隨著移動(dòng)應(yīng)用、互聯(lián)網(wǎng)+時(shí)代的到來(lái)，幾乎每個(gè)銀行的都已經(jīng)把主要的業(yè)務(wù)搬到互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)上來(lái)。隨之而給帶來(lái)了兩個(gè)重大的趨勢(shì)：

• 一方面，軟件外包開(kāi)發(fā)空前的繁榮起來(lái)，銀行除了要提供網(wǎng)上銀行，電話(huà)銀行的業(yè)務(wù)，還要提供手機(jī)銀行，銀行APP, 網(wǎng)絡(luò)支付、各類(lèi)投資和理財(cái)業(yè)務(wù)APP等等。越來(lái)越多的銀行業(yè)務(wù)需要更全面、功能更多、更強(qiáng)大的軟件應(yīng)用系統(tǒng)來(lái)支撐，這著實(shí)給本來(lái)就“壓力山大”商業(yè)銀行科技部(軟件開(kāi)發(fā)處)帶來(lái)了不小的挑戰(zhàn)。
• 另一個(gè)方面，信息安全、個(gè)人隱私受到了越來(lái)越大的威脅。網(wǎng)絡(luò)安全事件，個(gè)人隱私泄露，網(wǎng)絡(luò)站點(diǎn)被黑等等事件幾乎天天可以看到。所以國(guó)家在今年6月1日及時(shí)地頒布了《網(wǎng)絡(luò)安全法》，希望從法律層面，給社會(huì)各界提供有力的依據(jù)，公同保護(hù)互聯(lián)網(wǎng)安全環(huán)境。

其中，現(xiàn)在網(wǎng)絡(luò)安全攻擊事件不斷頻發(fā)的一個(gè)主要原因，就是大量定制化外包開(kāi)發(fā)出來(lái)的軟件應(yīng)用系統(tǒng)的源代碼中都存在著各種各樣的安全漏洞，極易受到黑客攻擊。這一點(diǎn)，我們可以從國(guó)內(nèi)多家安全漏洞曝光平臺(tái)上可以看出(國(guó)內(nèi)主要的曝光平臺(tái)有，360公司補(bǔ)天、漏洞盒子等)，幾乎各行各業(yè)的網(wǎng)站系統(tǒng)都會(huì)存在安全漏洞。其中不乏大型國(guó)企、央企、大中型商業(yè)銀行、高校和科研單位等等。

2016年網(wǎng)絡(luò)安全事件與源代碼安全漏洞

面對(duì)上述嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，作為關(guān)系到國(guó)計(jì)民生、和老百姓的“錢(qián)”息息相關(guān)的商業(yè)銀行，絕對(duì)不能再僅靠傳統(tǒng)的幾大件網(wǎng)絡(luò)安全防護(hù)設(shè)備來(lái)解決問(wèn)題。

正如上文所說(shuō)，目前所面臨的安全問(wèn)題都是我們自主研發(fā)或者外包開(kāi)發(fā)出來(lái)的定制化軟件系統(tǒng)存在安全漏洞而導(dǎo)致的。而目前我國(guó)的絕大多數(shù)商業(yè)銀行的軟件系統(tǒng)開(kāi)發(fā)是外包開(kāi)發(fā)為主，由銀行內(nèi)所設(shè)置的科技部和信息系統(tǒng)部來(lái)管理。行方人員為數(shù)較少，常常都是一人身兼數(shù)職，同時(shí)也沒(méi)有相對(duì)專(zhuān)業(yè)的軟件安全管理人員。

針對(duì)中小型商業(yè)銀行的軟件開(kāi)發(fā)特色，我們?nèi)绻€是大談如何在商業(yè)銀行內(nèi)部建立完整的SDLC安全開(kāi)發(fā)生命周期來(lái)保證軟件的安全性就顯得非常的不且實(shí)際。今天，我們就來(lái)聊一聊大部分為外包開(kāi)發(fā)模式的商業(yè)銀行，用什么方法來(lái)保障自己所定制開(kāi)發(fā)的軟件系統(tǒng)、WEB站點(diǎn)以及移動(dòng)APP等應(yīng)用系統(tǒng)的源代碼的安全性。

