。
安全知识库在软件安全开发流程中的地位极其重要, 在每一个开发阶段都可以使用安全知识库中的内容。
3.2 需求阶段
需求阶段的主要工作是需求收集和需求分析。在这个阶段, 可以根据安全知识库的产品风险库对产品需求进行分析,把隐含安全风险的需求重新设计, 或者计算针对某些功能或者过程不进行安全活动将会有多大的损失。
3.3 设计阶段
设计阶段分为概要设计和详细设计。概要设计阶段, 将主要是对软件架构设计, 软件模块功能定义, 在这一阶段需要参考产品风险库和漏洞库, 对一些已知的安全问题进行预处理, 尤其是一些网络软件, 面对各种广为人知的攻击手段做出相应的设计。
详细设计阶段的工作主要是代码编写, 这时要根据漏洞库---主要是白盒安全漏洞和安全设计规则进行编码。对于白盒安全漏洞, 现在已经有比较成熟的定义, 例如fortify对白盒安全漏洞的分类和定义, 参考这些漏洞分类, 结合已经比较成熟的保证编码质量的编码规则进行详细设计工作。
3.4 测试阶段
软件安全的测试工作, 主要分为3种类型, 第一种是模糊测试: 这种测试的原理是向目标系统发送非预期的输入并观察结果来发现软件漏洞。一般是设置大量非正常形数据进行解析, 并包含了对网络协议和不信任的访问所产生的问题代码的测试。第二种是渗透测试: 这种测试是为了证明网络防御按照预期设置正常运行的一种机制。它主要用来测试网络和主机系统的操作配置以及补丁的修复程度, 较多的是使用模拟攻击发现信息系统中的漏洞, 发现系统的脆弱性。第三种是运行时验证: 对运行中的问题进行验证, 用来完成常规运行中的测试和对问题日志的分析。可以使用缺陷分类表或者风险分类表来对测试出的缺陷进行统计, 使用相应的测试方法修复发现的缺陷[5]。
在这一阶段, 可以大量的使用安全工具进行测试, 比如网络软件的安全, 使用一些渗透性测试工具进行测试 (如Active Perl, Sniffer) ; 代码级的 安全测试 , 主要依靠 一些静态测试工具和动态测试工具, 比如专门代码静态安全测试的fortify, Check Marx; 还有一些 对于软件使用 环境和整 体软件系统的安全测试, 例如美国的安全软件nessus。现在, 软件安全测试工具越来越多, 已经涌现出许多成熟的或者有特点的商业的或者开源的软件安全测试工具, 国内也有一些不错的软件安全工具, 例如启明星辰天镜或者安华明鉴, 这些都为实施软件安全的测试工作提供便利。在这一阶段, 从成本考虑出发, 大量的开源工具是优先考虑的。
3.5 维护阶段
维护阶段的工作主要是处理已经出现的安全问题并且将问题和处理方法搜集入安全知识库, 为以后的软件安全开发提供知识储备。
经过简化后的软件安全开发流程仅仅包括了需求、设计、测试、维护4个阶段, 这4个阶段都需要使用到安全知识库,所以建立的这套流程核心仍然是安全知识库。改造后的软件安全开发流程更加灵活, 可是适应不同的开发流程, 一旦建立安全知识库后, 也可以在不同的阶段开展软件安全开发工作, 降低安全成本。
4 结语
软件安全开发生命周期的应用主要是为了减少安全漏洞和降低安全漏洞的影响。但是软件开发仅仅是基于目前最优的安全方案, 新的攻击手段层出不穷, 所以安全问题和软件漏洞是不可能被彻底消除的。
【软件企业年审流程】推荐阅读:
软件企业认定证书10-22
企业管理软件平台介绍07-07
如何销售企业管理软件09-08
企业标准信息管理平台软件调研报告07-27
选择企业信息化软件的五要素06-03
中小企业ERP管理软件应具备的条件06-04
企业年审委托书07-21
软件销售基本流程07-07
软件测试一般流程09-14