【摘 要】本文結(jié)合對應(yīng)用系統(tǒng)設(shè)計、開發(fā)、測試、測評等建設(shè)過程的分析，總結(jié)了外包應(yīng)用系統(tǒng)開發(fā)中存在的安全保密風(fēng)險，并根據(jù)應(yīng)用系統(tǒng)安全建設(shè)和測評經(jīng)驗，結(jié)合安全開發(fā)生命周期等安全開發(fā)管理理念，研究了應(yīng)用系統(tǒng)外包開發(fā)中源代碼安全風(fēng)險管控技術(shù)和策略，以期從源頭減少應(yīng)用系統(tǒng)自身安全漏洞和風(fēng)險，提升信息系統(tǒng)安全防御水平。

【關(guān)鍵詞】應(yīng)用系統(tǒng) 外包開發(fā) 安全保密風(fēng)險

1 引言

應(yīng)用系統(tǒng)是信息系統(tǒng)中信息分發(fā)、傳遞、共享的主要工具，同時是業(yè)務(wù)管理的數(shù)字化基本設(shè)施，在信息網(wǎng)絡(luò)中處于信息傳遞的核心。隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷推進，各單位為滿足各種業(yè)務(wù)需要建設(shè)了各類業(yè)務(wù)應(yīng)用系統(tǒng)，如財務(wù)系統(tǒng)、人力管理系統(tǒng)、項目管理系統(tǒng)等。但由于應(yīng)用系統(tǒng)開發(fā)建設(shè)具有專業(yè)性、復(fù)雜性，一般需要專業(yè)的軟件開發(fā)團隊進行建設(shè)，而大部分單位不具備自行開發(fā)應(yīng)用系統(tǒng)的能力，應(yīng)用系統(tǒng)外包開發(fā)成為主流的建設(shè)方式。隨著網(wǎng)絡(luò)攻防技術(shù)的發(fā)展，越來越多的安全漏洞在各類應(yīng)用系統(tǒng)中被發(fā)現(xiàn)，根據(jù)Forrester調(diào)研，僅Web類安全漏洞就占2021年發(fā)現(xiàn)安全漏洞的39%，由此可見應(yīng)用系統(tǒng)已成為網(wǎng)絡(luò)攻防雙方的主戰(zhàn)場之一。因此，如何管控外包開發(fā)應(yīng)用系統(tǒng)源代碼安全漏洞，從根本上有效減少安全漏洞，保障應(yīng)用系統(tǒng)安全成為各單位信息化和網(wǎng)絡(luò)安全管理部門面臨的重要議題。

2 外包開發(fā)中的源代碼安全風(fēng)險分析

在對外包應(yīng)用系統(tǒng)進行測評的過程中，存在以下風(fēng)險。

(1)現(xiàn)行相關(guān)標(biāo)準(zhǔn)對安全要求較高，但對開發(fā)廠商的安全開發(fā)能力、開發(fā)質(zhì)量缺少直觀的考核和選擇指標(biāo)，導(dǎo)致部分開發(fā)廠商不注重安全開發(fā)能力的建設(shè)和開發(fā)質(zhì)量的提升，一些應(yīng)用系統(tǒng)的開發(fā)過程管理混亂，缺少源代碼安全的管理與技術(shù)措施，甚至在互聯(lián)網(wǎng)中開展代碼管理，極易引入安全風(fēng)險，部分應(yīng)用系統(tǒng)安全質(zhì)量沒有保障。

(2)在編程實現(xiàn)階段，隨著開發(fā)技術(shù)的迅猛發(fā)展，部分中小廠商或建設(shè)使用單位為追求新技術(shù)應(yīng)用，開發(fā)中大量采用未經(jīng)安全檢測的開源框架、開源組件等第三方代碼進行快速迭代開發(fā)，對使用了哪些開源組件或開源組件的哪個版本并不了解。建設(shè)使用單位對使用開源組件、開源代碼的情況缺少要求和限制，給應(yīng)用系統(tǒng)帶來不可控的安全風(fēng)險。

