Elicitación y trazabilidad de requerimientos utilizando patrones de seguridad

Abstract

En este trabajo se describe un método para incorporar Patrones de Seguridad en el dominio específico de una aplicación con requerimientos de seguridad. Se utiliza la relación entre un glosario de términos específicos (LEL) y los Escenarios, asociados a casos de uso, para abstraer el conocimiento de ambos dominios: el propio de la aplicación y el de la seguridad. Luego con una nueva versión de la herramienta Baseline Mentor Workbench (BMW), se puede deducir el conjunto de CRC de análisis: clases candidatas. La terna: LEL, Escenario y CRC, son los componentes del modelo que nos permiten representar un Patrón de Seguridad mediante un sub-escenario con su terminología, semántica y comportamiento específicos. La información documentada en el “template” del Patrón de Seguridad, concretamente su comportamiento estático y dinámico, colaboran para conducir y validar el análisis del dominio de la aplicación con requerimientos de seguridad. De este modo el Patrón de Seguridad no sólo se incorpora al modelo de la aplicación de forma natural y controlada, sino que conduce las decisiones a tomar sobre el diseño de la aplicación. Como toda la información sobre el modelo estático y dinámico del Patrón de Seguridad pertenece a la etapa de diseño, y se integra a un modelo contextual de una aplicación perteneciente a la etapa de elicitación y análisis de requerimientos, los elementos del Patrón de Seguridad se dice que traccionan hacia etapas más avanzadas en el proceso de desarrollo de la aplicación. La herramienta extiende el concepto de “forward traceability” sobre los requerimientos de seguridad y permite tener visibilidad entre las CRC y los requerimientos que le dieron origen, sean éstos requerimientos funcionales y de seguridad. Este trabajo se ha organizado de la siguiente manera: en el Capítulo 2 se presentan aspectos relevantes del estado del arte de la producción de software seguro; se discuten algunos temas que apuntan a desarrollar un léxico y marco conceptual apropiado y otros que son motivos de investigación y desarrollo; se revisan los adelantos hechos sobre la elicitación de requerimientos de seguridad. En el Capítulo 3 se presenta el conjunto de elementos utilizados en la descripción del método propuesto: LEL, Escenarios, CRC y Patrones de Seguridad. En este Capítulo se muestra que es factible modelar un Patrón de Seguridad con los elementos descriptos: LEL, Escenario y CRC; lo cual resulta en un valor fundamental para este trabajo. En el Capítulo 4 se describe el método de elicitación de requerimientos utilizando Patrones de Seguridad, primero una síntesis de sus etapas y luego su aplicación en la construcción de una aplicación con requerimientos de seguridad. En el Capítulo 5 se describe la herramienta construida para utilizar el método propuesto. En el Capítulo 6 se presentan métodos relacionados, complementarios al propuesto en este trabajo. En el Capítulo 7 se presentan las conclusiones de este trabajo y para finalizar, en el Capítulo 8 se mencionan posibles futuros trabajos para continuar esta línea de investigación.