在數字化浪潮下,個人信息泄露、賬號資金失竊、業務服務癱瘓等事件層出不窮,一次次挑戰著公眾對數字化建設的信任,可信數字化逐漸成為技術領域重點關注的問題。
9月15日,由浙江省軟件行業協會主辦,網新恒天軟件有限公司協辦的“推進可信數字化——安全賦能軟件,護航質效升級”專題研討會在杭州西溪天堂開展,網新恒天軟件評測中心主任郭微受邀分享,活動現場來自安全行業的專家齊聚一堂,共同探討針對可信數字化的思考與質量升級手段。
高質量的軟件系統是數字化轉型成功的關鍵。軟件與業務、數據相結合,業務才能跑起來,數據能流通才具有價值。在國家“十四五”規劃的大背景下,可信數字化成為國家發展的必然趨勢。
現場,郭微通過分享西安一碼通兩次崩潰、拼多多被薅羊毛導致巨額損失、北京健康寶遭網絡攻擊三個典型案例,說明了軟件系統設計中功能安全缺陷可能造成的嚴重后果,證實了高質量軟件系統的重要性。
郭微提到,軟件質量由下往上分為代碼質量、應用質量、使用質量等,國家標準(GB/T25000.51)對軟件質量的要求分為8個方向:兼容性、功能性、性能效率、易用性、可移植性、信息安全性、可靠性、易用性,評測過程需要理解系統的質量特性,從而提升軟件系統的質量。
那么,哪些系統需要滿足國家標準/要求呢?
《中華人民共和國政府采購法實施條例》規定,大型或復雜的政府采購項目,應當邀請國家認可的質量檢測機構參加驗收工作,地方政府也出臺相應的規定,《浙江省電子政務云計算平臺管理辦法》提到,(政務云)信息系統安全等級保護3級以上的重要應用系統,須提供由中國合格評定國家認可委員會(CNAS)認可的第三方評測機構出具的軟件性能及信息系統安全測試報告。而這些測試報告,也將作為判定電子政務工程項目應用軟件是否符合研發合同和軟件需求中規定的相關建設內容是否符合,作為項目建設單位驗收參考標準。
當然,為了應對驗收,部分場景下也衍生出了一些“快餐式”測試,短期內完成了業主方的驗收交付,但是為未來系統的生產運行埋下了很大的隱患,例如:生產環境容易引發安全、性能等方面的事件,在項目終身追責制下,監管層面對此也有嚴格的要求。
在評測中心服務過程中,就遇到一個非常典型的案例:
在評測中心服務過程中,就遇到一個非常典型的案例:某大型客戶有非常完善的功能、性能測試人員配備,然而在開發過程中,由于缺乏安全開發的意識,致使其多個系統中出現SQL注入、硬編碼、弱密碼等問題,導致整個系統的安全性較差,評測中心在幫助客戶解決問題的同時也成為該客戶信任的合作伙伴,為其提供長期的質量咨詢、第三方評測服務。
網新恒天軟件評測中心具備中國合格評定國家認可委員會(CNAS)的實驗室認可證書,團隊擁有18年測試經驗,近700名專業測試人員,軟件評測案例500余個,其中數字政府相關評測項目百余個,涉及城市大腦、智慧人社、政務云、智慧醫保、智慧文旅、智慧交通、智慧氣象等多個領域,出具專業&權威的第三方軟件評測報告,幫助客戶提升軟件系統質量、傳遞質量信任,共同推進可信數字化!網新恒天軟件評測中心具備中國合格評定國家認可委員會(CNAS)的實驗室認可證書,團隊擁有18年測試經驗,近700名專業測試人員,軟件評測案例500余個,其中數字政府相關評測項目百余個,涉及城市大腦、智慧人社、政務云、智慧醫保、智慧文旅、智慧交通、智慧氣象等多個領域,出具專業&權威的第三方軟件評測報告,幫助客戶提升軟件系統質量、傳遞質量信任,共同推進可信數字化!
