Yazılım Kalitesi Faktörü Olarak Yazılım Güvenliğinin Öğrenci Bilgi Sisteminde RIPS Testi ile Değerlendirilmesi
Yıl 2019,
Cilt: 33 Sayı: 4, 1261 - 1278, 25.10.2019
Sibkat Kaçtıoğlu
,
Mustafa Keskinkılıç
,
Ferhat Kahveci
Öz
Öğrenci bilgi sistemleri (ÖBS) üniversitelerin eğitim süreçlerinin vazgeçilmezi olan birer yazılımdırlar. Her yazılım sisteminin olduğu gibi ÖBS’nin de yazılım kalite faktörlerinden biri olan yazılım güvenliğine yeterince sahip olması çok önemlidir. Çünkü ÖBS türü yazılımlar ciddi şekilde siber saldırılara maruz kalmaktadırlar. Bu çalışmada yazılım güvenliğini sağlamak için yazılım sistemlerindeki güvenlik açıklarını tarayan RIPS aracı ele alınmış ve kullanılmıştır. RIPS belirlenen yazılımın kaynak kodlarını statik olarak çalıştırmadan analiz edebilen ve bu özelliği ile testin tarafsızlığına katkı sunan bir araçtır. Statik kod analizörü olan RIPS, bu araştırma modelinde kullanılan ÖBS yazılımına uygunluğu ve bu konuda önceden yapılan çalışmalar dikkate alınarak seçilmiştir. Bu çalışmayla, üniversitelere kendi ÖBS yazılımlarını bu tür yazılım güvenliği testleri ile yapmaları konusunda yol göstermek amaçlanmıştır. Ayrıca burada yazılım güvenliği, bir yazılım kalitesi faktörü olarak ele alınmaktadır. Bu bağlamda açık kaynak kodlu bir ÖBS olan OpenSIS 7.1'in güvenliğini benzer birkaç popüler PHP tabanlı uygulamayla karşılaştıran deneysel bir çalışma sunulmaktadır. Bu çalışmanın literatürdeki doldurduğu boşluk: bir yazılımın diğer yazılımlar arasındaki kalite ve güvenlikle ilgili konumunun görünmesini sağlamasıdır. Yazılım güvenliği noktasında yazılım kalitesi sıralaması, testlerden elde edilen veriler üzerinden Katkı Oranı Değerlendirme (Additive Ratio Assessment) yöntemi ile yapılmıştır. Belirtilen yazılımlar üzerinde yapılan yazılım güvenliği testleri sonucunda; birinci Moodle 3.6.4, ikinci Joomla 3.9.5, üçüncü osCommerce 2.3.4, sonuncu ise OpenSIS 7.1. bulunmuştur.
Kaynakça
- ARİFOĞLU, Ali ve Ali DOĞRU (2001). Yazılım Mühendisliği (1. Baskı), SAS Bilişim Yayınları, Ankara, ISBN 975-97197-2-1.
- ATBAŞ, Hakan (2012). Kaliteli Yazılım Nasıl Geliştirilir (1. Baskı), Pusula Yayıncılık, Ankara, ISBN 978-9944-711-79-1.
- BALZAROTTI, Davide, Marco COVA, Vika FELMETSGER, Nenad JOVANOVİC, Engin KIRDA, Christopher KRUEGEL ve diğ. (2008). "Saner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications", IEEE Symposium on Security and Privacy, 18-21 Mayıs, (ss387-401), Oakland, California, ABD, ISBN 978-0-7695-3168-7.
- BURGER, Rachel (2015). "The Top 6 Free and Open Source School Administration Software", Erişim Tarihi: 10.03.2019, http://blog.capterra.com/the-top-6-free-school-administration-software/.
- BUSSIECK, Michael R., Steven P.DIRKSE, Alexander MEERAUS ve Armin PRUESSNER (2004). "Software Quality Assurance For Mathematical Modeling System", The Next Wave in Computing, Optimization, and Decision Technologies, (29), 267-284, ISBN 978-0-387-23529-5.
- CAMOĞLU, Kadir (2010). "Yazılım Kalitesi ve Test", Erişim Tarihi: 10.03.2019 http://www.chip.com.tr/blog/kadircamoglu/yazilim-kalitesi-ve-test_5582.html.