(3)在驗收和上線運行階段，建設(shè)使用單位主要對應(yīng)用系統(tǒng)業(yè)務(wù)功能進行測試驗收，缺少對源代碼安全漏洞、業(yè)務(wù)邏輯漏洞等的安全性測試，缺少開發(fā)人員參與的安全加固，往往不知道是否存在安全漏洞，對已發(fā)現(xiàn)的安全漏洞不知如何修復(fù)，導(dǎo)致應(yīng)用系統(tǒng)“帶病上線”“帶病運行”。

3 對外包開發(fā)的安全風(fēng)險管控措施實踐

為保障應(yīng)用系統(tǒng)源代碼安全質(zhì)量，微軟提出從安全管理角度指導(dǎo)應(yīng)用系統(tǒng)開發(fā)過程的安全開發(fā)生命周期(Security Development Lifecycle，SDL)理念，經(jīng)過世界主流廠商多年實踐和不斷改進，發(fā)展成為安全—軟件開發(fā)生命周期(Secure Software Development Lifecycle，S-SDLC)等方法論，其理念是將安全與軟件開發(fā)全過程融合，通過在軟件開發(fā)生命周期中每個階段執(zhí)行必要的安全實踐，使安全風(fēng)險最小化、安全威脅最少化。SDL的實施在一定程度上降低了發(fā)布運行后安全漏洞的數(shù)量，被各大軟件廠商廣泛采用。

但是，SDL、開發(fā)安全運維一體化(DevSecOps)等安全開發(fā)理念都主要是針對開發(fā)廠商的實施或?qū)嵺`方法，對應(yīng)用系統(tǒng)建設(shè)使用的甲方單位，特別是在外包開發(fā)的場景下，甲方單位也迫切需要介入整個安全開發(fā)過程中。本文利用SDL安全開發(fā)理念，從建設(shè)使用單位的角度，針對外包開發(fā)全流程進行代碼安全管控策略設(shè)計和技術(shù)保障措施研究，通過參與關(guān)鍵流程活動，協(xié)助開發(fā)出既符合安全要求又盡可能減少網(wǎng)絡(luò)安全漏洞的應(yīng)用系統(tǒng)。本文設(shè)計的建設(shè)使用單位針對外包開發(fā)過程中的安全實踐措施和策略架構(gòu)如圖1所示。

圖1 外包開發(fā)過程中的安全實踐措施和策略架構(gòu)

3.1 加強開發(fā)廠商的選擇與安全培訓(xùn)

外包應(yīng)用系統(tǒng)開發(fā)時，在廠商具有相應(yīng)資質(zhì)的基礎(chǔ)上，建議應(yīng)用系統(tǒng)開發(fā)管理的業(yè)務(wù)部門優(yōu)先選擇軟件開發(fā)質(zhì)量保障能力等級較高的企業(yè)，利用其更為規(guī)范的過程管理、版本管控、漏洞管理等制度和技術(shù)措施提高應(yīng)用系統(tǒng)開發(fā)質(zhì)量。

建設(shè)使用單位組織或參與開發(fā)廠商統(tǒng)一舉行的安全防范意識培訓(xùn)，對系統(tǒng)設(shè)計、開發(fā)、部署、售后、運維和業(yè)務(wù)使用等各類人員進行必要的安全培訓(xùn)或再培訓(xùn)，宣傳法律法規(guī)和標(biāo)準(zhǔn)知識、網(wǎng)絡(luò)安全防范技能，建立常見安全漏洞的源代碼防范措施、范例、框架，幫助相關(guān)人員特別是設(shè)計、開發(fā)人員提升安全開發(fā)能力。

