移动应用软件测评服务模式探讨

2015-12-27 12:23文中国软件评测中心常务副主任刘法旺
软件和集成电路 2015年1期
关键词:监测测试检测

文中国软件评测中心常务副主任 刘法旺

移动应用软件测评服务模式探讨

文中国软件评测中心常务副主任 刘法旺

近年来,尽管移动互联网安全态势恶化的程度在降低,但形势依然严峻。移动应用安全问题主要呈现为七大类:恶意扣费、涉黄涉非、隐私泄露、版权侵害、系统破坏、支付安全、国家安全。

近年来,移动互联网发展的速度很快,但模式不太清晰,主要因为开发者没有一个明确的盈利模式,导致用户付费意愿降低。另一个原因是传统质量保障体系面临挑战。对移动互联网而言,行业高度市场化,但总体呈现出企业规模小、发布渠道广、版本更新快、管理要求不完善等特点,这就导致我们的传统模式需要变革,测试行业也面临改变。

面对市场需求,我们可以把整个应用开发分为三个阶段:研发、分发、应用,这包括主管机构、地方政府、行业用户、应用商店、应用开发者等。在研发阶段面临安全评估、安全加固、适配性测试等;在分发阶段需要进行安全监测和渠道监测;在应用阶段,需要对应用签名进行安全加固。

顺应互联网思维

基于以上分析,从2010年开始,在工业和信息化部软件服务业司的指导下,我们成立了中国移动互联网应用软件检测平台,平台践行“测试即服务(TaaS)”的发展理念,核心部分采用自主研发的“云”+“端”测试、二进制代码“动态”+“静态”分析、防逆向保护等技术,是国内第一个面向移动App的综合性开放式技术服务平台。与此同时,为了顺应互联网思维,也为了方便对中小企业提供服务,我们还建立了基于电子商务的对外服务窗口—利猫网。

在我们的平台技术架构中,建立了六套引擎,通过检测和评估,提高开发质量。上线前,不仅可以帮助用户做好安全加固,还可以提供一个可靠的运营环境。针对安全检测,在传统安全扫描基础上,我们还可以提供静态检测模块和动态检测模块。所谓的动态检测,主要指对应用程序做逻辑覆盖、路径覆盖以及仿真运行,检测该应用程序的所有行为。

针对安全评估,我们组织了专业团队实施渗透性测试与评估,针对不同行业的安全需求提供定制化服务,发掘安全隐患,提供修复建议。在安全加固方面,关键在于能不能为用户提供一个相对比较安全的使用环境,让程序运行起来。目前,这个平台在北京银行、中央纪委、体彩和福彩等用户那里得到了应用。还有渠道监测,针对各种渠道网站,我们都有相关的渠道监测系统。整个平台从2010年开始建设,到2013年11月30日正式上线,得到了很多部门的支持。

顺应产业发展动向

我们希望能顺应产业、市场和技术发展趋势,相机而动,将测试对象及时拓展到智能穿戴、智能家居、智能汽车等新兴领域;并将测试服务由应用端(移动应用)向服务端软件拓展,逐步建立覆盖移动应用整个系统的质量保障体系。

面向未来,作为第三方检测机构,我们也在思考,并且提出了建议,主要体现在三个层面:

第一,完善面向移动应用软件的管理制度,推动依法治理。加快修订面向移动应用的管理制度,明确管理的要求,并支撑行业监管部门,制定面向行业的管理和技术要求。第二,创新管理模式,建立多方参与的共同治理机制。加强统筹协调,推动建立信息共享和技术协调联动处理机制;促进产业链上下游合作,实现优势互补,完善产业发展环境,适时成立联盟,加强行业自律,提高用户的安全防范意识。第三,加强技术研发和平台建设,提高技术支撑保障和市场服务能力。支持专业机构,强化安全检测、渠道监测、应急处置等能力;完善服务平台,完善面向应用软件全生命周期的市场化服务。

猜你喜欢
监测测试检测
特色“三四五六”返贫监测帮扶做实做细
心理测试
必修二 Modules 1—6综合检测题
“整式的加减”检测题
“整式”检测题
网络安全监测数据分析——2015年12月
网络安全监测数据分析——2015年11月
学习监测手环
心理小测试
测试