Sibkat KAÇTIOĞLU, Ferhat KAHVECİ, Mustafa KESİNKILIÇ

Yazılım Kalitesi Faktörü Olarak Yazılım Güvenliğinin Öğrenci Bilgi Sisteminde RIPS Testi ile Değerlendirilmesi

Öğrenci bilgi sistemleri (ÖBS) üniversitelerin eğitim süreçlerinin vazgeçilmezi olanbirer yazılımdırlar. Her bilgi sisteminin olduğu gibi ÖBS’nin de yazılım kalite faktörlerinden biriolan yazılım güvenliğine yeterince sahip olması çok önemlidir. Çünkü ÖBS türü yazılımlar ciddişekilde siber saldırılara maruz kalmaktadırlar. Bu çalışmada yazılım güvenliğini sağlamak içinyazılım sistemlerindeki güvenlik açıklarını tarayan RIPS aracı ele alınmış ve kullanılmıştır. RIPSbelirlenen yazılımın kaynak kodlarını statik olarak çalıştırmadan analiz edebilen ve bu özelliği iletestin tarafsızlığına katkı sunan bir araçtır. Statik kod analizörü olan RIPS, bu araştırma modelindekullanılan ÖBS yazılımına uygunluğu ve bu konuda önceden yapılan çalışmalar dikkate alınarakseçilmiştir. Bu çalışmayla, üniversitelere kendi ÖBS yazılımlarını bu tür yazılım güvenliği testleriile yapmaları konusunda yol göstermek amaçlanmıştır. Ayrıca burada yazılım güvenliği, bir yazılımkalitesi faktörü olarak ele alınmaktadır. Bu bağlamda açık kaynak kodlu bir ÖBS olan OpenSIS7.1'in güvenliğini benzer birkaç popüler PHP tabanlı uygulamayla karşılaştıran deneysel bir çalışmasunulmaktadır. Bu çalışmanın literatürdeki doldurduğu boşluk: bir yazılımın diğer yazılımlararasındaki kalite ve güvenlikle ilgili konumunun görünmesini sağlamasıdır. Yazılım güvenliğinoktasında yazılım kalitesi sıralaması, testlerden elde edilen veriler üzerinden Katkı OranıDeğerlendirme (Additive Ratio Assessment) yöntemi ile yapılmıştır. Belirtilen yazılımlar üzerindeyapılan yazılım güvenliği testleri sonucunda; birinci Moodle 3.6.4, ikinci Joomla 3.9.5, üçüncüosCommerce 2.3.4, sonuncu ise OpenSIS 7.1. bulunmuştur.

Evaluation of Software Security as a Factor of Software Quality with RIPS Test in Student Information System

Student information systems (SIS) are software that is indispensable to the educational processes of universities. As with any information system, it is very important that the student information system (SIS) has enough software security which is one of the software quality factors. This is because software such as SIS is exposed to serious cyber attacks. In this study, the RIPS tool that scans security vulnerabilities in software systems to ensure software security is discussed and used. RIPS is a tool that can analyze the source code of the specified software without running it statically and contributes to the objectivity of the test with this feature. RIPS, a static code analyzer, has been selected considering the compatibility of the SIS software used in thisresearch model and the previous studies on this subject. In this study, it is aimed to guide universities to conduct their own SIS software with such software security tests. In addition, software security is considered here as a software quality factor. In this context, an experimental study comparing the security of OpenSIS 7.1, an open source SIS, with a few popular PHP-based applications is presented. The gap that this study fills in the literature is that one software makes it possible to see the position of quality and safety among other softwares. The software quality ranking at the point of software security was done by using the Additive Ratio Assessment method based on the data obtained from the tests. As a result of software security tests performed on the specified software; first Moodle 3.6.4, second Joomla 3.9.5, third osCommerce 2.3.4, last one OpenSIS 7.1. It was found.

