TaaS模式下軟件資產的安全性研究

梅磊 石曉寧 劉鴻飛

摘要：隨著云計算技術日益成熟，軟件測試即服務模式給軟件測試服務行業帶來了巨大的影響，而云測試平臺下的軟件資產安全性管理已然成為TaaS模式推廣應用的嚴重挑戰。通過分析國內外現有的云測試軟件資產安全性管理辦法，同時結合資產安全性管理思維提出軟件資產安全性的管理方法，并給出具體的實踐措施與管理流程。

關鍵詞：TaaS模式;軟件云測試;資產安全陛;資產管理模型

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）22-0221-02

開放科學（資源服務）標識碼（0SID）：

近年來軟件質量問題日益凸顯，軟件測試的重要性也與日俱增，作為軟件研制全生命周期過程中的重要保障手段，軟件測試已成為影響軟件質量、提高軟件產品可靠性和安全性的關鍵環節之一[1]。借用云計算技術新模式，以互聯網服務的方式為客戶提供動態可伸縮的虛擬化計算資源，在軟件即服務（ SaaS）、平臺即服務（PaaS）等云計算基本服務的基礎上，應運而生的“測試即服務”（Testing as a Service，TaaS）模式，將新型的商業模式引入傳統的測試行業[2]。TaaS與傳統軟件測試模式相比，主要特點如下：

（1）測試服務定制化。TaaS模式測試服務提供商可以分別針對公有及私有測試云，為使用者提供定制化的專業軟件測試服務。客戶只需經過業務培訓即可定制個性化服務，不僅減少客戶終端的處理負擔，而且極大降低客戶對軟件測評專業知識的依賴[1];

（2）資源配置彈性化。云測試服務通過對資源的使用情況進行統計量化，在測試資源共享的基礎上，根據量化結果實現動態核算的成本模式，并依據基礎設施資源（包括CPU、存儲、帶寬等）的動態配置結果，彈性調整企業的維護成本和客戶使用成本;

（3）環境部署自動化。通過測試云自動配置和部署測試環境，自適應實現資源調度，同時，靈活應用虛擬化技術構建跨平臺測試環境，以適應多架構、多系統、多數據庫的測試需求，提高測試效率[3]。

（4）過程管理科學化。應用現代科學的項目管理模式，包含完整的項目管理生命周期、嚴格的保密管理規范以及標準化的軟件質量監控機制。

對于TaaS服務提供商而言，面臨的主要風險都與資產的安全性相關，特別對于大型上市電子信息企業，敏感數據、文檔、代碼等涉及企業核心軟件資產的泄露都會對企業造成嚴重的經濟損失和信用危機，因此，軟件資產的安全性研究已成為Ta-aS模式發展推廣的重大難題。

1 軟件資產安全性研究概況

構建軟件資產安全性管理（ Software Asset Security Manage-ment，SASM）的基礎架構和運行流程，目的在于確定客戶在組織內部對所有軟件資產的采購、分發、使用、變更、升級、維護、刪除等生命周期過程進行有效管理、控制和保護[3]。其中的軟件資產的安全性研究，對降低企業軟件資產管理風險，提升軟件資產的利用率與整體效益都有著積極成效。軟件資產是在軟件開發各階段的需求說明、設計實現與維護等過程中隨之產生的一系列測試數據的集合，包含在軟件資產共享庫中存在的軟件源代碼、客戶數據信息、設計與測試文檔的總和[4]，還包括客戶提供的待測軟件結構信息、云測試工具數據庫、客戶組織內部信息以及受保護的系統敏感數據等資源。而在某些特殊情況下，有些數據信息因受到第三方機構的法律保護而無法進行使用，因此測試服務提供商還要承擔信息不完整性帶來的服務質量風險，其中主要涉及的軟件資產包括文檔類、代碼類、數據類[5]。

