Öğrenci bilgi sistemleri
(ÖBS) üniversitelerin eğitim süreçlerinin vazgeçilmezi olan birer yazılımdırlar.
Her yazılım sisteminin olduğu gibi ÖBS’nin de yazılım kalite faktörlerinden
biri olan yazılım güvenliğine yeterince sahip olması çok önemlidir. Çünkü ÖBS
türü yazılımlar ciddi şekilde siber saldırılara maruz kalmaktadırlar. Bu
çalışmada yazılım güvenliğini sağlamak için yazılım sistemlerindeki güvenlik
açıklarını tarayan RIPS aracı ele alınmış ve kullanılmıştır. RIPS belirlenen
yazılımın kaynak kodlarını statik olarak çalıştırmadan analiz edebilen ve bu
özelliği ile testin tarafsızlığına katkı sunan bir araçtır. Statik kod
analizörü olan RIPS, bu araştırma modelinde kullanılan ÖBS yazılımına uygunluğu
ve bu konuda önceden yapılan çalışmalar dikkate alınarak seçilmiştir. Bu
çalışmayla, üniversitelere kendi ÖBS yazılımlarını bu tür yazılım güvenliği
testleri ile yapmaları konusunda yol göstermek amaçlanmıştır. Ayrıca burada
yazılım güvenliği, bir yazılım kalitesi faktörü olarak ele alınmaktadır. Bu
bağlamda açık kaynak kodlu bir ÖBS olan OpenSIS 7.1'in güvenliğini benzer birkaç
popüler PHP tabanlı uygulamayla karşılaştıran deneysel bir çalışma sunulmaktadır.
Bu çalışmanın literatürdeki doldurduğu boşluk: bir yazılımın diğer yazılımlar
arasındaki kalite ve güvenlikle ilgili konumunun görünmesini sağlamasıdır. Yazılım
güvenliği noktasında yazılım kalitesi sıralaması, testlerden elde edilen
veriler üzerinden Katkı Oranı Değerlendirme (Additive Ratio Assessment) yöntemi
ile yapılmıştır. Belirtilen yazılımlar üzerinde yapılan yazılım güvenliği
testleri sonucunda; birinci Moodle 3.6.4, ikinci Joomla 3.9.5, üçüncü osCommerce
2.3.4, sonuncu ise OpenSIS 7.1. bulunmuştur.
Student
information systems (SIS) are software that is indispensable to the educational
processes of universities. As with any software system, it is very important
that the student information system (SIS) has enough software security which is
one of the software quality factors. This is because software such as SIS is
exposed to serious cyber attacks. In this study, the RIPS tool that scans
security vulnerabilities in software systems to ensure software security is
discussed and used. RIPS is a tool that can analyze the source code of the
specified software without running it statically and contributes to the
objectivity of the test with this feature. RIPS, a static code analyzer, has
been selected considering the suitability of the SIS software used in this
research model and the previous studies on this subject. In this study, it is
aimed to guide universities to conduct their own SIS software with such
software security tests. In addition, software security is considered here as a
software quality factor. In this context, an experimental study comparing the
security of OpenSIS 7.1, an open source SIS, with a few popular PHP-based
applications is presented. The gap that this study fills in the literature is
that one software makes it possible to see the position of quality and safety
among other softwares. The software quality ranking at the point of software
security was done by using the Additive Ratio Assessment method based on the
data obtained from the tests. As a result of software security tests performed
on the specified software; first Moodle 3.6.4, second Joomla 3.9.5, third
osCommerce 2.3.4, last one OpenSIS 7.1. It was found.
___
ARİFOĞLU, Ali ve Ali DOĞRU (2001). Yazılım Mühendisliği (1. Baskı), SAS Bilişim Yayınları, Ankara, ISBN 975-97197-2-1.
ATBAŞ, Hakan (2012). Kaliteli Yazılım Nasıl Geliştirilir (1. Baskı), Pusula Yayıncılık, Ankara, ISBN 978-9944-711-79-1.
