بخشی از مقاله
ارائه يک روش چابک امن در توسعه نرم افزار با توجه به فرهنگ مردم ايران
چکيده:
بودن در دنياي نا امن ، چرايي ، چيستي و چگونگي را در طراحي ، توسعه و گسترش نرم افزار امن مطرح مي نمايد. فرآيندهاي چابک در تحويل مطالبات کاربران سيستم بسيار کارآمد هستند و با توجه به سازگاري اين متدها با فرهنگ ايران، يک متد جوابگو در ايران مي باشد. ولي متدهاي چابک معمولا فاقد خصيصه هاي ويژه امنيت نرمافزار هستند. که بايد به طريقي مشکل امنيتي آن را برطرف سازيم .
اين مقاله با در نظر گرفتن ويژگي هاي امنيتي سه متد CRYSTAL ،ASD و DSDM که متدهاي چابک کاراتري از لحاظ امنيتي مي باشند و ساير متدهاي توسعه نرم افزار، بررسي مي کند که چگونه مي توان با در نظر گرفتن فرهنگ مردم ايران ، از متدهاي چابک براي توليد نيازمنديهاي موثر امنيتي استفاده نمود. براي اين منظور از يک پرسشنامه استفاده شده و با استفاده از روش SPSS و LISREL مورد آزمون قرار گرفت و روشي ارائه گرديد که در آن شناسايي دارايي ها که در روش چابک به آن پرداخته نشده، اضافه مي گردد، از مستند سازي کمي که در روش DSDM وجود دارد، استفاده مي کنيم .آموزش و اطلاع رساني هاي امنيتي نيز بايد در ايران انجام گيرد.
کليد واژهها: چابکي ، متدلوژي هاي چابک، امنيت ، فرهنگ ، توسعه نرم افزار
مقدمه :
امنيت نرم افزار به عنوان يک جزء کليدي در استراتژي دفاع از سرمايه گذاري کلي پديد آمده است [١] . Theresa Lanowitz از شرکت Gartner بيان ميکند که : "٧٥ درصد هک , در نرم افزار اتفاق مي افتد." اين آمار حائز اهميت است که بايد بر اساس آن عمل کرد[٢] .
اخيرا، تحقيقات مختلف ثابت کرده که تفاوت هاي فرهنگي فرايندها و نتايج تحقيقات کاربر را، تحت تأثير قرار ميدهد [٤] . جامعه ايران هم بر اساس تحليل تجارب تاريخي اين جامعه و هم از طريق بررسي نتايج برخي مطالعات ميداني داراي ويژگي هايي است که از مهم ترين آن مي توان عدم وجود استاندارد مناسب جهت مستند سازي، اعتقاد به دستاورد هاي ملموس کوتاه مدت و مقاومت در برابر تغيير(در صورت قطعي بودن تغيير تطبيق انجام مي شود) نام برد. متدهاي چابک خانواده اي از فرايند هاي توسعه نرم افزار هستند که در طول چند سال گذشته پرطرفدار شده اند [١٥,١٤ ,١٦] يکي از دلايلي که متدهاي چابک از مباحث امنيتي چشم پوشي ميکنند، برآمده از اين درک نادرست است که امنيت مانع توسعه ميگردد.[٧]. اين قضيه در مورد اکثر متدهاي امنيتي موجود صادق است [١٢ ,١٣ ,٦]. از متدلوژي هاي XP،SCRUM ،FDD و DSDM و CRYSTAL , ميتوان به عنوان نمونه هايي از فرآيندهاي چابک نام برد[٨] که ما بيشتر مطالعاتي در مورد متدلوژيهاي ASD ,CRYSTAL DSDM انجام خواهيم داد. که با بررسي ويژگي هاي امنيتي متدولوژي هاي چابک و همچنين بررسي ويژگيهاي امنيتي ساير متدولوژيهاي توسعه نرم افزار, به پياده سازي ويژگيهاي امنيتي بدست آمده از آن متدولوژي ها در متدولوژيهاي چابک با در نظر گرفتن ويژگيهاي فرهنگي مردم ايران , داريم .