PDF

___

Arifoğlu, A. ve Doğru, A. (2001), Yazılım Mühendisliği, Birinci Baskı, SAS Bilişim Yayınları, Ankara, ISBN 975-97197-2-1.
Atbaş, H. (2012), Kaliteli Yazılım Nasıl Geliştirilir, Birinci Baskı, Pusula Yayıncılık, Ankara, ISBN 978-9944-711-79-1.
Balzarotti, D., Cova, M., Felmetsger, V., Jovanovic, N., Kırda, E., Kruegel, C., ve diğ. (2008), "Saner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications", IEEE Symposium on Security and Privacy, 18-21 Mayıs, ss. 387-401, Oakland, California, ABD, ISBN 978-0-7695-3168-7.
Burger, R. (2015), The Top 6 Free and Open Source School Administration Software, http://blog.capterra.com/the-top-6-free-schooladministration-software/, (Erişim Tarihi: 10.03.2019).
Bussieck, M. R., Dirkse, S. P., Meeraus, A. ve Pruessner, A. (2004), "Software Quality Assurance For Mathematical Modeling System", The Next Wave in Computing, Optimization, and Decision Technologies, (29), ss. 267-284, ISBN 978-0-387-23529-5.
Camoğlu, K. (2010), Yazılım Kalitesi ve Test, http://www.chip.com.tr/blog/kadircamoglu/yazilim-kalitesi-vetest_5582.html, (Erişim Tarihi: 10.03.2019).
Dahse, J. ve Holz, T. (2014), "Simulation of Built-in PHP Features for Precise Static Code Analysis", Network and Distributed System Security (NDSS) Symposium, 23-26 Şubat, ss. 1-15, San Diego, California, ISBN 1-891562-35-5.
Ebert, C., Dumke, R., Bundschuh, M. ve Schmietendorf, A. (2005), Best Practices in Software Measurement: How to Use Metrics to Improve Project and Process Performance, Springer Science & Business Media, Berlin, ISBN 978-3-540-26734-8
Ergin, İ. ve Akseki, B. (2012), "Lisansüstü Eğitimde Kullanılan Öğrenci Bilgi Sistemi", Eğitim ve Öğretim Araştırmaları Dergisi, 1(2), ss. 364-380, ISNN 2146-9199.
Flatten, O. P., Mccubbrey, D. L., O'riordan, D. P., ve Burges, K. (1992), Fundations of Bussines Systems, Dryden Press, New York, ISBN13 978-0030764813
Gürbüz, Ali (2010), Yazılım Test Mühendisliği, Papatya Yayınevi, İstanbul, ISBN 9786054220090.
Hills, M., Klingt, P. ve Vinju, J. (2013), "An Empirical Study of PHP Feature Usage: A Static Analysis Perspective", International Symposium on Software Testing and Analysis (ISSTA), 15-20 Temmuz, ss. 325-335, Lugano, İsviçre, ISBN 978-1-4503-2159-4.
HUANG, Y. W., Yu, F., Hang, C., Tsia, C. H., Lee, D. T. ve Kuo, S. Y. (2004), "Securing Web Application Code by Static Analysis and Runtime Protection", 13th international conference on World Wide Web, 17-22 Mayıs, ss. 40-52, New York, ABD, ACM 1-58113-844-X/04/0005.
IEEE (1998), 1061-1992 - IEEE Standard for a Software Quality Metrics Methodology. ABD: Institute of Electrical and Electronics Engineers, Inc, Piscataway, New Jersey, ABD, ISBN 1-55937-529-9.
Joomla. (2019), About Joomla, https://www.joomla.org/about-joomla.html, ( Erişim Tarihi: 08 03, 2019).
Jovanovic, Irena (2009), "Software Testing Methods and Techniques", IPSI BgD Transactions on Internet Research, 5(1), ss. 31-41, ISSN 1820- 4503.