3.2 開展安全保密風(fēng)險分析

建設(shè)使用單位的業(yè)務(wù)使用人員、安全保密人員介入業(yè)務(wù)安全需求分析，和開發(fā)人員結(jié)合安全標(biāo)準(zhǔn)規(guī)范，從安全標(biāo)準(zhǔn)和最佳實踐2個方面分析得出業(yè)務(wù)功能所需安全防護要求。安全需求分析工作的主要目的是為應(yīng)用程序設(shè)計在計劃運行環(huán)境中的運行確定最低安全要求。同時，在需求分析文檔中包括安全保密協(xié)議相關(guān)內(nèi)容：加強源代碼安全管理，防止因源代碼泄露、安全防范意識不足可能造成的安全風(fēng)險，預(yù)防安全漏洞、后門；禁止應(yīng)用系統(tǒng)開發(fā)相關(guān)文檔、源代碼等傳輸?shù)交ヂ?lián)網(wǎng)；禁止預(yù)置和保留隱藏的管理員賬號、開發(fā)者賬號、測試賬號；禁止預(yù)置遠程管理后門、遠程升級后門、廣告推廣、漏洞和非授權(quán)的數(shù)據(jù)收集、傳輸?shù)葠阂夤δ堋?/p>

3.3 強化安全防護功能設(shè)計與編碼

建設(shè)使用單位的安全保密人員介入系統(tǒng)的安全設(shè)計階段，與開發(fā)人員一起，根據(jù)業(yè)務(wù)安全需求分析，制定安全控制和防護措施，減小攻擊面，防范常見安全漏洞、安全攻擊方式，抵御或降低安全威脅。安全設(shè)計實踐包括特權(quán)分離、數(shù)據(jù)驗證、認證管理、會話管理、授權(quán)管理、日志審計、異常處理、配置管理、數(shù)據(jù)保護等安全功能設(shè)計，也包括對結(jié)構(gòu)化查詢語言(SQL)注入、反序列化、權(quán)限提升、文件上傳、任意文件下載等安全漏洞的防范功能設(shè)計。編碼實現(xiàn)時，需要考慮將要使用的開源代碼、組件、模塊、庫和框架的安全性，禁止使用存在安全風(fēng)險的軟件成分。

存量應(yīng)用系統(tǒng)新增功能、系統(tǒng)升級也需要編制新增功能部分的安全設(shè)計方案，對新增功能的安全威脅、安全功能設(shè)計和對原應(yīng)用系統(tǒng)安全功能的影響進行深入分析。

3.4 完善代碼安全測試與驗收

建設(shè)使用單位在對應(yīng)用系統(tǒng)業(yè)務(wù)功能進行驗收測試時，先由業(yè)務(wù)使用團隊和安全保密團隊開展安全功能合規(guī)性測試，根據(jù)業(yè)務(wù)功能、安全要求設(shè)計安全測試用例進行測試，測試用例需要涵蓋安全需求、安全設(shè)計中各項功能。

在安全功能測試基礎(chǔ)上，建設(shè)使用單位安全團隊?wèi)?yīng)開展源代碼安全性測試，從源頭把控應(yīng)用系統(tǒng)安全風(fēng)險。源代碼安全性測試一般采用自動化工具來降低人工檢測的時間消耗和成本投入，提高檢測效率，常見工具包括靜態(tài)安全測試(SAST)、動態(tài)安全測試(DAST)、交互式安全測試(IAST)、模糊測試(FUZZ)和軟件成分分析(SCA)幾類技術(shù)。根據(jù)經(jīng)驗，建議配備交互式安全測試IAST工具和軟件成分分析SCA工具。IAST技術(shù)融合了SAST技術(shù)和DAST技術(shù)的特征，通過在應(yīng)用系統(tǒng)中部署測試插樁，分析應(yīng)用系統(tǒng)運行時的源代碼，檢查業(yè)務(wù)數(shù)據(jù)傳播路徑，分析數(shù)據(jù)傳播過程中的各功能代碼的處理措施，根據(jù)已知安全漏洞發(fā)生的數(shù)據(jù)處理模式、發(fā)生場景分析可能存在的安全風(fēng)險，在完成功能測試的同時自動開展并完成源代碼層的安全性分析測試。相較于SAST、DAST和FUZZ，IAST測試工具具有對測試人員安全技能要求低、測試結(jié)果準(zhǔn)確性高、測試過程速度快的優(yōu)勢，特別適合建設(shè)使用單位業(yè)務(wù)使用團隊和安全團隊等非專業(yè)開發(fā)人員用于開展源代碼安全性測試。