مقاله به صورت زير ادامه مييابد.در بخش ٢ کارهاي مرتبط مورد بررسي قرارمي گيرد. بخش ٣ با استفاده از پرسشنامه زمينه هايي را براي افزودن امنيت به متدهاي چابک شناسايي مي کند . در بخش ٤ يافته ها مورد بررسي قرار مي گيرد و راه هايي براي توافق پيشنهاد ميگردد: چگونه متد هاي مختلف را به گونه اي ترکيب کنيم که کاملا حذف نشوند بلکه امنيت را به متدهاي چابک اضافه کند . و در بخش ٥ نيز نتيجه گيري انجام مي گيرد.
٢- پيش زمينه و کارهاي مرتبط :
ميکو سيپوننا و همکارانش به يکپارچه سازي خصيصه هاي امنيتي در متدهاي چابک پرداخته اند[١٠]. مانو پائل و همکاران به بيان ده تجربه برتر براي توسعه نرم افزار امن پرداخته اند. و بيان ميکنند که هرچند که ميتوان طراحي، توسعه و گسترش نرافزار را با توجه به امنيت انجام داد ولي عامل يابي در کنترل هاي ضروري امنيت ، احتمال درمعرض خطر قرار گرفتن و ضربه را کاهش مي دهد. و اين ده تجربه مي توانند به تکميل مأموريت SSLP براي ساخت نرم افزار مقاوم در برابر هک کمک کنند [٣] . کنستانتين بزنسو و همکاران گامي به سوي مجتمع نمودن تکنيک ها و متدهاي تضمين امنيت در شيوه هاي توسعه چابک برمي دارند. همچنين ,سپس ويژگيهاي امنيتي بدست آمده از آن متدولوژيها را ، با در نظر تکنيک ها و متدهاي قراردادري مورداستفاده در تضمين امنيت را با توجه به مقبوليت آن ها براي توسعه چابک دسته بندي مي کنند [١١].
٣ – مواد و روش ها
به منظور بالابردن سطح امنيت در توليد و توسعه نرم افزار، با بررسي فرهنگ مردم ايران , فعاليت هاي امنيتي که در منابع مختلف براي افزايش امنيت محصول توليدي پشنهاد شده است را گرد آوري کرده گرفتن ويژگيهاي فرهنگي ايرانيان در متدولوژيهاي چابک پياده سازي ميکنيم .در نهايت به فرآيندي چابک با قابليت هاي امنيتي و کاهش حداقلي ميزان چابکي و سازگاري با فرهنگ ايرانيان دست مي يابيم .
براي اينکار به طرح پرسشنامه پرداخته ، که شامل ٣٨ گويه ميباشد و سه زير سازه يا مولفه سودآوري و موفقيت در بازار(گويه هاي ١ تا ١٣)، ارتقاء سطح کيفيت (گويه هاي ١٤ تا ٢٥) و امنيت (٢٦ تا ٣٧) را در بر ميگيرد. و باضريب آلفاي کرونباخ ٨٠ درصد، پايائي آن تاييد شده بود. در اين پژوهش از روايي محتوايي استفاده شده است .
روايي محتوايي پرسشنامه توسط ٥ تن از خبرگان موضوع و کارشناسان نرم افزار مورد تأييد قرارگرفت و در بين جامعه آماري توزيع شد. روايي صوري که يکي از مشتقات روايي محتوايي است نيز در اين پژوهش استفاده شد.
جامعه آماري اين تحقيق کليه افراد حرفه اي چابک در شهر تهران مي باشد. و تعداد ١٠٠ پرسشنامه به طور تصادفي بين اين افراد توزيع گرديد. به منظور بررسي ساختار عامل هاي پرسشنامه ارائه يک روش چابک امن با توجه به فرهنگ مردم ايران ، روش تحليل عاملي اکتشافي را از طريق نرم افزار ٢١ SPSS و روش تحليل عاملي تائيدي با استفاده از نرم افزار LISREL٨٥ مورد استفاده قرار گرفت .
۴- تجزيه و تحليل داد ها
قبل از انجام تحليل عاملي اکتشافي و براي اطمينان از مناسب بودن داده ها جهت استفاده از اين روش ، آزمون (KMO) و آزمون بارتلت انجام شد. که براي عامل سودآوري و موفقيت در بازار مقدار آزمون KMO برابر ٠.٩٥٢ (٠٠٥<KMO) و برابر مقدار بارتلت ٤٥١٢.٠٧٣ (٠٠٠١>P) بود و اين حاکي از وجود همبستگي بين متغيرها و مناسب بودن داده ها جهت تحليل عاملي است . در انجام تحليل عاملي اکتشافي، براي تعيين تعداد عامل ها ابتدا از نمودار اسکري و سپس از روش واریماکس استفاده شده است . که در ان عواملی که دارای مقادیر ویژه بالاتر از 1 باشند به عنوان عامل مجزا میشوند. .