2 云測試平臺的安全性保護

為了在云測試服務中提高軟件資產的安全性，要合理規避應用TaaS平臺時帶來的安全性風險，因平臺自身具備數據資源池化、技術虛擬化、部署分布化等特點，都會在軟件測試服務期間埋下安全漏洞的隱患。由開發商客戶組織測試過程的設計與規劃工作，從全局出發，充分考慮客戶需求，圍繞測試策劃、需求分析、測試設計、過程監督以及測試審核等方面，開展云測試平臺的個性化搭建與使用。TaaS服務模式下對于云計算平臺的基礎測試過程與測試資產庫的管理而言，一套良好的授權機制和安全管理技術不可或缺，既要對客戶的登錄權限及操作內容進行詳細合理的設定，對每位使用云平臺的用戶、測試專家、項目管理人員等進行身份驗證，同時建立嚴格的授權監督管理機制，保證在云測試平臺上存儲、使用的所有資產均處于保護和監督的狀態之下[6]。TaaS模式下的軟件測試往往需要擁有足夠的專業能力和技術資源來處理復雜的測試業務，云測試平臺的安全性驗證在流程與業務驅動的基礎上也就成為確保軟件產品高質量的同時滿足軟件使用者業務需求的重要決策環節，這就對平臺的涵蓋范圍和執行過程提出了更高的要求。

3 TaaS模式下軟件資產的安全性管理

為解決TaaS環境下軟件資產的安全性管理問題，需要從企業內部自頂向下，分別制定企業軟件資產管理標準，以服務提供層和數據交互層為核心，以基礎服務層為底層應用服務架構，以應用管理層和資產統計層為拓展服務目標，并結合云計算技術為業務支撐，共同構建軟件資產安全性管理框架。在軟件資產安全性管理規定中，明確各個層級之間交互時需要遵循的保護協議，例如數據交互層與基礎服務層之間應使用內部通信協議等，同時，充分考慮用戶對軟件資產的安全性保護需求與測試人員（內部的自動化測試小組和外包的測試專家）對測試數據深度開放性需求[6]。

針對軟件資產的安全性管理框架，結合傳統軟件測試流程、軟件研制生命周期的管理模式，以及云測試期間產生的軟件資產，共同構建云測試軟件資產安全管理模型。根據各類資產的交互、使用與存儲特點，分別在數據交互層中建立各種數據庫進行管理，而在使用這些軟件資產前，云測試服務的提供商必須要建立一套旨在保障云測試軟件資產安全規范應用的組織標準。下面將從不同類型軟件資產（數據資產、代碼資產、文檔資產）的管理特點出發，分別研究其安全性管理的具體方法。

3.1 TaaS模式下數據資產的安全性管理TaaS模式下，云測試軟件數據資產的安全可靠性問題在TaaS模式的推廣過程中，已然擺在了所有相關企業的面前。為了更好地解決數據資產的安全性管理問題，需要對數據資產進行分類分級，以便更有針對性的按需制定管理措施。通過對數據資產進行分析與整理，給出如表l所示的數據資產類型與安全性等級信息。

對于公有數據，其公開內容部分在項目策劃階段已經過多方討論確認，因此僅對該類數據的訪問僅限、數據使用范圍、防惡意篡改等屬性進行規定;對于用戶及服務提供商權限的數據，在云測試平臺的數據庫中要設計權限列表，對項目所有的利益相關方進行權限劃分，以便于對操作記錄的審批或追蹤。特別地，對于多次申請數據操作未通過的情況，要加大風險控制權重，以降低數據泄露的風險;而對于保密等級最高的私有數據，因其敏感程度僅對極少數用戶或測試專家公開，除了常規身份驗證過程外，還須驗證數據操作的申請者與數據之間的歸屬關系，同時，禁止進行任何形式的修改，并制定嚴苛的懲罰機制，對泄露數據的機構或個人采取法律措施追究其責任。

3.2 TaaS模式下代碼資產的安全性管理

作為TaaS模式中的測試對象，對于用戶提供的軟件源代碼與可執行文件必須保證其安全性，特別是傳統軟件測試過程中容易忽略的程序配置文件和軟件運行環境的安全性隱患，都應被納入代碼資產中進行管理。主要體現在以下幾個方面：