對(duì)于商業(yè)銀行而言，自身不具備(也不必要具備)軟件安全開(kāi)發(fā)能力，不需要擁有很高的源代碼安全開(kāi)發(fā)水平。但對(duì)于自己的業(yè)務(wù)系統(tǒng)的安全性，商業(yè)銀行是第一負(fù)責(zé)人，必須具備軟件系統(tǒng)安全的檢測(cè)和保障能力，否則一旦應(yīng)用系統(tǒng)被攻擊，觸犯《網(wǎng)絡(luò)安全法》的可是銀行自己，要第一個(gè)被追責(zé)。所以，各個(gè)商業(yè)銀行都應(yīng)該在如何保證軟件的源代碼安全漏洞問(wèn)題上下一番功夫，確保自身業(yè)務(wù)系統(tǒng)上線(xiàn)后的安全性、穩(wěn)定性。

那么如何在外包開(kāi)發(fā)模式下有效地對(duì)軟件應(yīng)用系統(tǒng)進(jìn)行安全保障呢?換句話(huà)說(shuō)，如何在“只有一個(gè)行方的開(kāi)發(fā)項(xiàng)目經(jīng)理，且方經(jīng)理身兼多個(gè)項(xiàng)目”的情況下，又確保源代碼是安全的?

根據(jù)我個(gè)人多年經(jīng)驗(yàn)的總結(jié)，并結(jié)合外包管理的一些方法，我認(rèn)為，在軟件外包管理中引入軟件源代碼安全測(cè)試體系，建立強(qiáng)制性的源代碼“安全驗(yàn)收”機(jī)制是最有效、最方便的手段。它可以從源代碼層面上保證軟件系統(tǒng)的安全性。這個(gè)“安全驗(yàn)收”機(jī)制如何建立才能即滿(mǎn)足甲方安全保障的需要，又能讓外包開(kāi)發(fā)服務(wù)商積極地配合安全漏洞的檢測(cè)和修復(fù)工作呢? 我們將其總結(jié)為一個(gè)“GATE+” 源代碼安全測(cè)試管理模式，具體說(shuō)明如下圖所示：

“GATE+”安全測(cè)試管理模式

如上圖所示，“GATE+”模式的主要思想就是，在外包開(kāi)發(fā)管理中引入軟件源代碼的安全測(cè)試體系，對(duì)外包服務(wù)商所交付的軟件系統(tǒng)的源代碼進(jìn)行安全性驗(yàn)收測(cè)試。如果交付的源代碼存在易被攻擊的安全漏洞，需要外包商進(jìn)行安全修復(fù)，直至這些漏洞全部被消除，這個(gè)系統(tǒng)才能夠驗(yàn)收，進(jìn)行上線(xiàn)部署。該模式的幾個(gè)關(guān)鍵點(diǎn)說(shuō)明如下：

1. 行方制定并發(fā)布明確的《軟件源代碼安全測(cè)試驗(yàn)收標(biāo)準(zhǔn)》

由行方安全部門(mén)和開(kāi)發(fā)項(xiàng)目經(jīng)理聯(lián)合專(zhuān)業(yè)的軟件安全咨詢(xún)顧問(wèn)共同制定出明確的，符合甲方安全要求的《軟件源代碼安全測(cè)試驗(yàn)收標(biāo)準(zhǔn)》，并由行方權(quán)威部門(mén)正式發(fā)布，即上圖中的“紅線(xiàn)”。這是源代碼安全驗(yàn)收時(shí)必須遵守的，也是最后的一道防線(xiàn)，由“行方開(kāi)發(fā)項(xiàng)目經(jīng)理”對(duì)標(biāo)紅線(xiàn)的進(jìn)行各個(gè)項(xiàng)目的安全檢查和驗(yàn)收。

與之相對(duì)應(yīng)的是外包開(kāi)發(fā)過(guò)程中的一個(gè)“虛黃線(xiàn)”。該虛黃線(xiàn)的意思是開(kāi)發(fā)商可以在項(xiàng)目開(kāi)發(fā)初期就明確地讓開(kāi)發(fā)人員知道將來(lái)的源代碼驗(yàn)收標(biāo)準(zhǔn)，開(kāi)發(fā)人員就可以提前預(yù)防，提前做好技術(shù)上的規(guī)避方案。這樣一來(lái)，外包商和開(kāi)發(fā)人員就會(huì)更加積極主動(dòng)的配合安全漏洞的檢查和修復(fù)工作。