- DAHSE, Johannes ve Thorsten HOLZ (2014). "Simulation of Built-in PHP Features for Precise Static Code Analysis", Network and Distributed System Security (NDSS) Symposium, 23-26 Şubat, (ss1-15), San Diego, California, ISBN 1-891562-35-5.
- EBERT, Christof, Reiner DUMKE, Manfred BUNDSCHUH ve Andreas SCHMIETENDORF (2005). Best Practices in Software Measurement: How to Use Metrics to Improve Project and Process Performance, Springer Science & Business Media, Berlin, ISBN 978-3-540-26734-8
- ERGIN, İsmet ve Bekir AKSEKİ (2012). "Lisansüstü Eğitimde Kullanılan Öğrenci Bilgi Sistemi", Eğitim ve Öğretim Araştırmaları Dergisi, 1(2), 364-380, ISNN 2146-9199.
- FLATTEN, O Per, Donald L MCCUBBREY, Declan P O'RIORDAN ve Keith BURGES (1992). Fundations of Bussines Systems, Dryden Press, New York, ISBN-13 978-0030764813
- GÜRBÜZ, Ali (2010). Yazılım Test Mühendisliği, Papatya Yayınevi, İstanbul, ISBN 9786054220090.
- HILLS, Mark, Pault KLINT ve Jurgen VINJU (2013). "An Empirical Study of PHP Feature Usage: A Static Analysis Perspective", International Symposium on Software Testing and Analysis (ISSTA), 15-20 Temmuz, (ss325-335), Lugano, İsviçre, ISBN 978-1-4503-2159-4.
- HUANG, Yao-Wen, Fang YU, Christian HANG, Chung-Hung TSIA, D. T.LEE ve Sy-Yen KUO (2004). "Securing Web Application Code by Static Analysis and Runtime Protection", 13th international conference on World Wide Web, 17-22 Mayıs, (ss40-52), New York, ABD, ACM 1-58113-844-X/04/0005.
- IEEE (1998). 1061-1992 - IEEE Standard for a Software Quality Metrics Methodology. ABD: Institute of Electrical and Electronics Engineers, Inc, Piscataway, New Jersey, ABD, ISBN 1-55937-529-9.
- JOOMLA. (2019). "About Joomla", Erişim Tarihi: 08 03, 2019, https://www.joomla.org/about-joomla.html.
- JOVANOVIC, Irena (2009). "Software Testing Methods and Techniques", IPSI BgD Transactions on Internet Research, 5(1), 31-41, ISSN 1820 - 4503.
- JOVANOVIC, Nenand, Christopher KRUEGEL ve Engin KIRDA (2010). "Static Analysis for Detecting Taint-Style Vulnerabilities in Web Applications", Journal of Computer Security, 18(5), 861–907, DOI 10.3233/JCS-2009-0385.
- KIRDA, Engin, Christopher KRUEGEL, Giovanni VIGNA ve Nenad JOVANOVIC (2006). "Noxes: A Client-Side Solution for Mitigating Cross-Site Scripting Attacks", The 31st ACM/SIGAPP Symposium on Applied Computing, 23-27 Nisan, (ss330-337), New York, ABD, ACM 1-59593-108-2/06/0004.
- KUMAR, Bimal Aklesh (2011). "Thin Client Web-Based Campus Information", International Journal of Software Engineering & Applications (IJSEA) , 2(1), 13-26, DOI 10.5121/ijsea.2011.2102.
- KURTEL, Kaan ve Şaban EREN (2008). "Yazılım ölçümü: Genel Bir Bakış", Yazılım Kalitesi ve Yazılım Geliştirme Araçları Sempozyumu, 9-10 Ekim, Hava Harp Okulu, İstanbul Kültür Üniversitesi.
- Moodle. (2019). "About Moodle", Erişim Tarihi: 10.03.2019, https://docs.moodle.org/36/en/About_Moodle.
- osCommerce. (2019). "Sell Online", Erişim Tarihi: 10.03.2019, https://www.oscommerce.com/.