知識產權保護。服務提供商與用戶簽訂合同時，要約定受保護代碼資產的內容及使用范圍，保障代碼資產在合法的前提下，最大化代碼資產價值，提高云測試效益;

定期檢查。定期驗證代碼資產與運行環境的狀態一致性和內容的完整性，禁止代碼資產的非法存儲與移植拷貝，并定期進行局部及全盤殺毒，消除病毒入侵的隱患;

執行督促。由質量監督人員負責對代碼資產的使用狀況進行跟蹤，定期公布代碼資產管理目錄，同時，由軟件資產負責人定期對測試組人員從代碼版本控制、出入庫登記等使用情況進行評估與通報，保障代碼資產管理策略的落實。

當TaaS模式下軟件代碼資產的安全性遭到破壞時，將引起極其嚴重的連鎖反應，而隨著軟件版權概念逐漸深入，軟件企業法律意識的逐漸增強，云測試服務提供商必須尊重用戶提供的軟件知識保護，特別對于涉及企業專利、軟件著作權等軟件代碼資產的使用，要嚴制格遵循代碼資產使用規范。

3.3 TaaS模式下文檔資產的安全性管理

傳統軟件測試下，軟件的開發、測試過程中產生的需求、設計、用例以及在配置管理、質量監督過程中產生的記錄管理單據等文檔資產都由專人負責管理，而在TaaS模式下，所有文檔資產的管理方式、途徑都被轉移至線上進行，再加上云測試平臺自身的不穩定因素，容易導致文檔資產的泄漏、篡改等安全性事件的發生。TaaS模式下對文檔類型和內容進行統計與分析，確定文檔資產的安全性管理等級，然后根據文檔資產的分類情況，采取線上線下并行的方式對文檔資產進行安全性管理。

為了合理使用文檔資產，測試服務提供商需要建立一套完整的、旨在保障軟件開發與測試文檔信息安全的組織規范，并在不同的測試執行環節，與軟件組織建立相對獨立的文檔調用流程與協議，內容應包括保密規定與措施、使用范圍與期限以及文檔修改、銷毀等方面的要求，在經過客戶聯合測評機構進行安全評估后，方可通過文檔資產的使用授權，同時，從權限審核、配置管理、在線監測等方面，分類建立文檔資產管理數據庫，嚴格控制文檔資產管理的審批權，保證文檔的“嚴進嚴出”，對于需要留存的紙質文檔資產，仍交由專人負責配置管理工作，從而實現線上管理與共享使用，線下專人監督與存儲維護。

4 結束語

TaaS模式已然對傳統軟件測試行業產生了巨大的沖擊，面對技術虛擬化、部署分布化、云測試自動化的目標，通過落實完備的云測試平臺安全性保護措施，構建云測試軟件數據、代碼、文檔資產的綜合型管理模式就成為解決軟件資產安全性管理難題的突破口，這也更符合未來軟件測試服務商業模式的發展趨勢。

參考文獻：

[1]張一弛，熊湘文，黃雅文，等.云計算環境下測試數據的界定與管理[J].現代圖書情報技術，2012（11）：16-21.

[2]王博，測試服務化系統平臺中項目管理功能的設計和實現[Dl.北京：北京郵電大學，2016.

[3]高春光，軟件的權限管理與管理信息系統的安全性[J].數字石油和化工，2007（8）：61-62.

[4]梅磊，劉鴻飛，董文通.基于測試過程管理的航天軟件質量評價[J].西華大學學報（自然科學版），2019，38（6）：67-72.

[5]王文東，劉繼梅，王嵃灝，等.基于云計算環境下的軟件測試研究[Jl.電腦知識與技術，2017，13（27）：239-240，268.

[6]代艷華，基于云服務的軟件自動化測試系統設計及實現[D].北京：北京交通大學，2017.

【通聯編輯：代影】

作者簡介：梅磊（1987-），男，高級工程師，碩士，主要研究方向為軟件測試、軟件工程化。