软件安全成本核算中扩展功能点分析的用户接受度

### 软件安全成本核算中扩展功能点分析的用户接受度 在软件开发领域，准确估算软件安全成本是一项具有挑战性但至关重要的任务。为了更好地解决这一问题，扩展功能点分析（Extended Function Point Analysis，简称扩展 FPA）应运而生。本文将深入探讨扩展 FPA 的相关内容，包括其原型设计、用户接受度模型、实验构建以及实验结果与讨论。 #### 1. 扩展 FPA 原型 在对调查结果进行分析后，对国际功能点用户组功能点分析（IFPUG FPA）中的一般系统特性（GSCs）计算进行了一些改进。IFPUG FPA 中有 14 个 GSCs，它们的总和被称为价值调整因子（VAF）。改进后的公式如下： \[VAF = 0.65 + [(\sum_{i=1}^{14}Ci + Security) / 100]\] 其中： - \(Ci\)：每个 GSC 的影响程度 - \(i\)：从 1 到 14 代表每个 GSC - \(\sum\)：所有 14 个 GSCs 的总和 - \(Security\)：安全特性的影响程度 安全特性的影响程度（DI）通过两个额外的评估表进行评估。这些评估表基于软件安全成本模型（SSCM）生成，以帮助用户估算安全成本。基于这项研究，设计了一个原型，名为扩展功能点分析原型。 #### 2. 用户接受度模型 为了研究用户对扩展 FPA 的接受度，使用了用户接受度模型来预测其在实践中的采用可能性。本文重点介绍了两个接受度模型，并将它们与 ISO/IEC 标准相结合，以确定实验室实验中的因变量。 ##### 2.1 技术接受模型（TAM） 技术接受模型（TAM）是管理信息系统（MIS）文献中最常被测试的模型之一。它试图预测和解释计算机使用行为，源自理性行为理论（TRA）。TAM 使用技术的感知易用性和感知有用性作为人们对新技术态度的两个主要决定因素。 ##### 2.2 方法评估模型（MEM） 方法评估模型（MEM）是一个用于评估信息系统（IS）设计方法的理论模型，它结合了方法成功的两个方面：实际性能和在实践中可能的采用情况。MEM 结合了 Rescher 的实用主义证明理论和 Davis 的 TAM。其核心由与 Davis 的 TAM 相同的基于感知的构建组成，但现在适用于评估方法，包括感知易用性（PEOU）、感知有用性（PU）和使用意图（ITU）。这些核心构建被称为方法采用模型（MAM）。 该模型通过提供输入到 MAM 并预测其最终输出（即该方法是否会在实践中被使用）的额外构建进行了扩展。MAM 的输入包括实际效率（表示应用方法所需的努力）和实际有效性（表示方法实现其目标的程度）。MAM 的输出变量是实际使用情况，表示方法在实践中的使用程度。 ##### 2.3 ISO/IEC 14143 - 3 本文纳入了 ISO/IEC 信息技术 - 软件测量 - 功能规模测量的第 3 部分。选择这部分是因为它包含了对功能规模测量（FSM）方法的验证。它用于评估本研究中 FSM 方法的实际性能。FSM 方法的效率由理解和应用该方法所需的努力定义，可以使用时间、成本、生产率和认知努力等指标进行测量。FSM 方法的有效性由其实现目标的程度定义，可以使用 FSM 的特定属性和要求进行测量，这些性能属性包括可重复性、再现性、准确性、可转换性、区分阈值和对功能域的适用性。因此，在 MAM 中测量了两个基于性能的变量：效率和有效性。在本实验中，选择时间、再现性和准确性来评估 FSM 方法的效率和有效性。 ##### 2.4 用户接受度模型的适配 TAM、MEM 和 ISO/IEC 被考虑并适配为本研究中的用户接受度模型。基于这些模型，有两种主要类型的因变量：基于性能的变量和基于感知的变量。 基于性能的变量包括： | 变量 | 描述 | | ---- | ---- | | 时间 | 受试者完成规模评估任务所需的时间 | | 生产率 | 受试者产生的功能点计数，称为 FP 规模 | | 再现性 | 不同受试者使用相同方法的测量结果之间的一致性；受试者评估值之间的差异 | | 准确性 | 测量结果与真实值之间的一致性；每个受试者评估值与真实值之间的差异 | 基于感知的变量包括： | 变量 | 描述 | | ---- | ---- | | 感知易用性 | 受试者认为使用特定方法将不费力或耗时较少的程度 | | 感知有用性 | 受试者认为特定方法在实现其预期目标或规模评估任务方面将有效的程度 | | 使用意图 | 个人由于对方法性能的感知而打算使用特定方法的程度 | 这些因变量与用户接受度模型之间的关系如下表所示： | 因变量 | 效率 | 有效性 | 采用 | | ---- | ---- | ---- | ---- | | 基于性能的 | 时间 | 再现性；准确性 | | | 基于感知的 | 感知易用性 | 感知有用性 | 使用意图 | 为了验证实验中受访者的回答，设计了一份包含 14 个封闭式问题的用户接受度问卷。这些问题以 5 点李克特量表和对立陈述格式表述，问题顺序随机排列以避免单调的回答。以下是用户接受度问卷中的建议陈述： | 变量 | 问题 | | ---- | ---- | | PEOU1 | 我发现 FSM 方法的程序简单且易于遵循 | | PEOU2 | 总体而言，我发现 FSM 方法易于使用 | | PEOU3 | 我发现 FSM 方法的测量规则清晰且易于理解 | | PEOU4 | 我发现 FSM 方法易于学习 | | PEOU5 | 我发现将 FSM 方法应用于案例研究很容易 | | PU1 | 我相信这种 FSM 方法将减少测量安全系统所需的时间 | | PU2 | 总体而言，我发现 FSM 方法很有用 | | PU3 | 我认为这种 FSM 方法将提高安全系统估计的准确性 | | PU4 | 总体而言，我认为这种 FSM 方法在需求阶段确实提供了一种有效的测量安全系统功能规模的方法 | | PU5 | 使用这种 FSM 方法将提高我测量安全系统的性能 | | PU6 | 总体而言，我认为这种 FSM 方法是对 IFPUG FPA 方法的改进 | | ITU1 | 如果我将来需要测量安全系统，我将使用这种 FSM 方法 | | ITU2 | 我很容易就能熟练使用这种 F