文中國軟件評測中心常務(wù)副主任 劉法旺

移動應(yīng)用軟件測評服務(wù)模式探討

文中國軟件評測中心常務(wù)副主任 劉法旺

近年來，盡管移動互聯(lián)網(wǎng)安全態(tài)勢惡化的程度在降低，但形勢依然嚴(yán)峻。移動應(yīng)用安全問題主要呈現(xiàn)為七大類：惡意扣費、涉黃涉非、隱私泄露、版權(quán)侵害、系統(tǒng)破壞、支付安全、國家安全。

近年來，移動互聯(lián)網(wǎng)發(fā)展的速度很快，但模式不太清晰，主要因為開發(fā)者沒有一個明確的盈利模式，導(dǎo)致用戶付費意愿降低。另一個原因是傳統(tǒng)質(zhì)量保障體系面臨挑戰(zhàn)。對移動互聯(lián)網(wǎng)而言，行業(yè)高度市場化，但總體呈現(xiàn)出企業(yè)規(guī)模小、發(fā)布渠道廣、版本更新快、管理要求不完善等特點，這就導(dǎo)致我們的傳統(tǒng)模式需要變革，測試行業(yè)也面臨改變。

面對市場需求，我們可以把整個應(yīng)用開發(fā)分為三個階段：研發(fā)、分發(fā)、應(yīng)用，這包括主管機(jī)構(gòu)、地方政府、行業(yè)用戶、應(yīng)用商店、應(yīng)用開發(fā)者等。在研發(fā)階段面臨安全評估、安全加固、適配性測試等；在分發(fā)階段需要進(jìn)行安全監(jiān)測和渠道監(jiān)測；在應(yīng)用階段，需要對應(yīng)用簽名進(jìn)行安全加固。

順應(yīng)互聯(lián)網(wǎng)思維

基于以上分析，從2010年開始，在工業(yè)和信息化部軟件服務(wù)業(yè)司的指導(dǎo)下，我們成立了中國移動互聯(lián)網(wǎng)應(yīng)用軟件檢測平臺，平臺踐行“測試即服務(wù)（TaaS）”的發(fā)展理念，核心部分采用自主研發(fā)的“云”+“端”測試、二進(jìn)制代碼“動態(tài)”+“靜態(tài)”分析、防逆向保護(hù)等技術(shù)，是國內(nèi)第一個面向移動App的綜合性開放式技術(shù)服務(wù)平臺。與此同時，為了順應(yīng)互聯(lián)網(wǎng)思維，也為了方便對中小企業(yè)提供服務(wù)，我們還建立了基于電子商務(wù)的對外服務(wù)窗口—利貓網(wǎng)。

在我們的平臺技術(shù)架構(gòu)中，建立了六套引擎，通過檢測和評估，提高開發(fā)質(zhì)量。上線前，不僅可以幫助用戶做好安全加固，還可以提供一個可靠的運營環(huán)境。針對安全檢測，在傳統(tǒng)安全掃描基礎(chǔ)上，我們還可以提供靜態(tài)檢測模塊和動態(tài)檢測模塊。所謂的動態(tài)檢測，主要指對應(yīng)用程序做邏輯覆蓋、路徑覆蓋以及仿真運行，檢測該應(yīng)用程序的所有行為。

針對安全評估，我們組織了專業(yè)團(tuán)隊實施滲透性測試與評估，針對不同行業(yè)的安全需求提供定制化服務(wù)，發(fā)掘安全隱患，提供修復(fù)建議。在安全加固方面，關(guān)鍵在于能不能為用戶提供一個相對比較安全的使用環(huán)境，讓程序運行起來。目前，這個平臺在北京銀行、中央紀(jì)委、體彩和福彩等用戶那里得到了應(yīng)用。還有渠道監(jiān)測，針對各種渠道網(wǎng)站，我們都有相關(guān)的渠道監(jiān)測系統(tǒng)。整個平臺從2010年開始建設(shè)，到2013年11月30日正式上線，得到了很多部門的支持。

順應(yīng)產(chǎn)業(yè)發(fā)展動向

我們希望能順應(yīng)產(chǎn)業(yè)、市場和技術(shù)發(fā)展趨勢，相機(jī)而動，將測試對象及時拓展到智能穿戴、智能家居、智能汽車等新興領(lǐng)域；并將測試服務(wù)由應(yīng)用端（移動應(yīng)用）向服務(wù)端軟件拓展，逐步建立覆蓋移動應(yīng)用整個系統(tǒng)的質(zhì)量保障體系。

面向未來，作為第三方檢測機(jī)構(gòu)，我們也在思考，并且提出了建議，主要體現(xiàn)在三個層面：

第一，完善面向移動應(yīng)用軟件的管理制度，推動依法治理。加快修訂面向移動應(yīng)用的管理制度，明確管理的要求，并支撐行業(yè)監(jiān)管部門，制定面向行業(yè)的管理和技術(shù)要求。第二，創(chuàng)新管理模式，建立多方參與的共同治理機(jī)制。加強(qiáng)統(tǒng)籌協(xié)調(diào)，推動建立信息共享和技術(shù)協(xié)調(diào)聯(lián)動處理機(jī)制；促進(jìn)產(chǎn)業(yè)鏈上下游合作，實現(xiàn)優(yōu)勢互補(bǔ)，完善產(chǎn)業(yè)發(fā)展環(huán)境，適時成立聯(lián)盟，加強(qiáng)行業(yè)自律，提高用戶的安全防范意識。第三，加強(qiáng)技術(shù)研發(fā)和平臺建設(shè)，提高技術(shù)支撐保障和市場服務(wù)能力。支持專業(yè)機(jī)構(gòu)，強(qiáng)化安全檢測、渠道監(jiān)測、應(yīng)急處置等能力；完善服務(wù)平臺，完善面向應(yīng)用軟件全生命周期的市場化服務(wù)。