非开发性企业的软件安全测试之道

随着互联 +时代的到来，几乎每一个企、事业单位都已经把主要的业务搬到互联 上来。随之而给带来了两个重大的趋势：一方面，软件外包开发空前的繁荣起来；另一个方面，信息安全、个人隐私受到了越来越大的威胁。

络安全事件，个人隐私泄露， 络站点被黑等等事件几乎天天可以看到。从国内多家安全漏洞曝光平台上可以看出：几乎各行各业的 站系统都会存在安全漏洞。其中不乏大型国企、央企、政府、银行、高校和科研单位等等。

图：2016年 络安全事件与源代码安全漏洞

导致 络安全攻击事件不断频发的一个主要原因——大量定制外包开发出来的软件应用系统的源代码中都存在着各种各样的安全漏洞，极易受到黑客攻击。

e 安在线的合作伙伴——思客云，致力于成为中国最先进、最专业、最权威的软件安全测试产品、安全咨询、安全服务的整体解决方案供应商。作为一家最先在中国倡导软件安全开发的理念和安全测试理念的公司，多年来为中国的百余家客户提供专业的软件安全产品解决方案和软件安全咨询服务。

“

本期大咖话安全，请到了合作伙伴—–思客云的领军人物王宏，来和大家谈谈非开发性企业的软件安全测试之道。

”

思客云：王宏

思客云（北京）软件技术有限公司总经理，高级软件安全咨询师，计算机技术与应用专业硕士，有深厚的计算机软件和软件工程理论基础，10多年软件安全开发、源代码安全测试理论研究和实践经验，中国最早软件安全开发生命周期实践者。具有多年大型企业安全架构设计、安全开发、安全测试经验，对金融、银行、大型开发企业的安全体系架构深入了解。工作期间潜心学习软件源代码的安全知识，安全漏洞分类知识，在国内安全技术刊物上多次发表重要技术文章等。

01

e 安在线：

日益严峻的 络安全形势，诱发根源在哪？

王宏：

目前所面临的安全问题都是我们自主研发或者外包开发出来的定制化软件系统存在安全漏洞而导致的。我们也必须从软件系统本身的源代码入手来解决这些安全问题。

王宏：

02

e 安在线：

国企、央企、政府等这类非软件开发型的事业单位，用什么方法来保障自己应用系统的源代码的安全性？

王宏：

这类单位所有的软件系统有个共同的特点，就是都是通过外包开发模式完成的。这些单位自身不具备（也不必要具备）软件安全开发能力，不需要拥有很高的源代码安全开发水平。但对于自己的业务系统的安全性，这些单位是第一负责人，必须具备软件系统安全的保障能力，否则一旦应用系统被攻击，触犯《 络安全法》的可是甲方自己，要第一个被追责。所以，对于非开发型的各类企、事业单位，都要在解决软件的源代码安全漏洞问题上下一番功夫，确保自身业务系统上线后的安全性、稳定性。

03

e 安在线：

如何在不懂软件源代码的情况下，又确保源代码是安全的？

王宏：

在软件外包管理中引入软件源代码安全测试体系，建立强制性的源代码“安全验收”机制是最有效、最方便的手段，它可以从源代码层面上保证软件系统的安全性。

这个“安全验收”机制如何建立才能即满足甲方安全保障的需要，又能让外包开发服务商积极地配合安全漏洞的检测和修复工作呢？ 我们将其总结为一个“GATE+” 源代码安全测试管理模式，具体说明如下图所示：

图：“GATE+”安全测试管理模式

如上图所示，“GATE+”模式的主要思想就是，在外包开发管理中引入软件源代码的安全测试体系，对外包服务商所交付的软件系统的源代码进行安全性验收测试。如果交付的源代码存在易被攻击的安全漏洞，需要外包商进行安全修复，直至这些漏洞全部被消除，这个系统才能够验收，进行上线部署。

04

e 安在线：

这个比较高大上，但思客云是如何将其“落地”的呢？

王宏：

1. 制定并发布明确的《软件源代码安全测试验收标准》

由甲方安全部门和外包管理部门人员联合专业的软件安全咨询顾问共同制定出明确的，符合甲方安全要求的《软件源代码安全测试验收标准》，并由甲方权威部门正式发布。即上图中的“红线”，这是源代码安全验收时必须遵守的。与之相对应的是外包开发过程中的一个“虚黄线”，该虚黄线的意思是开发商可以在项目开发初期就明确地让开发人员知道将来的源代码验收标准，开发人员就可以提前预防，提前做好技术上的规避方案。这样一来，外包商和开发人员就会更加积极主动的配合安全漏洞的检查和修复工作。

2. 建立一个方便、高效的软件源代码安全测试管理平台

可能有安全管理人员会觉得源代码安全测试，直接找专业的第三方安全测试机构或者安全公司进行测试服务就可以了，不必要由甲方自建源代码安全管理平台。但根据经验，由甲方自建安全测试管理平台是非常有必要的。这是因为，如果把验收测试交由第三方来测试时，那势必安全测试只能在项目验收时进行一次到两次的测试。测试频度太低，时间后置，这样只能会造成“仓促地”测试和验收，外包人员“极不情愿地”配合和“应付式”修复漏洞的局面。一旦形成这样的情况，那上面的“安全验收”就会越来越无法保证质量，慢慢地就只是留于“形势”了。这一点，我们已经看到很多的单位就是这样的情况。所以，由甲方自建一个软件源代码安全测试管理平台，提供两种测试并行的方法才能把“安全测试标准”有效地执行下去。

3. “强制式”测试与“自助式”测试并行

为了避免上述的问题，在自建安全测试管理平台的基础上，我们提出了一个“强制式”测试与“自助式”测试并行的方案。如上图中所示 验收式测试 +“蓝虚框”的外包自助式测试。其中验收式测试由甲方的项目管理人员完成。这是强制式的，每一个项目在交付前都要进行一次强制式验收测试。同时，在开发过程中，允许外包商开发人员可以在开发过程中不定期的对源代码进行自助式的安全测试，这样可以让外包人员及时地检测出安全问题及时地修复漏洞。外包商就可以对强制验收式测试没有那么抵触，更加积极配合，安全测试工作就会更加的顺畅。同时也不会因为安全测试影响项目验收进度，影响交付和发布了。

05

e 安在线：

有人认为代码安全方面不好做，贵公司怎么看？

王宏：

软件源代码安全验收测试，一个简单又高效的软件安全保障手段，虽然已经提出多年，但是如果没有一个有效的模式为基础，则只会让甲方，外包商，开发人员，安全人员和项目管理人员徒增烦恼。思客云找八哥系统以提供最佳“源代码安全测试”整体解决方案为己任，希望能够给您提供必要的帮助！

END