- OWASP. (2017). "OWASP Top 10", Erişim Tarihi: 10.03.2019, http://owasptop10.googlecode.com/files/OWASP_Top_10_2017_(en).pdf.
- RIPSTECH. (2019). "Features", Erişim Tarihi: 10.03.2019, https://www.ripstech.com/features/.
- SAFANA, Ahmed Ibrahim ve Suhaimi IBRAHIM, (2010). "Implementing Software Test Management Using SpiraTeam Tool", Advance Software Engineering Center 2010 Fifth International Conference on Software Engineering Advances, 22-27 Ağustos, (ss447-452), Nice, Fransa, DOI 10.1109/ICSEA.2010.76.
- SARIDOĞAN, Erhan (2004). Yazılım Mühendisliği. Papatya Yayıncılık (1. Baskı), İstanbul, ISBN 978-975-6797-57-0.
- SARIDOĞAN, Erhan (2008). Yazılım mühendisliği: Profesyonel Yazılım Geliştirmeyi Öğrenmek İsteyenler İçin (2. Baskı). Papatya Yayıncılık, İstanbul, ISBN 978-975-6797-57-0.
- STANUJKIC, Dragisa ve Rodoljub JOVANOVIC (2012). "Measuring a Quality of Faculty Website Using ARAS Method", International Scientific Conference on Contemporary Issues In Business, Management And Education, 9-10 Mayıs, (ss545-554) Vilnius, Litvanya, ISBN 978-609-457-323-1.
- ŞAHİNASLAN, Önder, Emin BORANDAĞ ve Şemseddin AKSOY (2011). "Web Tabanlı Uygulamalarda Performansı Etkileyen Unsurlar", XIII. Akademik Bilişim Konferansı Bildirileri, 2-4 Şubat, (ss599-604). Malatya, İnönü Üniversitesi Akademik Bilişim.
- XIE, Yichen ve Alex AIKEN (2006). "Static Detection of Security Vulnerabilities in Scripting Languages", 15th USENIX Security Symposium, 31 Temmuz-4 Ağustos, (ss1-14) Vancouver, Kanada, ISBN 1931971455.
- YILDIRIM, Bahadır Fatih (2015). "Çok Kriterli Karar Verme Problemlerinde Aras Yöntemi", Kafkas Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 6(9), 285-296, ISSN 1309 - 4289.
- ZAVADSKAS, Edmundas Kazimieras ve Turskis ZENONAS (2010). "A New Additive Ratio Assessment (ARAS) Method in Multicriteria Decision-Making", Technological and Economic Development of Economy, 16(2), 159-172, ISSN 1322 3613.
- ZUSE, Horst (1998). A Framework of Software Measurement. Walter de Gruyter, New York, ISBN 3-11-015587-7.
Evaluation of Software Security as a Factor of Software Quality with RIPS Test in Student Information System
Yıl 2019,
Cilt: 33 Sayı: 4, 1261 - 1278, 25.10.2019
Sibkat Kaçtıoğlu
,
Mustafa Keskinkılıç
,
Ferhat Kahveci
Öz
Student information systems (SIS) are software that is indispensable to the educational processes of universities. As with any information system, it is very important that the student information system (SIS) has enough software security which is one of the software quality factors. This is because software such as SIS is exposed to serious cyber attacks. In this study, the RIPS tool that scans security vulnerabilities in software systems to ensure software security is discussed and used. RIPS is a tool that can analyze the source code of the specified software without running it statically and contributes to the objectivity of the test with this feature. RIPS, a static code analyzer, has been selected considering the compatibility of the SIS software used in this research model and the previous studies on this subject. In this study, it is aimed to guide universities to conduct their own SIS software with such software security tests. In addition, software security is considered here as a software quality factor. In this context, an experimental study comparing the security of OpenSIS 7.1, an open source SIS, with a few popular PHP-based applications is presented. The gap that this study fills in the literature is that one software makes it possible to see the position of quality and safety among other softwares. The software quality ranking at the point of software security was done by using the Additive Ratio Assessment method based on the data obtained from the tests. As a result of software security tests performed on the specified software; first Moodle 3.6.4, second Joomla 3.9.5, third osCommerce 2.3.4, last one OpenSIS 7.1. It was found.