نمودار اسکری ، برای تعیین تعداد عامل بهینه در شکل 2 نشان داده شده است . چنانکه مشاهده میشود مقدار ویژه بردار اول حدود 5 ، مقدار ویژه بردار دوم 4 ، مقدار ویژه بردار سوم حدود 2.2 و مقدار ویژه بردار چهارم 1.5 میباشد .
نقطه شکستگی ، حداکثر تعداد عامل های اساسی را که باید در نظر گرفته شود ، نشان میدهد . با توجه به شکل ، تعداد عامل ها 4 میباشد .
جدول (١) نتايج حاصل از روش واريماکس را نشان مي دهد. در اين ماتريس نيز متغير عامل سود آوري و موفقيت در بازار داراي ٤ عامل مي باشد. براي تعيين سهم هر يک از سوالات در مورد عامل سود آوري و موفقيت در بازار پس از انجام تحليل عامل اکتشافي از ١٣ سوال مطرح شده ، سهم هر سوال به ٤ عامل تقسيم شده است .
با توجه به سهم سوالات فوق عامل هاي اوليه ١٣،١،٢،٣،٤،٩،١٠ بيش ترين سهم را در عامل سود آوري و موفقيت در بازار داشته است . سوالات ٥، ٧، ٨، و ١٢ به عنوان عامل هاي دوم که نقش ضعيف تري را در عامل سودآوري و موفقيت را به خود اختصاص داده اند.
در عامل هاي سوم سوال ١١ و در عامل چهارم سوال ٦ کمترين و ضعيف ترين نقش را در سود آوري و موفقيت در بازار از ديد پاسخگويان به خود اختصاص داده اند.
ساختار نهايي عوامل در ماتريس بارعاملي ارائه مي شود.
پس از شناسايي عوامل مکنون ، به منظور اطمينان از تناسب ساختار با داده هاي جمع آوري شده ، ضرورت دارد تحليل عاملي تأييدي نيز با استفاده نرم افزار LISREL8.5 انجام گيرد. شکل شماره ٣ بيانگر متغيرها و مدل ساختاري سوالات عامل سود آوري و موفقيت در بازار و تاثير آن بر نرم افزار ميباشد. که با توجه به يافته هاي پژوهش حاضر سوالات ٤، ٥، ٦، ٩ و ١١ از بار عاملي مناسبي از ديگاه پاسخگويان جهت توليد نرم افزار کشف نشده و حتي سوال ١١ از بار عاملي منفي برخوردار بوده است .
شکل ٣: مدل ساختاري تحليل عامل سود آوري
و موفقيت در بازار با نرم افزار ليزرل به منظور بررسي انطباق الگو با داده هاي مشاهده شده از شاخص هاي برازندگي استفاده ميشود. شاخص هاي ريشه خطاي ميانگين مجذورات تقريبي (RMSEA) ، شاخص نيکويي برازش (GFI) ، شاخص تعديل شده نيکويي برازش (AGFI) ، شاخص نرم شده برازندگي (NFI) ، شاخص نرم نشده برازندگي (NNFI) ، شاخص برازندگي تطبيقي (CFI) ، نسبت کاي دو به درجه آزادي ، به عنوان ملاکهاي انطباق الگو با داده هاي مشاهده شده بسيار مطلوب است که نتايج در جدول (٢) نشان داده شده است .
در عامل ارتقا سطح کيفيت ، آزمون KMO برابر ٠.٢٥٩ (٠٠٥<KMO) و برابر مقدار بارتلت ٢٥١٨.٦٥٣ (٠٠٠١>P) بوده و نتايج بيانگر بلامانع بودن انجام تحليل عاملي بر روي داده هاي اين سازه مي باشد .
نمودار اسکري، براي تعيين تعداد عامل بهينه درشکل ٤ نشان داده شده است . با توجه به شکل تعداد عامل ها ٣ ميباشد.