文中国软件评测中心常务副主任 刘法旺

移动应用软件测评服务模式探讨

文中国软件评测中心常务副主任 刘法旺

近年来，尽管移动互联网安全态势恶化的程度在降低，但形势依然严峻。移动应用安全问题主要呈现为七大类：恶意扣费、涉黄涉非、隐私泄露、版权侵害、系统破坏、支付安全、国家安全。

近年来，移动互联网发展的速度很快，但模式不太清晰，主要因为开发者没有一个明确的盈利模式，导致用户付费意愿降低。另一个原因是传统质量保障体系面临挑战。对移动互联网而言，行业高度市场化，但总体呈现出企业规模小、发布渠道广、版本更新快、管理要求不完善等特点，这就导致我们的传统模式需要变革，测试行业也面临改变。

面对市场需求，我们可以把整个应用开发分为三个阶段：研发、分发、应用，这包括主管机构、地方政府、行业用户、应用商店、应用开发者等。在研发阶段面临安全评估、安全加固、适配性测试等；在分发阶段需要进行安全监测和渠道监测；在应用阶段，需要对应用签名进行安全加固。

顺应互联网思维

基于以上分析，从2010年开始，在工业和信息化部软件服务业司的指导下，我们成立了中国移动互联网应用软件检测平台，平台践行“测试即服务（TaaS）”的发展理念，核心部分采用自主研发的“云”+“端”测试、二进制代码“动态”+“静态”分析、防逆向保护等技术，是国内第一个面向移动App的综合性开放式技术服务平台。与此同时，为了顺应互联网思维，也为了方便对中小企业提供服务，我们还建立了基于电子商务的对外服务窗口—利猫网。

在我们的平台技术架构中，建立了六套引擎，通过检测和评估，提高开发质量。上线前，不仅可以帮助用户做好安全加固，还可以提供一个可靠的运营环境。针对安全检测，在传统安全扫描基础上，我们还可以提供静态检测模块和动态检测模块。所谓的动态检测，主要指对应用程序做逻辑覆盖、路径覆盖以及仿真运行，检测该应用程序的所有行为。

针对安全评估，我们组织了专业团队实施渗透性测试与评估，针对不同行业的安全需求提供定制化服务，发掘安全隐患，提供修复建议。在安全加固方面，关键在于能不能为用户提供一个相对比较安全的使用环境，让程序运行起来。目前，这个平台在北京银行、中央纪委、体彩和福彩等用户那里得到了应用。还有渠道监测，针对各种渠道网站，我们都有相关的渠道监测系统。整个平台从2010年开始建设，到2013年11月30日正式上线，得到了很多部门的支持。

顺应产业发展动向

我们希望能顺应产业、市场和技术发展趋势，相机而动，将测试对象及时拓展到智能穿戴、智能家居、智能汽车等新兴领域；并将测试服务由应用端（移动应用）向服务端软件拓展，逐步建立覆盖移动应用整个系统的质量保障体系。

面向未来，作为第三方检测机构，我们也在思考，并且提出了建议，主要体现在三个层面：

第一，完善面向移动应用软件的管理制度，推动依法治理。加快修订面向移动应用的管理制度，明确管理的要求，并支撑行业监管部门，制定面向行业的管理和技术要求。第二，创新管理模式，建立多方参与的共同治理机制。加强统筹协调，推动建立信息共享和技术协调联动处理机制；促进产业链上下游合作，实现优势互补，完善产业发展环境，适时成立联盟，加强行业自律，提高用户的安全防范意识。第三，加强技术研发和平台建设，提高技术支撑保障和市场服务能力。支持专业机构，强化安全检测、渠道监测、应急处置等能力；完善服务平台，完善面向应用软件全生命周期的市场化服务。