2. 建立一個(gè)方便、高效的軟件源代碼安全測(cè)試管理平臺(tái)

可能有安全管理人員會(huì)覺(jué)得源代碼安全測(cè)試，直接找專(zhuān)業(yè)的第三方安全測(cè)試機(jī)構(gòu)或者安全公司進(jìn)行測(cè)試服務(wù)就可以了，不必要由行方自建源代碼安全管理平臺(tái)。

但根據(jù)經(jīng)驗(yàn)，由甲方自建安全測(cè)試管理平臺(tái)是非常有必要的。這是因?yàn)椋绻羊?yàn)收測(cè)試交由第三方來(lái)測(cè)試時(shí)，那勢(shì)必安全測(cè)試只能在項(xiàng)目驗(yàn)收時(shí)進(jìn)行一次到兩次的測(cè)試。測(cè)試頻度太低，時(shí)間后置，這樣只能會(huì)造成“倉(cāng)促地”測(cè)試和驗(yàn)收，外包人員“極不情愿地”配合和“應(yīng)付式”修復(fù)漏洞的局面。一旦形成這樣的情況，那上面行方項(xiàng)目經(jīng)理的“安全驗(yàn)收”工作就會(huì)越來(lái)越難開(kāi)展，也無(wú)法保證質(zhì)量，慢慢地就只是留于“形勢(shì)”了。

這一點(diǎn)，我們已經(jīng)看到很多的商業(yè)銀行就是這樣的情況。所以，由甲方自建一個(gè)軟件源代碼安全測(cè)試管理平臺(tái)，提供兩種測(cè)試并行的方法才能把“安全測(cè)試標(biāo)準(zhǔn)”有效地執(zhí)行下去。目前國(guó)內(nèi)自主可控的源代碼安全測(cè)試管理平臺(tái)并不多，思客云公司找八哥云管理系統(tǒng)是個(gè)不錯(cuò)的選擇。

3. “強(qiáng)制式”測(cè)試與“自助式”測(cè)試并行

為了避免上述的問(wèn)題，在自建安全測(cè)試管理平臺(tái)的基礎(chǔ)上，我們提出了一個(gè)“強(qiáng)制式”測(cè)試與“自助式”測(cè)試并行的方案。

如上圖中所示，驗(yàn)收式測(cè)試 +“藍(lán)虛框”的外包自助式測(cè)試。其中驗(yàn)收式測(cè)試由甲方的項(xiàng)目管理人員完成。這是強(qiáng)制式的，每一個(gè)項(xiàng)目在交付前都要進(jìn)行一次強(qiáng)制式驗(yàn)收測(cè)試。

同時(shí)，在開(kāi)發(fā)過(guò)程中，允許外包商開(kāi)發(fā)人員可以在開(kāi)發(fā)過(guò)程中不定期的對(duì)源代碼進(jìn)行自助式的安全測(cè)試，這樣可以讓外包人員及時(shí)地檢測(cè)出安全問(wèn)題及時(shí)地修復(fù)漏洞。外包商就可以對(duì)強(qiáng)制驗(yàn)收式測(cè)試沒(méi)有那么抵觸，更加積極配合，安全測(cè)試工作就會(huì)更加的順暢。同時(shí)也不會(huì)因?yàn)榘踩珳y(cè)試影響項(xiàng)目驗(yàn)收進(jìn)度，影響交付和發(fā)布了。

軟件源代碼安全驗(yàn)收測(cè)試，一個(gè)簡(jiǎn)單又高效的軟件安全保障手段，雖然已經(jīng)提出多年，但是如果沒(méi)有一個(gè)有效的模式為基礎(chǔ)，則只會(huì)讓商業(yè)銀行，外包商，開(kāi)發(fā)人員，安全人員和項(xiàng)目管理人員徒增煩惱。思客云找八哥系統(tǒng)以提供最佳“源代碼安全測(cè)試”整體解決方案為己任，希望能夠給您提供必要的幫助!