BALZAROTTI, Davide, Marco COVA, Vika FELMETSGER, Nenad JOVANOVİC, Engin KIRDA, Christopher KRUEGEL ve diğ. (2008). "Saner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications", IEEE Symposium on Security and Privacy, 18-21 Mayıs, (ss387-401), Oakland, California, ABD, ISBN 978-0-7695-3168-7.
BURGER, Rachel (2015). "The Top 6 Free and Open Source School Administration Software", Erişim Tarihi: 10.03.2019, http://blog.capterra.com/the-top-6-free-school-administration-software/.
BUSSIECK, Michael R., Steven P.DIRKSE, Alexander MEERAUS ve Armin PRUESSNER (2004). "Software Quality Assurance For Mathematical Modeling System", The Next Wave in Computing, Optimization, and Decision Technologies, (29), 267-284, ISBN 978-0-387-23529-5.
CAMOĞLU, Kadir (2010). "Yazılım Kalitesi ve Test", Erişim Tarihi: 10.03.2019 http://www.chip.com.tr/blog/kadircamoglu/yazilim-kalitesi-ve-test_5582.html.
DAHSE, Johannes ve Thorsten HOLZ (2014). "Simulation of Built-in PHP Features for Precise Static Code Analysis", Network and Distributed System Security (NDSS) Symposium, 23-26 Şubat, (ss1-15), San Diego, California, ISBN 1-891562-35-5.
EBERT, Christof, Reiner DUMKE, Manfred BUNDSCHUH ve Andreas SCHMIETENDORF (2005). Best Practices in Software Measurement: How to Use Metrics to Improve Project and Process Performance, Springer Science & Business Media, Berlin, ISBN 978-3-540-26734-8
ERGIN, İsmet ve Bekir AKSEKİ (2012). "Lisansüstü Eğitimde Kullanılan Öğrenci Bilgi Sistemi", Eğitim ve Öğretim Araştırmaları Dergisi, 1(2), 364-380, ISNN 2146-9199.
FLATTEN, O Per, Donald L MCCUBBREY, Declan P O'RIORDAN ve Keith BURGES (1992). Fundations of Bussines Systems, Dryden Press, New York, ISBN-13 978-0030764813
GÜRBÜZ, Ali (2010). Yazılım Test Mühendisliği, Papatya Yayınevi, İstanbul, ISBN 9786054220090.
HILLS, Mark, Pault KLINT ve Jurgen VINJU (2013). "An Empirical Study of PHP Feature Usage: A Static Analysis Perspective", International Symposium on Software Testing and Analysis (ISSTA), 15-20 Temmuz, (ss325-335), Lugano, İsviçre, ISBN 978-1-4503-2159-4.
HUANG, Yao-Wen, Fang YU, Christian HANG, Chung-Hung TSIA, D. T.LEE ve Sy-Yen KUO (2004). "Securing Web Application Code by Static Analysis and Runtime Protection", 13th international conference on World Wide Web, 17-22 Mayıs, (ss40-52), New York, ABD, ACM 1-58113-844-X/04/0005.
IEEE (1998). 1061-1992 - IEEE Standard for a Software Quality Metrics Methodology. ABD: Institute of Electrical and Electronics Engineers, Inc, Piscataway, New Jersey, ABD, ISBN 1-55937-529-9.
JOOMLA. (2019). "About Joomla", Erişim Tarihi: 08 03, 2019, https://www.joomla.org/about-joomla.html.
JOVANOVIC, Irena (2009). "Software Testing Methods and Techniques", IPSI BgD Transactions on Internet Research, 5(1), 31-41, ISSN 1820 - 4503.
JOVANOVIC, Nenand, Christopher KRUEGEL ve Engin KIRDA (2010). "Static Analysis for Detecting Taint-Style Vulnerabilities in Web Applications", Journal of Computer Security, 18(5), 861–907, DOI 10.3233/JCS-2009-0385.
