文中國軟件評測中心常務副主任 劉法旺
移動應用軟件測評服務模式探討
文中國軟件評測中心常務副主任 劉法旺
近年來,盡管移動互聯(lián)網(wǎng)安全態(tài)勢惡化的程度在降低,但形勢依然嚴峻。移動應用安全問題主要呈現(xiàn)為七大類:惡意扣費、涉黃涉非、隱私泄露、版權(quán)侵害、系統(tǒng)破壞、支付安全、國家安全。
近年來,移動互聯(lián)網(wǎng)發(fā)展的速度很快,但模式不太清晰,主要因為開發(fā)者沒有一個明確的盈利模式,導致用戶付費意愿降低。另一個原因是傳統(tǒng)質(zhì)量保障體系面臨挑戰(zhàn)。對移動互聯(lián)網(wǎng)而言,行業(yè)高度市場化,但總體呈現(xiàn)出企業(yè)規(guī)模小、發(fā)布渠道廣、版本更新快、管理要求不完善等特點,這就導致我們的傳統(tǒng)模式需要變革,測試行業(yè)也面臨改變。
面對市場需求,我們可以把整個應用開發(fā)分為三個階段:研發(fā)、分發(fā)、應用,這包括主管機構(gòu)、地方政府、行業(yè)用戶、應用商店、應用開發(fā)者等。在研發(fā)階段面臨安全評估、安全加固、適配性測試等;在分發(fā)階段需要進行安全監(jiān)測和渠道監(jiān)測;在應用階段,需要對應用簽名進行安全加固。
基于以上分析,從2010年開始,在工業(yè)和信息化部軟件服務業(yè)司的指導下,我們成立了中國移動互聯(lián)網(wǎng)應用軟件檢測平臺,平臺踐行“測試即服務(TaaS)”的發(fā)展理念,核心部分采用自主研發(fā)的“云”+“端”測試、二進制代碼“動態(tài)”+“靜態(tài)”分析、防逆向保護等技術(shù),是國內(nèi)第一個面向移動App的綜合性開放式技術(shù)服務平臺。與此同時,為了順應互聯(lián)網(wǎng)思維,也為了方便對中小企業(yè)提供服務,我們還建立了基于電子商務的對外服務窗口—利貓網(wǎng)。
在我們的平臺技術(shù)架構(gòu)中,建立了六套引擎,通過檢測和評估,提高開發(fā)質(zhì)量。上線前,不僅可以幫助用戶做好安全加固,還可以提供一個可靠的運營環(huán)境。針對安全檢測,在傳統(tǒng)安全掃描基礎(chǔ)上,我們還可以提供靜態(tài)檢測模塊和動態(tài)檢測模塊。所謂的動態(tài)檢測,主要指對應用程序做邏輯覆蓋、路徑覆蓋以及仿真運行,檢測該應用程序的所有行為。
針對安全評估,我們組織了專業(yè)團隊實施滲透性測試與評估,針對不同行業(yè)的安全需求提供定制化服務,發(fā)掘安全隱患,提供修復建議。在安全加固方面,關(guān)鍵在于能不能為用戶提供一個相對比較安全的使用環(huán)境,讓程序運行起來。目前,這個平臺在北京銀行、中央紀委、體彩和福彩等用戶那里得到了應用。還有渠道監(jiān)測,針對各種渠道網(wǎng)站,我們都有相關(guān)的渠道監(jiān)測系統(tǒng)。整個平臺從2010年開始建設(shè),到2013年11月30日正式上線,得到了很多部門的支持。
我們希望能順應產(chǎn)業(yè)、市場和技術(shù)發(fā)展趨勢,相機而動,將測試對象及時拓展到智能穿戴、智能家居、智能汽車等新興領(lǐng)域;并將測試服務由應用端(移動應用)向服務端軟件拓展,逐步建立覆蓋移動應用整個系統(tǒng)的質(zhì)量保障體系。
面向未來,作為第三方檢測機構(gòu),我們也在思考,并且提出了建議,主要體現(xiàn)在三個層面:
第一,完善面向移動應用軟件的管理制度,推動依法治理。加快修訂面向移動應用的管理制度,明確管理的要求,并支撐行業(yè)監(jiān)管部門,制定面向行業(yè)的管理和技術(shù)要求。第二,創(chuàng)新管理模式,建立多方參與的共同治理機制。加強統(tǒng)籌協(xié)調(diào),推動建立信息共享和技術(shù)協(xié)調(diào)聯(lián)動處理機制;促進產(chǎn)業(yè)鏈上下游合作,實現(xiàn)優(yōu)勢互補,完善產(chǎn)業(yè)發(fā)展環(huán)境,適時成立聯(lián)盟,加強行業(yè)自律,提高用戶的安全防范意識。第三,加強技術(shù)研發(fā)和平臺建設(shè),提高技術(shù)支撐保障和市場服務能力。支持專業(yè)機構(gòu),強化安全檢測、渠道監(jiān)測、應急處置等能力;完善服務平臺,完善面向應用軟件全生命周期的市場化服務。