
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-GB" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hi John,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">>>> </span>If a requirement isn't testable.. then how would you possibly know if you have achieved it or not?<o:p></o:p></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">That’s the security challenge we face in today’s world.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">You can define and pass a set of tests.   But you cannot be certain tests provide coverage of all possible attack paths, unless you start using formal methods (which become a significant cost).<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Regards,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Colin Robbins


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Nexor<br>


<b><span style="color:#72349D">Tel:</span></b><span style="color:black"> +44 (0) 115 953 5541<o:p></o:p></span></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> trustable-software [mailto:trustable-software-bounces@lists.trustable.io]


<b>On Behalf Of </b>Munns, Jon<br>


<b>Sent:</b> 03 January 2018 10:52<br>


<b>To:</b> Trustable software engineering discussion <trustable-software@lists.trustable.io><br>


<b>Subject:</b> Re: [trustable-software] Exploring the "Hypothesis for software to be trustable"<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On 3 January 2018 at 10:39, Colin Robbins <<a href="mailto:Colin.Robbins@nexor.com" target="_blank">Colin.Robbins@nexor.com</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal">Hi Paul,<br>


<br>


Happy new year to you.<br>


<br>


I think the approach looks good where the outcome is deterministic.   I.e., there are t.tests for each t.requirement.<br>


<br>


On to the attributes of trustable is secure.   The challenge with secure, is that it non-deterministic, and changes over time.<br>


So I suggest we need to add an element of "when" the tests were performed, and the state of the "known set of vulnerabilities" at that time.<br>


<br>


Regards,<br>


<br>


Colin Robbins<br>


Nexor<br>


Tel: +44 (0) 115 953 5541<br>


<br>


-----Original Message-----<br>


From: trustable-software [mailto:<a href="mailto:trustable-software-bounces@lists.trustable.io">trustable-software-bounces@lists.trustable.io</a>] On Behalf Of Paul Sherwood<br>


Sent: 02 January 2018 10:41<br>


To: <a href="mailto:trustable-software@lists.trustable.io">trustable-software@lists.trustable.io</a><br>


Subject: [trustable-software] Exploring the "Hypothesis for software to be trustable"<br>


<br>


Hi folks,<br>


over the break I was thinking about the hypothesis that Edmund expressed last year [1], and found myself attempting to codify some of the context and underlying assumptions, as you can see below.<br>


<br>


I've gone for a shorthand of t.* to denote things that seem to be either required or implied by the 'Trustable Software' discussions and concepts.<br>


<br>


Note that:<br>


- I'm not even confident yet that the hypothesis is generally correct.<br>


- I think that the specifics of the hypothesis are probably not all correct<br>


- I'm completely sure that following statements contain bugs and I would appreciate any/all review feedback<br>


<br>


br<br>


Paul<br>


<br>


# t.software<br>


<br>


- we assess the trustability of t.software based on t.evidence<br>


- t.software MUST have t.requirements<br>


- t.software MUST satisfy its t.requirements<br>


- there MUST be t.measurable t.evidence that t.software satisfies its t.requirements<br>


<br>


# t.requirements (derived from wikipedia [2])<br>


<br>


   - t.requirements MUST be unitary<br>


   - t.requirements MUST be atomic (non-conjugated)<br>


   - t.requirements MUST be complete<br>


   - t.requirements MUST be consistent<br>


   - t.requirements MUST be traceable<br>


   - t.requirements MUST be current<br>


   - t.requirements MUST be unambiguous<br>


   - t.requirements MUST be verifiable<br>


   - t.requirements MAY be graded by priority/importance<br>


<br>


# t.tests<br>


<br>


- t.requirements MUST exist<br>


- all t.requirements MUST have t.tests<br>


- all t.tests MUST pass<br>


- the scope of the t.requirements MUST be t.measurable<br>


- the scope of the t.tests MUST be t.measurable<br>


- we MAY t.estimate the scale or scope of missing t.requirements<br>


- we MAY t.estimate the scale or scope of missing t.tests<br>


<br>


# t.evidence<br>


<br>


- t.evidence is machine-parseable metadata associated with t.software<br>


- t.evidence MUST include t.evidence of its own integrity/correctness<br>


- t.evidence MUST include t.identity for author(s)<br>


- t.evidence MUST include t.identity for committer/uploader<br>


- t.evidence MUST include creation/modification/commit time-and-date<br>


- t.evidence MAY include text description and/or comments<br>


- t.evidence MAY include t.identity for reviewer(s)<br>


- t.evidence MAY include t.identity for review comments<br>


<br>


<br>


# t.identity, t.identify<br>


<br>


- t.identity is a kind of t.evidence<br>


- t.identity MUST map to a single t.contributor<br>


- a t.contributor is a uniquely identifiable person, organisation or software program<br>


- t.contributors contribute to t.software and/or t.evidence<br>


- t.contributors are responsible and accountable for their contributions<br>


<br>


# t.measure, t.measureable, t.estimate, t.measurement, t.metrics<br>


<br>


- t.measurements MUST be derived from t.evidence via automation<br>


- t.estimates MUST be derived from t.evidence via automation<br>


- t.measurements MUST be believed to be factually correct<br>


- t.estimates are known to be uncertain<br>


- we t.measure all available t.evidence about t.software, producing t.metrics<br>