為應(yīng)對開源組件、開源代碼引入的安全風(fēng)險，SCA工具掃描分析應(yīng)用系統(tǒng)的源代碼和使用的模塊、庫、框架、程序包等代碼文件，提取代碼指令、代碼結(jié)構(gòu)、控制流圖、函數(shù)調(diào)用關(guān)系等特征，再對特征進行識別和分析，獲得各個部分的關(guān)系，然后根據(jù)已知的安全漏洞特征庫、威脅情報庫，識別可能潛藏的、存在的安全風(fēng)險，避免開源代碼、庫、模塊的使用引入安全漏洞。

3.5 開展安全上線

應(yīng)用系統(tǒng)上線試運行時，安全保密團隊?wèi)?yīng)會同開發(fā)團隊開展安全配置加固，先梳理業(yè)務(wù)應(yīng)用系統(tǒng)使用的運行環(huán)境、語言環(huán)境、開源組件等，并建立系統(tǒng)成分清單，清單包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、運行中間件、運行容器及編排管理與調(diào)度組件、大數(shù)據(jù)組件、人工智能組件、開發(fā)框架、消息系統(tǒng)組件、數(shù)據(jù)庫連接和管理組件、語言運行庫、外部函數(shù)庫/組件、開源組件等代碼運行組件清單，詳細記錄各項名稱、版本號，便于開展零日(0Day)漏洞預(yù)警排查和漏洞檢測與應(yīng)急響應(yīng)。

應(yīng)用系統(tǒng)完成部署后，建設(shè)單位定期利用漏洞掃描工具進行安全漏洞檢測，或開展人工滲透測試發(fā)掘潛在漏洞，對發(fā)現(xiàn)的源代碼缺陷導(dǎo)致的安全漏洞通知開發(fā)人員核實整改漏洞。加強應(yīng)用系統(tǒng)升級管理，在大版本、小版本升級和應(yīng)用系統(tǒng)間集成、漏洞修復(fù)等工作后，按照以上安全需求分析、安全設(shè)計與編碼、安全測試的過程對變更部分源代碼進行安全分析和測試，必要時對應(yīng)用系統(tǒng)整體重新進行安全測試。

4 結(jié)語

應(yīng)用系統(tǒng)在供應(yīng)鏈、安全設(shè)計、代碼編程實現(xiàn)、上線運行等全生命周期中面臨各種各樣的風(fēng)險，只有加強應(yīng)用系統(tǒng)源代碼安全管控，才能從源頭解決應(yīng)用系統(tǒng)自身面臨的安全風(fēng)險。本文從建設(shè)使用單位的角度，研究應(yīng)用系統(tǒng)外包開發(fā)建設(shè)中的源代碼安全防護技術(shù)，針對安全需求分析、安全設(shè)計與實現(xiàn)、安全測試、升級管控等各階段設(shè)計源代碼管控策略和措施，有助于減少應(yīng)用系統(tǒng)建設(shè)過程中源代碼引入的安全風(fēng)險，提升應(yīng)用系統(tǒng)的安全防護水平。同時，該實踐經(jīng)驗對應(yīng)用系統(tǒng)自行開發(fā)、開源產(chǎn)品自行部署、商業(yè)產(chǎn)品購置實施等情形具有一定借鑒意義。

(原載于《保密科學(xué)技術(shù)》雜志2023年2月刊)