新工具旨在确保软件安全策略反映用户需求

来自北卡罗莱纳州立大学和IBM研究院的研究人员开发了一种新的自然语言处理工具，企业或其他客户可以使用该工具来确保软件开发人员清楚地了解要纳入新软件产品的安全策略。

具体来说，这项研究主要关注访问控制策略(acp)，这是软件开发人员在开发新软件时需要牢记的安全需求。例如，大学评分项目的ACP需要允许教授给学生评分，但不应该允许学生更改评分。

“这些acp很重要，但通常被淹没在客户给开发人员的一长串其他需求中，”北卡罗来纳州立大学计算机科学副教授、《计算机科学》一书的合著者谢涛博士说研究论文．这些要求是用“自然语言”写的，这是人们在交谈或通过书面文字通信时使用的对话语言。

不完整或不准确的ACP需求可能会突然出现，例如，如果编写ACP需求的客户犯了一个错误，或者没有足够的技术知识来准确描述程序的安全需求。

第二个问题是程序员可能会误解某些ACP要求，或者完全忽略它们。

谢的研究团队与IBM研究院合作，开发了一种解决方案，使用自然语言处理程序从客户的总体需求列表中提取ACP需求，并将其翻译成计算机可以理解和执行的机器可读语言。

在提取ACP后，可以通过访问控制策略工具(ACPT)运行它们，ACPT也是由Xie的研究团队与国家标准与技术研究所(NIST)合作开发的，它可以验证和测试ACP，并确定ACP要求是否足以满足程序的安全需求。

一旦ACP需求被翻译成机器可读的语言，它们也可以被合并到最终软件产品中的策略实施“引擎”中——这确保了ACP不会被程序员忽视。

“总的来说，开发一个理解自然语言文本的程序是非常具有挑战性的，”谢说。“然而，软件文档中的ACP需求通常遵循某种风格，使用诸如‘不能编辑’或‘没有编辑能力’之类的术语。“由于acp倾向于使用数量有限的短语，因此开发一个在这种情况下有效翻译自然语言文本的程序要容易得多。”

这张纸。”从自然语言软件文档中自动提取安全策略的论文将于11月13日在北卡罗来纳州Cary举行的2012年软件工程基础国际研讨会(SIGSOFT ' 12/FSE-20)上发表。该论文的第一作者是Xusheng Xiao，他是北卡罗来纳州立大学的博士生。合著者包括谢、IBM t·j·沃森研究中心的Amit Paradkar博士和IBM印度研究院的Suresh Thummalapenta博士。这项研究得到了美国国家科学基金会、美国陆军研究办公室、NIST和国家安全局安全标签科学的支持。

希普曼-

编者须知:研究摘要如下。

从自然语言软件文档中自动提取安全策略

作者:肖旭升，谢涛，北卡罗莱纳州立大学;Amit Paradkar, IBM T.J. Watson研究中心;Suresh Thummalapenta, IBM印度研究院

提出了: SIGSOFT ' 12/FSE-20, 11月13日，北卡罗来纳州卡里

文摘:访问控制策略(ACP)指定哪些主体(如用户)可以访问哪些资源。确保acp的正确性和一致性对于防止安全漏洞至关重要。然而，在实践中，acp通常是用自然语言(NL)编写的，并且隐藏在诸如需求文档这样的大型文档中，不适合自动化技术来检查正确性和一致性。手动从这些NL文档中提取acp并验证NL功能需求(例如针对acp检测不一致的用例)是非常繁琐的。为了解决这些问题，我们提出了一种称为Text2Policy的方法，从NL软件文档中自动提取acp，并从NL基于场景的功能需求中自动提取资源访问信息。我们对从公开来源收集的ACP句子以及开源和专有项目的用例进行了三次评估。结果表明，Text2Policy有效识别ACP句子，准确率为88.7%，查全率为89.4%，提取ACP规则的准确率为86.3%，提取动作步骤的准确率为81.9%。