KIRDA, Engin, Christopher KRUEGEL, Giovanni VIGNA ve Nenad JOVANOVIC (2006). "Noxes: A Client-Side Solution for Mitigating Cross-Site Scripting Attacks", The 31st ACM/SIGAPP Symposium on Applied Computing, 23-27 Nisan, (ss330-337), New York, ABD, ACM 1-59593-108-2/06/0004.
KUMAR, Bimal Aklesh (2011). "Thin Client Web-Based Campus Information", International Journal of Software Engineering & Applications (IJSEA) , 2(1), 13-26, DOI 10.5121/ijsea.2011.2102.
KURTEL, Kaan ve Şaban EREN (2008). "Yazılım ölçümü: Genel Bir Bakış", Yazılım Kalitesi ve Yazılım Geliştirme Araçları Sempozyumu, 9-10 Ekim, Hava Harp Okulu, İstanbul Kültür Üniversitesi.
Moodle. (2019). "About Moodle", Erişim Tarihi: 10.03.2019, https://docs.moodle.org/36/en/About_Moodle.
osCommerce. (2019). "Sell Online", Erişim Tarihi: 10.03.2019, https://www.oscommerce.com/.
OWASP. (2017). "OWASP Top 10", Erişim Tarihi: 10.03.2019, http://owasptop10.googlecode.com/files/OWASP_Top_10_2017_(en).pdf.
RIPSTECH. (2019). "Features", Erişim Tarihi: 10.03.2019, https://www.ripstech.com/features/.
SAFANA, Ahmed Ibrahim ve Suhaimi IBRAHIM, (2010). "Implementing Software Test Management Using SpiraTeam Tool", Advance Software Engineering Center 2010 Fifth International Conference on Software Engineering Advances, 22-27 Ağustos, (ss447-452), Nice, Fransa, DOI 10.1109/ICSEA.2010.76.
SARIDOĞAN, Erhan (2004). Yazılım Mühendisliği. Papatya Yayıncılık (1. Baskı), İstanbul, ISBN 978-975-6797-57-0.
SARIDOĞAN, Erhan (2008). Yazılım mühendisliği: Profesyonel Yazılım Geliştirmeyi Öğrenmek İsteyenler İçin (2. Baskı). Papatya Yayıncılık, İstanbul, ISBN 978-975-6797-57-0.
STANUJKIC, Dragisa ve Rodoljub JOVANOVIC (2012). "Measuring a Quality of Faculty Website Using ARAS Method", International Scientific Conference on Contemporary Issues In Business, Management And Education, 9-10 Mayıs, (ss545-554) Vilnius, Litvanya, ISBN 978-609-457-323-1.
ŞAHİNASLAN, Önder, Emin BORANDAĞ ve Şemseddin AKSOY (2011). "Web Tabanlı Uygulamalarda Performansı Etkileyen Unsurlar", XIII. Akademik Bilişim Konferansı Bildirileri, 2-4 Şubat, (ss599-604). Malatya, İnönü Üniversitesi Akademik Bilişim.
XIE, Yichen ve Alex AIKEN (2006). "Static Detection of Security Vulnerabilities in Scripting Languages", 15th USENIX Security Symposium, 31 Temmuz-4 Ağustos, (ss1-14) Vancouver, Kanada, ISBN 1931971455.
YILDIRIM, Bahadır Fatih (2015). "Çok Kriterli Karar Verme Problemlerinde Aras Yöntemi", Kafkas Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 6(9), 285-296, ISSN 1309 - 4289.
ZAVADSKAS, Edmundas Kazimieras ve Turskis ZENONAS (2010). "A New Additive Ratio Assessment (ARAS) Method in Multicriteria Decision-Making", Technological and Economic Development of Economy, 16(2), 159-172, ISSN 1322 3613.
ZUSE, Horst (1998). A Framework of Software Measurement. Walter de Gruyter, New York, ISBN 3-11-015587-7.