Kaynakça
- ARİFOĞLU, Ali ve Ali DOĞRU (2001). Yazılım Mühendisliği (1. Baskı), SAS Bilişim Yayınları, Ankara, ISBN 975-97197-2-1.
- ATBAŞ, Hakan (2012). Kaliteli Yazılım Nasıl Geliştirilir (1. Baskı), Pusula Yayıncılık, Ankara, ISBN 978-9944-711-79-1.
- BALZAROTTI, Davide, Marco COVA, Vika FELMETSGER, Nenad JOVANOVİC, Engin KIRDA, Christopher KRUEGEL ve diğ. (2008). "Saner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications", IEEE Symposium on Security and Privacy, 18-21 Mayıs, (ss387-401), Oakland, California, ABD, ISBN 978-0-7695-3168-7.
- BURGER, Rachel (2015). "The Top 6 Free and Open Source School Administration Software", Erişim Tarihi: 10.03.2019, http://blog.capterra.com/the-top-6-free-school-administration-software/.
- BUSSIECK, Michael R., Steven P.DIRKSE, Alexander MEERAUS ve Armin PRUESSNER (2004). "Software Quality Assurance For Mathematical Modeling System", The Next Wave in Computing, Optimization, and Decision Technologies, (29), 267-284, ISBN 978-0-387-23529-5.
- CAMOĞLU, Kadir (2010). "Yazılım Kalitesi ve Test", Erişim Tarihi: 10.03.2019 http://www.chip.com.tr/blog/kadircamoglu/yazilim-kalitesi-ve-test_5582.html.
- DAHSE, Johannes ve Thorsten HOLZ (2014). "Simulation of Built-in PHP Features for Precise Static Code Analysis", Network and Distributed System Security (NDSS) Symposium, 23-26 Şubat, (ss1-15), San Diego, California, ISBN 1-891562-35-5.
- EBERT, Christof, Reiner DUMKE, Manfred BUNDSCHUH ve Andreas SCHMIETENDORF (2005). Best Practices in Software Measurement: How to Use Metrics to Improve Project and Process Performance, Springer Science & Business Media, Berlin, ISBN 978-3-540-26734-8
- ERGIN, İsmet ve Bekir AKSEKİ (2012). "Lisansüstü Eğitimde Kullanılan Öğrenci Bilgi Sistemi", Eğitim ve Öğretim Araştırmaları Dergisi, 1(2), 364-380, ISNN 2146-9199.
- FLATTEN, O Per, Donald L MCCUBBREY, Declan P O'RIORDAN ve Keith BURGES (1992). Fundations of Bussines Systems, Dryden Press, New York, ISBN-13 978-0030764813
- GÜRBÜZ, Ali (2010). Yazılım Test Mühendisliği, Papatya Yayınevi, İstanbul, ISBN 9786054220090.
- HILLS, Mark, Pault KLINT ve Jurgen VINJU (2013). "An Empirical Study of PHP Feature Usage: A Static Analysis Perspective", International Symposium on Software Testing and Analysis (ISSTA), 15-20 Temmuz, (ss325-335), Lugano, İsviçre, ISBN 978-1-4503-2159-4.
- HUANG, Yao-Wen, Fang YU, Christian HANG, Chung-Hung TSIA, D. T.LEE ve Sy-Yen KUO (2004). "Securing Web Application Code by Static Analysis and Runtime Protection", 13th international conference on World Wide Web, 17-22 Mayıs, (ss40-52), New York, ABD, ACM 1-58113-844-X/04/0005.
- IEEE (1998). 1061-1992 - IEEE Standard for a Software Quality Metrics Methodology. ABD: Institute of Electrical and Electronics Engineers, Inc, Piscataway, New Jersey, ABD, ISBN 1-55937-529-9.
- JOOMLA. (2019). "About Joomla", Erişim Tarihi: 08 03, 2019, https://www.joomla.org/about-joomla.html.
- JOVANOVIC, Irena (2009). "Software Testing Methods and Techniques", IPSI BgD Transactions on Internet Research, 5(1), 31-41, ISSN 1820 - 4503.