Jovanovic, N., Kruegel, C. ve Kırda, E. (2010), "Static Analysis for Detecting Taint-Style Vulnerabilities in Web Applications", Journal of Computer Security, 18(5), ss. 861–907, DOI 10.3233/JCS-2009-0385.
Kirda, E., Kruegel, C., Vigna, G. ve Jovanovic, N. (2006), "Noxes: A Client-Side Solution for Mitigating Cross-Site Scripting Attacks", The 31st ACM/SIGAPP Symposium on Applied Computing, 23-27 Nisan, ss. 330-337, New York, ABD, ACM 1-59593-108-2/06/0004.
Kumar, B. A. (2011), "Thin Client Web-Based Campus Information", International Journal of Software Engineering & Applications (IJSEA), 2(1), 13-26, DOI 10.5121/ijsea.2011.2102.
Kurtel, K. ve Eren, Ş. (2008), "Yazılım ölçümü: Genel Bir Bakış", Yazılım Kalitesi ve Yazılım Geliştirme Araçları Sempozyumu, 9-10 Ekim, Hava Harp Okulu, İstanbul Kültür Üniversitesi.
Moodle. (2019), About Moodle, https://docs.moodle.org/36/en/About_Moodle, (Erişim Tarihi: 10.03.2019).
osCommerce. (2019), Sell Online, https://www.oscommerce.com/, (Erişim Tarihi: 10.03.2019).
OWASP. (2017), OWASP Top 10, http://owasptop10.googlecode.com/files/OWASP_Top_10_2017_(en). pdf, (Erişim Tarihi: 10.03.2019).
Ripstech. (2019), Features, https://www.ripstech.com/features/, (Erişim Tarihi: 10.03.2019).
Safana, A. I. ve Ibrahim, S. (2010), "Implementing Software Test Management Using SpiraTeam Tool", Advance Software Engineering Center 2010 Fifth International Conference on Software Engineering Advances, 22- 27 Ağustos, ss. 447-452, Nice, Fransa, DOI 10.1109/ICSEA.2010.76.
Sarıdoğan, Erhan (2004), Yazılım Mühendisliği, Birinci Baskı, Papatya Yayıncılık, İstanbul, ISBN 978-975-6797-57-0.
Sarıdoğan, Erhan (2008), Yazılım mühendisliği: Profesyonel Yazılım Geliştirmeyi Öğrenmek İsteyenler İçin, İkinci Baskı, Papatya Yayıncılık, İstanbul, ISBN 978-975-6797-57-0.
Stanujkic, D. ve Jovanovic, R. (2012), "Measuring a Quality of Faculty Website Using ARAS Method", International Scientific Conference on Contemporary Issues In Business, Management And Education, 9-10 Mayıs, ss. 545-554, Vilnius, Litvanya, ISBN 978-609-457-323-1.
Şahinaslan, Ö., Emin Borandağ Ve Şemseddin Aksoy (2011), "Web Tabanlı Uygulamalarda Performansı Etkileyen Unsurlar", XIII. Akademik Bilişim Konferansı Bildirileri, 2-4 Şubat, 599-604. Malatya, İnönü Üniversitesi Akademik Bilişim.
Xie, Y. ve Aiken, A. (2006), "Static Detection of Security Vulnerabilities in Scripting Languages", 15th USENIX Security Symposium, 31 Temmuz4 Ağustos, ss. 1-14, Vancouver, Kanada, ISBN 1931971455.
Yıldırım, B. F. (2015), "Çok Kriterli Karar Verme Problemlerinde Aras Yöntemi", Kafkas Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 6(9), ss. 285-296, ISSN 1309 - 4289.
Zavadskas, E. K. ve Zenonas, T. (2010), "A New Additive Ratio Assessment (ARAS) Method in Multicriteria Decision-Making", Technological and Economic Development of Economy, 16(2), ss. 159-172, ISSN 1322 3613.
Zuse, Horst (1998), A Framework of Software Measurement. Walter de Gruyter, New York, ISBN 3-11-015587-7.