- we t.measure multiple t.metrics, including signals for some (ideally<br>


all) of<br>


   - engineering cost/effort<br>


   - project scale<br>


   - project value<br>


   - project quality<br>


   - project software performance/efficiency<br>


- we use t.estimates to check t.measurements or fill in gaps in t.evidence<br>


- we look conflicts between t.metrics<br>


   - we evaluate the conflicts<br>


- we aim to identify gaps in t.metrics<br>


   - we seek new t.evidence to close them<br>


- all t.metrics MUST be meaningful<br>


   - for t.software, all t.metrics are acceptable<br>


- we can aggregate/manipulate t.metrics to provide a t.measure of trustability<br>


<br>


# t.provenance<br>


<br>


- t.evidence MUST t.identify the authors of the t.software<br>


- t.evidence MUST t.identitify the reviewers of the t.software<br>


- t.evidence MUST t.identify the integrators/mergers of the t.software<br>


- FIXME add hypothesis provenance logic here<br>


<br>


# t.change<br>


<br>


- a t.change is is any change to standards, requirements, tests, code,<br>


   documentation, or other materials that affect the project<br>


- a t.change specifically includes the initial upload of any component of any<br>


   materials<br>


<br>


# t.build<br>


<br>


- a t.build consists of any compilation, reformation, rearrangement,<br>


   or copying of any sources to generate any artefacts that may become<br>


   subject to test or deployment<br>


- FIXME add hypothesis build logic here<br>


<br>


# t.process, t.effect, t.friction, t.value<br>


<br>


- t.process is a set of practices to increase the trustability of software<br>


- adding t.process to a project MUST lead to t.measurable t.effects<br>


- t.effects are t.measures and/or t.metrics<br>


- t.friction is negative t.effects<br>


- t.value is positive t.effects<br>


- the t.effects of adding t.process to any project MUST be t.measurable<br>


- adding t.process to a mature infrastructure project must<br>


   - provide t.measurable t.value<br>


   - involve acceptable (minimal) t.friction<br>


   - be justifiable to be used upstream and/or<br>


   - be applicable downstream<br>


<br>


# t.reproduce<br>


<br>


- FIXME add hypothesis reproduction logic here<br>


<br>


# t.function<br>


<br>


- FIXME add hypothesis functionality logic here<br>


<br>


# t.update<br>


<br>


- FIXME add hypothesis update logic here<br>


<br>


# t.context<br>


<br>


- t.context is written information which states or clarifies relevant ideas for t.software<br>


- [trustable software<br>


discussions](<a href="https://lists.trustable.io/pipermail/trustable-software/" target="_blank">https://lists.trustable.io/pipermail/trustable-software/</a>)<br>


- [wikipedia requirement](<a href="https://en.wikipedia.org/wiki/Requirement" target="_blank">https://en.wikipedia.org/wiki/Requirement</a>)<br>


- [RFC 2119](<a href="https://www.ietf.org/rfc/rfc2119.txt" target="_blank">https://www.ietf.org/rfc/rfc2119.txt</a>)<br>


- virtually all existing software does not satisfy the [trustable software<br>


hypothesis](<a href="https://gitlab.com/trustable/overview/wikis/hypothesis-for-software-to-be-trustable" target="_blank">https://gitlab.com/trustable/overview/wikis/hypothesis-for-software-to-be-trustable</a>)<br>


   - but a lot of software is widely trusted<br>


- to be useful, the t.software concepts must be<br>


   - easy to understand<br>


   - justifiable<br>


   - practical and realistic<br>


   - applicable to existing software<br>


     - collecting t.evidence needs to be low friction<br>


     - t.measures and t.metrics for widely trusted software existing software  should be good<br>


<br>


<br>


[1]<br>


<a href="https://gitlab.com/trustable/overview/wikis/hypothesis-for-software-to-be-trustable" target="_blank">https://gitlab.com/trustable/overview/wikis/hypothesis-for-software-to-be-trustable</a><br>


[2] <a href="https://en.wikipedia.org/wiki/Requirement" target="_blank">https://en.wikipedia.org/wiki/Requirement</a><br>


<br>


<br>


_______________________________________________<br>


trustable-software mailing list<br>


<a href="mailto:trustable-software@lists.trustable.io">trustable-software@lists.trustable.io</a><br>


<a href="https://lists.trustable.io/cgi-bin/mailman/listinfo/trustable-software" target="_blank">https://lists.trustable.io/cgi-bin/mailman/listinfo/trustable-software</a><br>


_______________________________________________<br>


trustable-software mailing list<br>


<a href="mailto:trustable-software@lists.trustable.io">trustable-software@lists.trustable.io</a><br>


<a href="https://lists.trustable.io/cgi-bin/mailman/listinfo/trustable-software" target="_blank">https://lists.trustable.io/cgi-bin/mailman/listinfo/trustable-software</a><o:p></o:p></p>


</blockquote>


</div>


<p class="MsoNormal"><br>


<br clear="all">


<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<p class="MsoNormal">-- <o:p></o:p></p>


<div>


<div>


<div>


<div>


<div>


<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222;background:white">Kind Regards,</span><o:p></o:p></p>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Jon Munns MBA<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Chief Engineer Vehicle Domain Controller<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Jaguar Land Rover Electrical<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Int Tel: 8794 9812<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Tel: +44 7880 401 047<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#222222">Jaguar Land Rover Limited<br>


Registered Office: Abbey Road, Whitley, Coventry CV3 4LF<br>


Registered in England No: 1672070<o:p></o:p></span></p>


</div>


</div>


</div>


</div>


</div>


</div>


</div>


</div>


</body>


</html>