- JOVANOVIC, Nenand, Christopher KRUEGEL ve Engin KIRDA (2010). "Static Analysis for Detecting Taint-Style Vulnerabilities in Web Applications", Journal of Computer Security, 18(5), 861–907, DOI 10.3233/JCS-2009-0385.
- KIRDA, Engin, Christopher KRUEGEL, Giovanni VIGNA ve Nenad JOVANOVIC (2006). "Noxes: A Client-Side Solution for Mitigating Cross-Site Scripting Attacks", The 31st ACM/SIGAPP Symposium on Applied Computing, 23-27 Nisan, (ss330-337), New York, ABD, ACM 1-59593-108-2/06/0004.
- KUMAR, Bimal Aklesh (2011). "Thin Client Web-Based Campus Information", International Journal of Software Engineering & Applications (IJSEA) , 2(1), 13-26, DOI 10.5121/ijsea.2011.2102.
- KURTEL, Kaan ve Şaban EREN (2008). "Yazılım ölçümü: Genel Bir Bakış", Yazılım Kalitesi ve Yazılım Geliştirme Araçları Sempozyumu, 9-10 Ekim, Hava Harp Okulu, İstanbul Kültür Üniversitesi.
- Moodle. (2019). "About Moodle", Erişim Tarihi: 10.03.2019, https://docs.moodle.org/36/en/About_Moodle.
- osCommerce. (2019). "Sell Online", Erişim Tarihi: 10.03.2019, https://www.oscommerce.com/.
- OWASP. (2017). "OWASP Top 10", Erişim Tarihi: 10.03.2019, http://owasptop10.googlecode.com/files/OWASP_Top_10_2017_(en).pdf.
- RIPSTECH. (2019). "Features", Erişim Tarihi: 10.03.2019, https://www.ripstech.com/features/.
- SAFANA, Ahmed Ibrahim ve Suhaimi IBRAHIM, (2010). "Implementing Software Test Management Using SpiraTeam Tool", Advance Software Engineering Center 2010 Fifth International Conference on Software Engineering Advances, 22-27 Ağustos, (ss447-452), Nice, Fransa, DOI 10.1109/ICSEA.2010.76.
- SARIDOĞAN, Erhan (2004). Yazılım Mühendisliği. Papatya Yayıncılık (1. Baskı), İstanbul, ISBN 978-975-6797-57-0.
- SARIDOĞAN, Erhan (2008). Yazılım mühendisliği: Profesyonel Yazılım Geliştirmeyi Öğrenmek İsteyenler İçin (2. Baskı). Papatya Yayıncılık, İstanbul, ISBN 978-975-6797-57-0.
- STANUJKIC, Dragisa ve Rodoljub JOVANOVIC (2012). "Measuring a Quality of Faculty Website Using ARAS Method", International Scientific Conference on Contemporary Issues In Business, Management And Education, 9-10 Mayıs, (ss545-554) Vilnius, Litvanya, ISBN 978-609-457-323-1.
- ŞAHİNASLAN, Önder, Emin BORANDAĞ ve Şemseddin AKSOY (2011). "Web Tabanlı Uygulamalarda Performansı Etkileyen Unsurlar", XIII. Akademik Bilişim Konferansı Bildirileri, 2-4 Şubat, (ss599-604). Malatya, İnönü Üniversitesi Akademik Bilişim.
- XIE, Yichen ve Alex AIKEN (2006). "Static Detection of Security Vulnerabilities in Scripting Languages", 15th USENIX Security Symposium, 31 Temmuz-4 Ağustos, (ss1-14) Vancouver, Kanada, ISBN 1931971455.
- YILDIRIM, Bahadır Fatih (2015). "Çok Kriterli Karar Verme Problemlerinde Aras Yöntemi", Kafkas Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 6(9), 285-296, ISSN 1309 - 4289.
- ZAVADSKAS, Edmundas Kazimieras ve Turskis ZENONAS (2010). "A New Additive Ratio Assessment (ARAS) Method in Multicriteria Decision-Making", Technological and Economic Development of Economy, 16(2), 159-172, ISSN 1322 3613.
- ZUSE, Horst (1998). A Framework of Software Measurement. Walter de Gruyter, New York, ISBN 3-11-015587-7.