文中國軟件評測中心常務(wù)副主任 劉法旺
移動應(yīng)用軟件測評服務(wù)模式探討
文中國軟件評測中心常務(wù)副主任 劉法旺
近年來,盡管移動互聯(lián)網(wǎng)安全態(tài)勢惡化的程度在降低,但形勢依然嚴(yán)峻。移動應(yīng)用安全問題主要呈現(xiàn)為七大類:惡意扣費、涉黃涉非、隱私泄露、版權(quán)侵害、系統(tǒng)破壞、支付安全、國家安全。
近年來,移動互聯(lián)網(wǎng)發(fā)展的速度很快,但模式不太清晰,主要因為開發(fā)者沒有一個明確的盈利模式,導(dǎo)致用戶付費意愿降低。另一個原因是傳統(tǒng)質(zhì)量保障體系面臨挑戰(zhàn)。對移動互聯(lián)網(wǎng)而言,行業(yè)高度市場化,但總體呈現(xiàn)出企業(yè)規(guī)模小、發(fā)布渠道廣、版本更新快、管理要求不完善等特點,這就導(dǎo)致我們的傳統(tǒng)模式需要變革,測試行業(yè)也面臨改變。
面對市場需求,我們可以把整個應(yīng)用開發(fā)分為三個階段:研發(fā)、分發(fā)、應(yīng)用,這包括主管機(jī)構(gòu)、地方政府、行業(yè)用戶、應(yīng)用商店、應(yīng)用開發(fā)者等。在研發(fā)階段面臨安全評估、安全加固、適配性測試等;在分發(fā)階段需要進(jìn)行安全監(jiān)測和渠道監(jiān)測;在應(yīng)用階段,需要對應(yīng)用簽名進(jìn)行安全加固。
基于以上分析,從2010年開始,在工業(yè)和信息化部軟件服務(wù)業(yè)司的指導(dǎo)下,我們成立了中國移動互聯(lián)網(wǎng)應(yīng)用軟件檢測平臺,平臺踐行“測試即服務(wù)(TaaS)”的發(fā)展理念,核心部分采用自主研發(fā)的“云”+“端”測試、二進(jìn)制代碼“動態(tài)”+“靜態(tài)”分析、防逆向保護(hù)等技術(shù),是國內(nèi)第一個面向移動App的綜合性開放式技術(shù)服務(wù)平臺。與此同時,為了順應(yīng)互聯(lián)網(wǎng)思維,也為了方便對中小企業(yè)提供服務(wù),我們還建立了基于電子商務(wù)的對外服務(wù)窗口—利貓網(wǎng)。
在我們的平臺技術(shù)架構(gòu)中,建立了六套引擎,通過檢測和評估,提高開發(fā)質(zhì)量。上線前,不僅可以幫助用戶做好安全加固,還可以提供一個可靠的運營環(huán)境。針對安全檢測,在傳統(tǒng)安全掃描基礎(chǔ)上,我們還可以提供靜態(tài)檢測模塊和動態(tài)檢測模塊。所謂的動態(tài)檢測,主要指對應(yīng)用程序做邏輯覆蓋、路徑覆蓋以及仿真運行,檢測該應(yīng)用程序的所有行為。
針對安全評估,我們組織了專業(yè)團(tuán)隊實施滲透性測試與評估,針對不同行業(yè)的安全需求提供定制化服務(wù),發(fā)掘安全隱患,提供修復(fù)建議。在安全加固方面,關(guān)鍵在于能不能為用戶提供一個相對比較安全的使用環(huán)境,讓程序運行起來。目前,這個平臺在北京銀行、中央紀(jì)委、體彩和福彩等用戶那里得到了應(yīng)用。還有渠道監(jiān)測,針對各種渠道網(wǎng)站,我們都有相關(guān)的渠道監(jiān)測系統(tǒng)。整個平臺從2010年開始建設(shè),到2013年11月30日正式上線,得到了很多部門的支持。
我們希望能順應(yīng)產(chǎn)業(yè)、市場和技術(shù)發(fā)展趨勢,相機(jī)而動,將測試對象及時拓展到智能穿戴、智能家居、智能汽車等新興領(lǐng)域;并將測試服務(wù)由應(yīng)用端(移動應(yīng)用)向服務(wù)端軟件拓展,逐步建立覆蓋移動應(yīng)用整個系統(tǒng)的質(zhì)量保障體系。
面向未來,作為第三方檢測機(jī)構(gòu),我們也在思考,并且提出了建議,主要體現(xiàn)在三個層面:
第一,完善面向移動應(yīng)用軟件的管理制度,推動依法治理。加快修訂面向移動應(yīng)用的管理制度,明確管理的要求,并支撐行業(yè)監(jiān)管部門,制定面向行業(yè)的管理和技術(shù)要求。第二,創(chuàng)新管理模式,建立多方參與的共同治理機(jī)制。加強(qiáng)統(tǒng)籌協(xié)調(diào),推動建立信息共享和技術(shù)協(xié)調(diào)聯(lián)動處理機(jī)制;促進(jìn)產(chǎn)業(yè)鏈上下游合作,實現(xiàn)優(yōu)勢互補(bǔ),完善產(chǎn)業(yè)發(fā)展環(huán)境,適時成立聯(lián)盟,加強(qiáng)行業(yè)自律,提高用戶的安全防范意識。第三,加強(qiáng)技術(shù)研發(fā)和平臺建設(shè),提高技術(shù)支撐保障和市場服務(wù)能力。支持專業(yè)機(jī)構(gòu),強(qiáng)化安全檢測、渠道監(jiān)測、應(yīng)急處置等能力;完善服務(wù)平臺,完善面向應(yīng)用軟件全生命周期的市場化服務(wù)。