软件安全评估的目的是评价软件是否达到系统所要求的安全性,对于保障软件安全具有重要意义。现有方法主要通过专家的安全领域知识与经验,结合相关评估证据展开,受个人主观因素影响大、评估效率低。针对现行新形态软件的多源异构证据获取与表示困难,如何将其隐含的丰富语义信息固化为辅助软件安全自动化评估的知识成为亟待解决的问题。本文基于软件安全评估框架,研究软件评估证据的语义知识获取与表示,包括形式语义、文本语义及结构语义三种类型。主要研究内容和创新点如下:1.基于证据的软件安全评估三维模型构建。本文提出一个从技术、管理、工程三个维度对软件进行安全性评估的概念模型,其中每个维度由相关领域国际标准作为指导,基于该模型提出一个基于证据的软件安全评估过程及层次化证据融合方法,解决了评估过程中的量化及不确定性问题,并在基于云平台的物联网系统上对该评估框架进行扩展和应用。2.基于形式语义证据的软件访问控制演化安全性分析。本文提出一种针对基于角色的访问控制配置变更的形式概念分析方法,通过对其形式语义演化特征与访问控制漏洞变化之间相关性的研究,挖掘出系统中角色-权限分配对安全性的影响。通过四个真实系统的256对相邻版本的研究结果验证了系统角色-权限关系形式语义特征的变化会导致访问控制相关漏洞数量的增加。3.基于文本语义的软件漏洞知识表示与严重性评估。本文首次采用文本信息对漏洞严重性进行评估,该问题可以抽象为一个多源语义信息多分类问题,通过构造一个结合词向量的深度神经网络模型,挖掘出漏洞描述中具有区分度的语义信息,实现了漏洞严重性等级的自动化评估方法,并通过大量实验验证了模型训练的有效性和评估方法的可靠性。4.基于结构与文本语义的软件缺陷知识表示与推理。本文首次将软件缺陷知识图谱嵌入连续的低维向量空间,提出一种对软件缺陷的结构化语义和文本语义信息进行关联表示与学习的方法。该方法能够完成多种软件缺陷自动化推理任务,通过大量实验验证了该方法在软件缺陷关系推理和常见后果预测上的有效性。综上所述,本文提出基于证据的软件安全评估框架,能够对软件多维度、综合性量化评估进行指导。然后针对评估证据的不同特点提出一系列语义信息提取与表示方法,解决了软件安全评估过程中证据获取与表示的关键问题。最后,通过理论分析和实验验证了证据的语义信息在评估过程中的有效性与重要性,从而为评估人员和开发人员提供指导。