文中國軟件評測中心常務副主任 劉法旺

移動應用軟件測評服務模式探討

文中國軟件評測中心常務副主任 劉法旺

近年來，盡管移動互聯(lián)網(wǎng)安全態(tài)勢惡化的程度在降低，但形勢依然嚴峻。移動應用安全問題主要呈現(xiàn)為七大類：惡意扣費、涉黃涉非、隱私泄露、版權(quán)侵害、系統(tǒng)破壞、支付安全、國家安全。

近年來，移動互聯(lián)網(wǎng)發(fā)展的速度很快，但模式不太清晰，主要因為開發(fā)者沒有一個明確的盈利模式，導致用戶付費意愿降低。另一個原因是傳統(tǒng)質(zhì)量保障體系面臨挑戰(zhàn)。對移動互聯(lián)網(wǎng)而言，行業(yè)高度市場化，但總體呈現(xiàn)出企業(yè)規(guī)模小、發(fā)布渠道廣、版本更新快、管理要求不完善等特點，這就導致我們的傳統(tǒng)模式需要變革，測試行業(yè)也面臨改變。

面對市場需求，我們可以把整個應用開發(fā)分為三個階段：研發(fā)、分發(fā)、應用，這包括主管機構(gòu)、地方政府、行業(yè)用戶、應用商店、應用開發(fā)者等。在研發(fā)階段面臨安全評估、安全加固、適配性測試等；在分發(fā)階段需要進行安全監(jiān)測和渠道監(jiān)測；在應用階段，需要對應用簽名進行安全加固。

順應互聯(lián)網(wǎng)思維

基于以上分析，從2010年開始，在工業(yè)和信息化部軟件服務業(yè)司的指導下，我們成立了中國移動互聯(lián)網(wǎng)應用軟件檢測平臺，平臺踐行“測試即服務（TaaS）”的發(fā)展理念，核心部分采用自主研發(fā)的“云”+“端”測試、二進制代碼“動態(tài)”+“靜態(tài)”分析、防逆向保護等技術(shù)，是國內(nèi)第一個面向移動App的綜合性開放式技術(shù)服務平臺。與此同時，為了順應互聯(lián)網(wǎng)思維，也為了方便對中小企業(yè)提供服務，我們還建立了基于電子商務的對外服務窗口—利貓網(wǎng)。

在我們的平臺技術(shù)架構(gòu)中，建立了六套引擎，通過檢測和評估，提高開發(fā)質(zhì)量。上線前，不僅可以幫助用戶做好安全加固，還可以提供一個可靠的運營環(huán)境。針對安全檢測，在傳統(tǒng)安全掃描基礎(chǔ)上，我們還可以提供靜態(tài)檢測模塊和動態(tài)檢測模塊。所謂的動態(tài)檢測，主要指對應用程序做邏輯覆蓋、路徑覆蓋以及仿真運行，檢測該應用程序的所有行為。

針對安全評估，我們組織了專業(yè)團隊實施滲透性測試與評估，針對不同行業(yè)的安全需求提供定制化服務，發(fā)掘安全隱患，提供修復建議。在安全加固方面，關(guān)鍵在于能不能為用戶提供一個相對比較安全的使用環(huán)境，讓程序運行起來。目前，這個平臺在北京銀行、中央紀委、體彩和福彩等用戶那里得到了應用。還有渠道監(jiān)測，針對各種渠道網(wǎng)站，我們都有相關(guān)的渠道監(jiān)測系統(tǒng)。整個平臺從2010年開始建設(shè)，到2013年11月30日正式上線，得到了很多部門的支持。

順應產(chǎn)業(yè)發(fā)展動向

我們希望能順應產(chǎn)業(yè)、市場和技術(shù)發(fā)展趨勢，相機而動，將測試對象及時拓展到智能穿戴、智能家居、智能汽車等新興領(lǐng)域；并將測試服務由應用端（移動應用）向服務端軟件拓展，逐步建立覆蓋移動應用整個系統(tǒng)的質(zhì)量保障體系。

面向未來，作為第三方檢測機構(gòu)，我們也在思考，并且提出了建議，主要體現(xiàn)在三個層面：

第一，完善面向移動應用軟件的管理制度，推動依法治理。加快修訂面向移動應用的管理制度，明確管理的要求，并支撐行業(yè)監(jiān)管部門，制定面向行業(yè)的管理和技術(shù)要求。第二，創(chuàng)新管理模式，建立多方參與的共同治理機制。加強統(tǒng)籌協(xié)調(diào)，推動建立信息共享和技術(shù)協(xié)調(diào)聯(lián)動處理機制；促進產(chǎn)業(yè)鏈上下游合作，實現(xiàn)優(yōu)勢互補，完善產(chǎn)業(yè)發(fā)展環(huán)境，適時成立聯(lián)盟，加強行業(yè)自律，提高用戶的安全防范意識。第三，加強技術(shù)研發(fā)和平臺建設(shè)，提高技術(shù)支撐保障和市場服務能力。支持專業(yè)機構(gòu)，強化安全檢測、渠道監(jiān)測、應急處置等能力；完善服務平臺，完善面向應用軟件全生命周期的市場化服務。